5 consejos antispam para WordPress
Para terminar la que parece que ha sido la semana de WordPress en el blog, después de haber visto hace unos dias consejos básicos para securizar nuestra instalación de WordPress, vamos a mejorar la comodidad de la moderación de nuestro sitio en WordPress agregando algunos plugins antispam y siguiendo algunos consejos.
1. Akismet: Viene de serie con WordPress. Hay quien cuestiona su calidad como sistema antispam, ya que no es difícil ver cómo ciertos comentarios se lo saltan, y además produce falsos positivos, sin embargo para mí es el sistema básico de defensa contra el spam en wordpress además de plataforma y fuente de inspiración para otros plugins.
2. Utiliza una imagen de verificación de usuario humano para los comentarios. Te la puede facilitar algún plugin como SI CAPTCHA Antispam. Para mí, como lector, los sistemas CAPTCHA son un tostón que a veces se vuelve insufrible, por lo que si no se está recibiendo spam, no creo que sea necesario activarlos.
3. Invisible deffender: Se trata de un sencillo e ingenioso plugin que añade a nuestros formularios de comentarios un par de campos invisibles para el usuario pero nos ayudarán a detectar al spammer. Con el tiempo, Invisible deffender ha ido incorporando otros sistemas antispam, como listas negras.
4. En los ajuste de discusión, prohibe ciertas palabras que los spammers suelen utiliza y que creas que seguramente nunca se utilizarán en tu blog. Seguramente quienes comentan en tu blog no suelen utilizar expresiones como ‘penis enlargement’.
5. SigT una vez más tiene otras técnicas antispam para WordPress muy interesantes para usuarios avanzados. Merece la pena dedicarles un tiempo.
Problemas en la instalación de WordPress 3.0: wp-config.php no se genera
Me ha sucedido ya varias veces al instalar la edición en español de WordPress 3 que, después de ejecutar el instalador y cumplimentar correctamente los datos de conexión con la base de datos, me encuentro con el temible ‘Error establishing a database conexion’. Por más que uno revise los datos o reestablezca las contraseñas, el error persiste.
El error de conexión se encuentra en el lugar más obvio y básico: el fichero wp-config.php que se genera con el asistente de instalación de WordPress 3. wp-config.php, entre otras cosas, recoge esos datos de conexión para uso por WordPress. El fichero se genera correctamente, pero con unos valores de ejemplo que no nos sirven para conectar con nuestra base datos, debemos editar las siguientes líneas con los datos correctos:
/** The name of the database for WordPress */
define('DB_NAME', 'mibasededatos');
/** MySQL database username */
define('DB_USER', 'miusuariodelabasededatos');
/** MySQL database password */
define('DB_PASSWORD', 'micontraseñadelabasededatos');
/** MySQL hostname */
define('DB_HOST', 'mihostdelabasedatos);
Y ya de paso debemos no olvidar, tal y como indicamos en nuestros consejos básicos para securizar nuestra instalación de WordPress, cambiar también el prefijo de las tablas en la línea:
$table_prefix = 'wp_';
Consejos básicos de seguridad en WordPress
WordPress ha abarcado buena parte del mercado de los CMS porque goza de una gran flexibilidad que permite una personalización exacta de cara al usuario final. Gracias a esto, combinado con su sencillez de instalación y configuración, se ha logrado que cualquier persona pueda montar en pocos minutos su propia web, ya sea blog o no, y sin contar con conocimientos técnicos. Esto puede dar lugar a que descuidemos nuesta instalación de WordPress, así que vamos a notar varios consejos básicos para empezar a cumplir con el primer requisito que debe tener un sistema informático: la seguridad. No pretendo este ser la panacea contra los ataques ni la solución a todas las vulnerabilidades, pero esta lista seguro que ayuda mejorar la seguridad en WordPress de buena parte de los usuarios que lo administran.
1. No utilices wp_ como prefijo de las tablas de la base de datos de WordPress, puedes cambiarlo realizar tu instalación de WordPress.
2. El fichero wp-config.php no debe tener permisos de escritura (644)
3. Elimina todos los ficheros de instalación, configuración, y exportación.
4. Que el superusuario no se llame ‘admin’, de esta forma impediremos el uso de la fuerza bruta para avierguar la contraseña de ‘admin’. Este problema se soluciona en WordPress 3, ya que el usuario escoje el nombre del administrador del sistema, pero si aún trabajas con una versión anterior quizás quieras probar Admin Renamer Extended.
5. Echa un vistazo a lo que WP Security Scan tenga que decirte. Se trata de un plugin que comprueba la configuración del sistema para detectar vulnerabilidades.
6. Escanea tu sitio con el plugin WP Exploit Scanner, te ayudará a localizar posibles exploits de tus themes y plugins.
7. Oculta tu versión de WordPress utilizando el plugin Replace WP Version.
8. Desactiva y desinstala todos los plugins que no estés utilizando.
Si crees que se te quedan cortos estos consejos de seguridad, quizás quieras echar un vistazo a los consejos de seguridad de WordPress de SigT, muy interesantes aunque quizás requieran de conocmientos algo más avanzados.
Además de estos diez consejos, si sabes utilizar ficheros de configuración .htaccess, quizás quieras restringir el acceso a wp-content y wp-includes con un fichero que contenga unas líneas como estas, tal y como nos recomienda anieto2k:
Order Allow,Deny
Deny from all
<Files ~ ".(css|jpe?g|png|gif|js)$">
Allow from all
</Files>
Y por supuesto, si administras WordPress desde VPN o LAN, no dejes de seguir el consejo de SBD: restringir el acceso a nivel de servidor:
<Location /wordpress/wp-admin/>
Order deny,allow
Allow from 192.168.1.27
Deny from All
</Location>
Banderas para conmutar idiomas en tu web
Hace tiempo que no me piden explícitamente utilizar banderas de países en un conmutador de idiomas para la web. Es una práctica que nunca llevo a cabo salvo insistencia del cliente porque sólo se me ocurren razones en contra:
- La bandera de un país no es representativa de un idioma: ni la bandera del Reino Unido es representativa del inglés, ni la bandera de España es representativa del español.
- En caso de que se escojan, tendríamos que utilizar para diferentes idiomas banderas muy similares que, al tamaño al que se suelen poner, seríamos incapaces de distinguir.
- Cargar una web con imágenes que para colmo no son representativas no parece buena idea a nivel de funcionalidad, eficiencia ni accesibilidad.
Hoy, me he encontrado Paraiso Friki con esta captura de ZPang y me ha parecido un ejemplo gráfico estupendo:
Ejemplo de mal uso de banderas en un conmutador de idiomas
Buscar en la web de forma rápida con Gnome Do a la manera de Quicksilver
Como comenté en un post anterior, me encanta la posibilidad que brinda Quicksilver para lanzar búsquedas en la web. En Ubuntu tenemos Gnome Do para hacer algo parecido a Quicksilver, y sería ideal poder programarlo para utilizarlo de la forma en que Qucksilver utiliza YubNub. En realidad podemos hacerlo utilizando Gnome Do como lanzador de comandos de consola, pero como eso sería algo engorroso, vamos a preparar una forma de atajar las búsquedas mediante un sencillo script de consola al que llamaremos desde Gnome Do.
Paso 0: Instalar Gnome Do.
Si no tienes instalado Gnome Do, instálalo desde synaptic o desde consola:
sudo apt-get install gnome-do
Paso 1: el script de consola.
El script que vamos a utilizar nos va a servir unicamente para simplificar la forma de lanzar las búsquedas. Sólo necesitamos abrir un editor de texto y guardar en nuestra carpeta personal esta línea:
#!/bin/bash
x-www-browser http://www.yubnub.org/parser/parse?command=$1+$2+$3+$4
x-www-browser llamará al navegador web por defecto, pasando como parámetro la URL que necesitamos, en este caso la URL para que YubNub realice una búsqueda, pasándo como parámetros $1, el comando que determinará el servicio web donde vamos a buscar (Google, GMaps, IMDB, RAE…), y $2,$3, $4… nuestra cadena de búsqueda.
Guardamos el script como search en nuestra carpeta personal -obviamos la extensión para que sea más rápido de teclear- y para ejecucarlo, buscando por ejemplo un mapa de Sevilla, haremos:
sh search gmaps sevilla
Paso 2: hacerlo rápido
No necesitamos hacerlo desde consola, podemos hacerlo tecleando directamente desde GNome Do, si hacemos <Super>+Space y tecleamos el comando anterior.
Quicksilver y GNome Do: lanzando aplicaciones de forma rápida en Mac OSX y Ubuntu
Quicksilver es un lanzador de aplicaciones para Mac OSX que, como todo, inspira opiniones encontradas entre los usuarios: unos lo elevan a la categoría de maravilla imprescindible, otros lo consideran innecesario y dicen que es suficiente tener Spotlight. Yo, por las razones que cuenta Berto Pena en ThinkWasabi, pertenezco al primer grupo.
Las posibilidades de Quicksilver van mucho más allá que las de Spotlight, permitiendo realizar operaciones mucho más rápido, al estilo de Ubiquity en Firefox. Pero hay funcionalidad que, por sí sola, justifica el uso de Quicksilver, es la posibilidad de lanzar búsquedas en toda la web utilizando YubNub.
Para los usuarios de Linux, no dejéis de echar vistazo a GNome Do (los usuarios de Ubuntu lo teneis en los repositorios de Lucid Lynx), que como su propio nombre indica, apenas es funcional en KDE, pero como lanzador de aplicaciones (y como imitador de la interfaz) se aproxima mucho a Quicksilver, además de ser más cómodo que el menú K o Alt + F2.
Ubiquity para Firefox: conectar el lenguaje con la Web
Ubiquity for Firefox from Aza Raskin on Vimeo.
Ubiquity es seguramente uno de los addons para Firefox más espectaculares que he visto por la capacidad que tiene para facilitar tareas tan comunes como enviar un email con datos adjuntos, lanzar búsqueda, etc…
Bajo la premisa de “conectar la web con el lenguaje”, nos permite (como podeis ver en el video) adjuntar un mapa a un email con apenas teclear un atajo de teclado y el lugar al que queremos que apunte el mapa, lanzar búsquedas en wikipedia y ver los resultados al instante en pantalla sin la necesidad de acceder a la web.
Descarga Ubiquity (para Firefox).
Tutorial Ubiquity.
La codificación del pato
Si camina como un pato, nada como un pato, y hace cuack, entonces puedes tratarlo como un pato.
En programación, no sólo utilizamos los patos en técnicas de depuración de baja tecnología, sino que además, basados en el método de deducción por inducción del Test del Pato, nos permitimos, en sistemas de tipificación dinámica, declarar variables sin avisar al sistema de qué tipo de datos estamos utilizando.
Si parpa como un float, entonces el sistema lo tratará como un float. De cajón.
Ubuntu Lucid Lynx se queda sin sonido
Ya vimos, al descubrir Ubuntu Lucid Lynx, que podemos tener problemas con el sonido. A mí me sucedió cuando actualicé de Karmic Koala y hace un par de días me preguntaban por este problema (que al menos para mí se ha convertido casi en una tarea rutinaria), así que creo que es interesante volver a tocar el tema.
Lo primero que tenemos que comprobar es si tenemos volúmen. Lo más fácil será hacerlo desde el icono de la bandeja de sistema, pero desde consola también es posible lanzando alsamixer.
Si todo está OK, procedemos a borrar la carpeta de configuración, en nuestra carperta personal:
sudo rm -R /home/usuario/.pulse
Donde usuario es tu nombre de usuario en el sistema.
