Autónomo

Amazon S3

Rust

Experto

Gitlab

Aaron D. Campbell reemplaza a Nikolay Bachiyski como el zar de seguridad de WordPress

Traducido del artículo: “Aaron D. Campbell Replaces Nikolay Bachiyski as WordPress’ Security Czar” de:

Jeff Chandler, enero 13 de 2017

Aaron D. Campbell, colaborador principal de WordPress en GoDaddy, está reemplazando a Nikolay Bachiyski como el zar de seguridad de WordPress o el jefe de equipo de seguridad de WordPress. El puesto se creó en 2015 para proporcionar más estructura y enfoque en torno a las respuestas de incidentes.
"Las responsabilidades de la posición incluyen, organizar el equipo de seguridad y asegurarse de que todas las preocupaciones de seguridad y los informes sean evaluadas y en última instancia solucionadas, la coordinación de la parte de seguridad de los lanzamientos y ser un punto de contacto para cualquier cosa relacionada con la seguridad que demanden uno", dijo Campbell.
Matt Mullenweg, co-creador del proyecto WordPress, agradeció a Bachiyski por ser el primero en aceptar el papel y poner las bases en el futuro para los próximos líderes del equipo: "Este es también un buen momento para agradecer a las docenas de voluntarios que participan en el grupo de seguridad, y a los investigadores y reporteros que llaman nuestra atención sobre esos temas", dijo.
Campbell dice, que planea terminar lo que Bachiyski comenzó por conseguir en WordPress.org en HackerOne. "Nikolay hizo mucho en la ampliación de nuestro equipo, así como la fundación establecida para pasar a HackerOne", dijo.
"No estamos listos para hacer el movimiento completamente, pero espero eliminar gradualmente la seguridad @ dirección de correo electrónico en favor de HackerOne en el futuro cercano."
A finales de 2016, GoDaddy contrató a Campbell para que contribuyera en WordPress a tiempo completo. La compañía continúa respaldando su participación en WordPress, "El papel es completamente voluntario", dijo Campbell. "GoDaddy realmente me ha permitido, mientras me encontraba haciendo todo esto, y estoy agradecido de que continúe."
Si cree que ha descubierto una vulnerabilidad de seguridad con la versión auto-alojada de WordPress, le animamos a revelarla responsablemente al equipo de seguridad enviando un mensaje de correo electrónico a security@wordpress.org incluyendo el mayor detalle posible.

Quién es Jeff Chandler

Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.

Arrival

WordPress 4.7.1 soluciona ocho problemas de seguridad

Traducido del artículo: “WordPress 4.7.1 Fixes Eight Security Issues” de:

Jeff Chandler, enero 11 de 2017

WordPress 4.7.1 está disponible para su descarga y corrige ocho problemas de seguridad que afectan a WordPress 4.7 y anteriores. La biblioteca PHPMailer se actualizó para corregir una vulnerabilidad de ejecución remota de código (RCE). WordFence informó de la vulnerabilidad el mes pasado como crítica y que afecta al núcleo de WordPress.
Sin embargo, en el anuncio de publicación de 4.7.1, Aaron Campbell, el nuevo zar de seguridad de WordPress dice que "ningún problema específico parece afectar a WordPress o alguno de los plugins principales que investigamos pero, por una gran precaución, actualizamos PHPMailer en esta versión ". Dawid Golunski y Paul Buonopane se atribuyen la revelación responsable de la vulnerabilidad.
WordPress 4.7.1 también corrige un problema en el que la API REST expuso datos de usuario para todos los usuarios que crearon una publicación de un tipo de publicación pública. Esta versión limita esta capacidad para publicar únicamente tipos que han especificado que deben mostrarse dentro de la API. Se atribuye a Krogsgard y Chris Jean la responsabilidad de divulgar la vulnerabilidad.
Además de reparar ocho problemas de seguridad, esta versión corrige 62 errores. Para ver una lista completa de cambios, visite la página de notas de lanzamiento o puede verlos en Trac. Los sitios deben actualizarse automáticamente, pero si desea actualizar más pronto, visite el Panel de control de su sitio, seleccione Actualizaciones y haga clic en el botón Actualizar ahora.

Quién es Jeff Chandler

Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.

Objeto

¿Cómo educar a la gente nueva en WordPress?

Traducido del artículo: “How Do You Educate People New to WordPress?” de:

Jeff Chandler, enero 6 de 2016

Cuando un amigo mío pidió sugerencias sobre lo que debería usar para crear un nuevo sitio, le sugerí WordPress. Es bien soportado, tiene una comunidad increíble, y una tonelada de temas libres y plugins para elegir. Después de conseguir WordPress instalado en una nueva cuenta de webhosting, le dejé ver con qué problemas lidiaría y y cómo podría configurar el sitio.
Después de notar que el sitio estaba cargando lentamente tres semanas más tarde, obtuve acceso de administrador para tratar de determinar cuál era el problema. Lo primero que hice fue comprobar qué plugins instaló. Uno de los complementos, añadía la posibilidad de incrustar vídeos de YouTube en el sitio utilizando códigos cortos. Mi amigo no sabía que WordPress tiene oEmbed lo cual permite a los usuarios incrustar fácilmente los videos pegando la URL en el editor.
También instaló un par de otros plugins que imitaban la funcionalidad básica. No sabía que WordPress hace la mayoría de las cosas que el deseaba sin necesidad de plugins.

Constructor de Página Shenanigans

Después de activar un tema que era compatible con el plugin de SportsPress, instaló el MotoPress Content Editor. MotoPress Content Editor es un generador de páginas frontales que permite a los usuarios crear páginas visualmente. La primera página del sitio era una larga columna vertical llena de información que imitaba las publicaciones del blog.
Debido a que no entendía cómo funciona WordPress, se olvidó de configurar el sitio para mostrar los últimos mensajes en lugar de utilizar una portada. Lo que terminó haciendo es recrear el diseño del blog en la página frontal estática usando el editor de contenido de MotoPress. También agregó una gran cantidad de elementos del constructor de páginas, como videos de YouTube a la página, lo que fue un factor que contribuyó a los pobres tiempos de carga del sitio.
Los constructores de páginas son una herramienta que puede hacer que los sitios de construcción y las páginas sean más convenientes, pero en las manos equivocadas, pueden ayudar a los usuarios a arruinar sus sitios. He reemplazado los elementos de vídeo con un widget de texto que muestra el último video de un canal de YouTube. Como estaba imitando el diseño del blog en una página estática, configuré el sitio para que mostrara las últimas publicaciones del blog primero.
Una vez que solucioné estos problemas, eliminé el generador de páginas y le expliqué a mi amigo por qué era innecesario. Estaba recreando la funcionalidad de WordPress y haciendo un trabajo innecesario sin darse cuenta.
Esta experiencia me hace pensar cuántos otros usuarios de WordPress más recientes terminan en una situación similar. No saben lo que WordPress es capaz de realizar en forma nativa y terminan instalando una miríada de plugins con descripciones que suenan similares a las características que quieren. Pasé aproximadamente una semana deshaciendo todo el trabajo que mi amigo hizo en tres. Si no hubiera intervenido, el sitio probablemente no escalaría y su desempeño disminuiría aún más.

Cómo iniciar nuevos usuarios en la pista correcta

A principios de 2015, se creó una iniciativa comunitaria denominada Grupo de Trabajo NUX para crear ideas sobre cómo mejorar las nuevas experiencias de usuario a través del administrador de WordPress. Mientras que el grupo inicialmente seguía cierta corriente, perdió mucho impulso el año pasado. Me gustaría verla resurgir y trabajar en conjunto con el enfoque basado en como desarrollar WordPress este año.
¿Cómo puede WordPress explicar a los nuevos usuarios lo que es capaz de hacer sin ahogarlos en la información técnica? ¿Es factible crear algo que atienda a la mayoría sin explicar cada detalle en detalle? Los punteros de administración se introdujeron en WordPress 3.3 y, aunque normalmente se utilizan para introducir nuevas características en una versión, no actúan como una visita guiada a lo que WordPress puede hacer.
La educación es probablemente un componente clave para mejorar la nueva experiencia del usuario. WordPress.com tiene una guía para principiantes de 12 pasos que guía a la gente a través del proceso de configuración y personalización de sus sitios. Para los usuarios de WordPress alojados allí mismo, hay una guía nueva para WordPress: dónde empezar, que cubre lo que WordPress es, elegir un host y consideraciones a tener en cuenta. Sin embargo, gran parte de la información es de naturaleza técnica.
Si es un consultor o un entrenador que trabaja con personas nuevas en WordPress, ¿cómo maneja la parte educativa de sus proyectos? ¿Cuáles son los obstáculos más comunes que encuentran? ¿Tiene una guía de introducción personalizada o los reenvía a un sitio con tutoriales en video como WordPress.TV o WP101?

Quién es Jeff Chandler

Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.

SSH

BuddyPress 2.7.4 parchea una vulnerabilidad de seguridad que podría permitir la eliminación arbitraria de archivos

Traducido del artículo: “BuddyPress 2.7.4 Patches Security Vulnerability That Could Allow Arbitrary File Deletion” de:

Jeff Chandler, diciembre 23 de 2016

El equipo de desarrollo BuddyPress ha lanzado BuddyPress 2.7.4 para abordar una vulnerabilidad de seguridad que afecta a todas las versiones posteriores a 2.0.
Según John James Jacoby, desarrollador principal de BuddyPress, "Esta versión corrige una vulnerabilidad en la API de complementos de BuddyPress que podría permitir la eliminación arbitraria de archivos en ciertas configuraciones de instalación".
La vulnerabilidad fue divulgada responsablemente por Sam Pizzey a través del programa HackerOne bounty. Aunque Automattic utiliza principalmente su servicio para sus propios productos, aceptan informes para proyectos de código abierto como WordPress y BuddyPress.
Boone Gorges y Paul Gibbs colaboraron en una solución para todas las versiones afectadas de BuddyPress, mientras que Stephen Edgar y Dion ayudaron a empaquetar el lanzamiento. A aquellos que usan BuddyPress se les aconseja especialmente actualizar lo antes posible para protegerse contra esta vulnerabilidad. Si encuentra algún problema o necesita ayuda, cree una publicación en los foros de soporte del proyecto.

Quién es Jeff Chandler

Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.

Inscripción XI Concurso Universitario de Software Libre

Queda sólo un mes para finalizar las inscripciones del XI CUSL. Concretamente el cierre de las inscripciones será el 15 de Febrero de 2017.

El CUSL está promovido por las Universidades de Sevilla, Cádiz, La Laguna, Castilla la Mancha, Miguel Hernández, Zaragoza y Almería.

Ya se han presentado estudiantes de 10 ciudades españolas. Mas de 20 proyectos.

5 categorías de premios:

  • Premio al mejor proyecto Sistemas/Cloud/IoT: destinado al proyecto de sistemas, cloud o Internet Of Things, dotado con 350 euros.
  • Premio al mejor proyecto Educativo/Ocio: destinado al mejor proyecto en el ámbito educativo u ocio, dotado con 350 euros.
  • Premio al mejor proyecto de desarrollo Web/App: destinado al mejor proyecto de desarrollo web y aplicaciones móviles, dotado con 350 euros.
  • Premio al mejor proyecto Big Data/Machine Learning: destinado al mejor proyecto Big Data/Machine Learning, dotado con 350 euros.
  • Premio especial wiki: destinado al participante con la mejor contribución basada en tecnologías wiki, dotado con 250 euros.

Seguimos en búsqueda de nuevos patrocinadores.

Pueden participar estudiantes de Grado, Máster, Doctorado, Bachillerato, Ciclos Formativos de grado medio y superior.

Para mas info: http://concursosoftwarelibre.org/1617/Bases
Colabora: http://concursosoftwarelibre.org/1617/Colabora (Cartelería y logos)

Duración

Cómo hacer un registro de invitación sólo a usuarios en BuddyPress

Traducido del artículo: “How to Make BuddyPress User Registration Invite-Only” de:

Jeff Chandler, diciembre 21 de 2016

Una de las primeras cosas que recomiendo hacer a los usuarios después de instalar WordPress es cerrar el registro de usuarios o instalar un complemento que protege el sitio contra los registros de spam. Un amigo mío recientemente comenzó un nuevo sitio de WordPress que tiene BuddyPress instalado.
Después de dos semanas, lo estuve ayudarlo y se descubrieron más de 300 cuentas de spam registradas. Para empeorar las cosas, estas cuentas fueron capaces de crear nuevos grupos en BuddyPress y cada uno contenía contenido de spam. Lo primero que hice fue cerrar el registro de usuario, entonces comencé el aburrido proceso de eliminar las cuentas.
Nos topamos con un problema en el que los usuarios legítimos necesitaban crear cuentas mientras se cerraba el registro de usuarios. Después de pedir sugerencias en Twitter y realizar algunas búsquedas en Google, descubrí el complemento Invite Anyone de Boone Gorges. Invite Anyone (Invitar a todos) permite a los usuarios registrados invitar a personas a registrarse en el sitio por correo electrónico mientras se cierra el registro.

Utilizando variables proporcionadas por el complemento, puede personalizar la línea de asunto de invitación por correo electrónico, el mensaje de invitación y el texto al final del correo electrónico. Utilicé los valores por defecto que aparecieron para satisfacer mis necesidades. También se puede dar a los usuarios registrados la posibilidad de personalizar la línea de asunto de la invitación o el cuerpo del mensaje y limitar el número de correos electrónicos que los miembros pueden enviar al mismo tiempo. En mi caso, el ajuste más importante para habilitar era permitir que las invitaciones por correo electrónico se aceptaran incluso cuando el registro del sitio estuviera deshabilitado.
Hay otros ajustes de configuración, así como el control de quién puede enviar correos electrónicos y limitar las invitaciones de grupo. Sólo invitar también tiene soporte integrado para CloudSponge, un servicio en el que los usuarios pueden invitar a cualquier persona desde sus libretas de direcciones sin salir de su sitio. Las Estadísticas también están incorporadas, pero durante las pruebas no pude obtener la pestaña Estadísticas para cargar. En cambio me cargaba la página Configuración general en su lugar.
Aquí es donde Invite Anyone aparece en la página de perfil de BuddyPress de un usuario. Además de invitar a alguien al sitio, los usuarios también pueden invitarlos a un grupo BuddyPress.

Estoy usando este plugin en un sitio que ejecuta WordPress 4.7 y está funcionando como se esperaba. Hasta el momento, hemos invitado a tres personas y todos ellos pudieron registrar correctamente una cuenta a pesar de que el registro de usuario se ha inhabilitado. Si utiliza BuddyPress y necesita una solución gratuita que implemente un sistema de invitación de usuario, recomiendo Invite Anyone.

Quién es Jeff Chandler

Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.