Focus

Leer más » Comentar

Security

Leer más » Comentar

Entrevista de Trabajo

Leer más » Comentar

App

Leer más » Comentar

Top RSS semanal: del 6 al 12 de abril de 2015: DeLonghi, Qurtuba, el futuro de WordPress SEO y más

En el Top RSS de esta semana quiero empezar con algo un poco offtopic, aunque no del todo. Creo que el sueño de muchos de vosotros que os pasáis horas delante del ordenador, programando, desarrollando, moviendo redes sociales y en generla, disfrutando de la tecnología, es tener una buena cafetera. Eso pensé yo al comprarme una cafetera DeLonghi… pero os recomiendo que os leáis esta entrada y los comentarios para entender porque desde ahora no volveré a tratar con DeLonghi y ninguna de su grupo. read more

Leer más » 1 Comentario

Lo mejor de mi RSS del 9 al 15 de marzo de 2015: WordPress, seguridad Linux, WooCommerce y Github

Me gusta hacer este tipo de entradas justo el domingo, pero es verdad que si me espero un día o dos, casi que mejor, así tenemos también las noticias y entradas del domingo para rellenar algo más esta lista que espero que os resulte interesante. Llevo ya unos pocos meses… o años haciéndola y creo que aunque no tiene muchos comentarios como otro contenido de Linux Hispano, sí que es una buena práctica reconocer el contenido de calidad que se genera en los demás espacios de la web.

Vamos a ver cuáles han sido las noticias elegidas de esta semana: read more

Leer más » 1 Comentario

Lo mejor de mi timeline del 8 al 14 de marzo

Guía para SEO en WordPress:

¡Pero cuidado! Estemos atentos a la última vulnerabilidad de este plugin:

Ojo, #vulnerabilidad grave en el plugin #SEO by #Yoast de #WordPress afecta a millones de páginas Web. | http://t.co/tb5nfpZ99G #infosec

— Miguel A. Arroyo (@Miguel_Arroyo76) March 12, 2015 read more

Leer más » 1 Comentario

Jugando de forma segura en Internet, mejor con Linux

Es muy normal hoy en día tener inquietudes acerca de la seguridad de nuestros equipos y móviles. Lo es mucho más, si incluimos que podemos trabajar con banca online o con, como es el caso, juegos donde intervenga el dinero. Este tipo de inquietudes se disipan casi al completo si usamos Linux, y más aún, si sólo usamos software libre en nuestro equipo.
Por poneros un ejemplo, muchos os preguntaréis el porqué de los teclados que aparecen en la pantalla flotante al introducir los datos en ciertas entidades bancarias. Imaginemos el caso de que tenéis instalado algún tipo de troyano en Windows, la secuencia sería como sigue: read more

Leer más » 1 Comentario

Lo mejor de mi timeline del 21 al 27 de septiembre

Leer más » 1 Comentario

wp_kses() o cómo limpiar cadenas HTML en WordPress para evitar ataques XSS

Cuando desarrollo plugins y themes para WordPress en CODECTION siempre procuro mirar por la seguridad, “sanitizando” variables tanto para evitar ataques vía inyección SQL como para evitar ataques XSS. Es muy frecuente, que si recibes peticiones y luego las devuelves por pantalla, las variables que manejes, si las maneja el usuario de alguna manera, puedan terminar siendo el origen de una ataque XSS.

Algo tan sencillo como pasar una etiqueta script o iframe en un sitio conveniente y además de un ataque XSS, eres una fuente de phising para el resto de la red. Por fortuna, WordPress facilita mucho la vida al desarrollador al respecto y para evitar este tipo de ataques nos ofrece una función que además es extensible en su funcionamiento vía parámetros.

La función en cuestión es wp_kses() y aunque es similar a strip_tags(), una función nativa de PHP, suele recomendarse para cuestiones de seguridad.

wp_kses-vs-strip_tags

¿Para qué usamos wp_kses?

Básicamente deciros que sirve para limpiar una cadena de elementos HTML indeseados (imaginad otros usos que no sea el de seguridad, se me viene a la cabeza un uso de “limpieza” de una cadena proveniente de Microsft Word o LibreOffice Write).

Tiene esta forma:

wp_kses($string, $allowed_html, $allowed_protocols);

Y los parámetros que recibe indican exactamente:

  • $string: cadena a filtrar
  • $allowed_html: etiquetas HTML que se permitirán y que no se limpiaran
  • $allowed_protocols: protocolos permitidos, por defecto vienen unos pocos y siempre se asegura que no va a permitirse etiquetas ni invocaciones a ficheros JavaScript

La función devolverá el código HTML totalmente limpiado.

El segundo parámetro es interesante, porque podemos definir también qué atributos pasarán de cada etiqueta, un ejemplo curioso:

array(
    'a' => array(
        'href' => array(),
        'title' => array()
    ),
    'br' => array(),
    'em' => array(),
    'strong' => array(),
);

Ejemplo

El ejemplo es original de Simon Wheatly. Tenemos de entrada:

Wisi <a href=”#” style=”color: red;”>defui nunc</a> dignissim <strong class=”weird”>transverbero ideo vel</strong> utinam blandit, iaceo meus epulae enim amet nibh sed brevitas. Pala consequat <script type=”text/javascript” src=”http://example.com/certainly/do/not/want/this.js”></script> capio sino regula typicus <small>luptatum</small> olim ullamcorper uxor in verto.

Vamos a dejar sólo:

  • La etiqueta ‘a’ y sus atributos ‘href’, ‘title’ y ‘target’
  • Y las etiquetas ’em’ y ‘strong’ => array()

El código sería este:

$entrada = 'Wisi <a href="#" style="color: red;">defui nunc</a> dignissim <strong class="weird">transverbero ideo vel</strong> utinam blandit, iaceo meus epulae enim amet nibh sed brevitas. Pala consequat <script type="text/javascript" src="http://example.com/certainly/do/not/want/this.js"></script> capio sino regula typicus <small>luptatum</small> olim ullamcorper uxor in verto.'; $etiquetas_permitidas = array( 'a' => array( 'href' => array(), 'title' => array(), 'target' => array() ), 'em' => array(), 'strong' => array(), ); $salida= wp_kses( $entrada, $etiquetas_permitidas ); echo $salida; read more

Leer más » 1 Comentario

Lo mejor de mi RSS del 18 al 24 de agosto de 2014

La semana pasada estuve de vacaciones, así que ni pude leer apenas el RSS ni pude escribir esta entrada, por lo que no pude escribirla como de costumbre. Esta semana estoy de vuelta, así que ya va tocando este resumen de lo mejor de la red sobre temas relacionados con la tecnología libre:

La información almacenada en los discos duros es valiosa y por su propia tecnología, ya sea rígido o de estado sólido, todos son susceptibles de tener problemas de pérdida de datos: Reparar sectores y recuperar un disco duro (HDD) en Linux – Desde Linux Porque a muchos de vosotros os gustará tener un blog, no está mal aprender a monetizarlo: Convierte tu blog en un activo digital que vale miles de euros – Marketing de guerrilla Una gran herramienta para escanear la seguridad de los WordPress (que existan herramientas de este tipo es una diferencia importante y a favor de WordPress respecto a otros sistemas como Drupal o Joomla!):

WPScan, una magnífica herramienta de seguridad para auditar WordPress – Blog de David Rabáez read more

Leer más » 1 Comentario

Lo mejor de mi RSS del 4 al 10 de agosto de 2014

Mitad de agosto y el ritmo baja pero no para. En CODECTION vamos a estar una semana desconectados y aquí en Linux Hispano no quiero dejar de publicar esta entrega semanal para mantener un mínimo de publicaciones.

  • Los sistemas de control de versiones son básicos para todos los desarrolladores que trabajan en equipo y que quieren tener su código ordenado, para facilitar la vida cuando estás en preproducción nada mejor que leer esta entrada: Usando git en (pre)producción – Bi0[x]iD’s WaY oF LiFe
  • WordPress es el CMS más popular y eso es beneficioso en multitud de aspectos, uno de ellos es que desarrolladores de multitud de grandes equipos como el Google Security Team estén al tanto buscando bugs de seguridad para solucionarlos, una nueva versión de seguridad: WordPress 3.9.2 Security Release – WordPress News
  • Que Linux sea software libre es garantía de diversidad, un ejemplo: Ubuntu CE: Una distribución para religiosos – Desde Linux
  • read more

    Leer más » 1 Comentario

    Akismet no conecta. Configurar Akismet detrás de un proxy

    Si Akismet, el archiconocido plugin de WordPress para evitar SPAM, no es capaz de conectar con sus servidores puede ser por dos motivos, o porque sus servidores están caído (esto no suele pasar), o porque la red donde nos encontramos está bajo un firewall. ¿Qué hacemos en este caso? posiblemente los administradores de esa red provean un salida opcional mediante proxy.

    proxy_akismet_linux_hispano

    Este fue nuestro caso en uno de nuestro últimos proyecto con Codection. No citaré el nombre de la organización, pero si diré que tiene un volumen bastante grande, y la opción de abrirnos puertos o pasarelas para un servicio determinado no suele ser una opción que se ofrezca. ¿Entonces? Lo que os adelantaba arriba, la instalación de WordPress saldrá por un proxy. read more

    Leer más » 1 Comentario

    Seguridad Linux

    Leer más » 3 Comentarios

    Lo mejor de mi timeline del 27 de octubre al 2 de noviembre

    https://twitter.com/jmorales_26/status/396930330114150400

    Leer más » 1 Comentario