En el Top RSS de esta semana quiero empezar con algo un poco offtopic, aunque no del todo. Creo que el sueño de muchos de vosotros que os pasáis horas delante del ordenador, programando, desarrollando, moviendo redes sociales y en generla, disfrutando de la tecnología, es tener una buena cafetera. Eso pensé yo al comprarme una cafetera DeLonghi… pero os recomiendo que os leáis esta entrada y los comentarios para entender porque desde ahora no volveré a tratar con DeLonghi y ninguna de su grupo.
Me gusta hacer este tipo de entradas justo el domingo, pero es verdad que si me espero un día o dos, casi que mejor, así tenemos también las noticias y entradas del domingo para rellenar algo más esta lista que espero que os resulte interesante. Llevo ya unos pocos meses… o años haciéndola y creo que aunque no tiene muchos comentarios como otro contenido de Linux Hispano, sí que es una buena práctica reconocer el contenido de calidad que se genera en los demás espacios de la web.
Vamos a ver cuáles han sido las noticias elegidas de esta semana:
Guía para SEO en WordPress:
Guía para configurar el plugin “SEO by Yoast” en #WordPress y posicionar tu blog por @maxcf http://t.co/xAZ1UvKxv4
— Jota (@jjdiazaparicio) March 12, 2015
¡Pero cuidado! Estemos atentos a la última vulnerabilidad de este plugin:
Ojo, #vulnerabilidad grave en el plugin #SEO by #Yoast de #WordPress afecta a millones de páginas Web. | http://t.co/tb5nfpZ99G #infosec
— Miguel A. Arroyo (@Miguel_Arroyo76) March 12, 2015
Es muy normal hoy en día tener inquietudes acerca de la seguridad de nuestros equipos y móviles. Lo es mucho más, si incluimos que podemos trabajar con banca online o con, como es el caso, juegos donde intervenga el dinero. Este tipo de inquietudes se disipan casi al completo si usamos Linux, y más aún, si sólo usamos software libre en nuestro equipo.
Por poneros un ejemplo, muchos os preguntaréis el porqué de los teclados que aparecen en la pantalla flotante al introducir los datos en ciertas entidades bancarias. Imaginemos el caso de que tenéis instalado algún tipo de troyano en Windows, la secuencia sería como sigue:
¿Sabías que existe una "tabla periódica" de #plugins de #WordPress? http://t.co/ZpiRKhF0Fw
— Berto López (@c2cero) September 27, 2014
IV WordPress Meetup Córdoba: talleres y ponencias gratis para todos los amantes de WordPress que quieran acercarse http://t.co/QrAMwtCePq
— Codection (@codection) September 26, 2014
Elegir idioma de las entradas en #WordPress http://t.co/Z8ObxQnqoR. vía @ayudawp
Cuando desarrollo plugins y themes para WordPress en CODECTION siempre procuro mirar por la seguridad, “sanitizando” variables tanto para evitar ataques vía inyección SQL como para evitar ataques XSS. Es muy frecuente, que si recibes peticiones y luego las devuelves por pantalla, las variables que manejes, si las maneja el usuario de alguna manera, puedan terminar siendo el origen de una ataque XSS.
Algo tan sencillo como pasar una etiqueta script o iframe en un sitio conveniente y además de un ataque XSS, eres una fuente de phising para el resto de la red. Por fortuna, WordPress facilita mucho la vida al desarrollador al respecto y para evitar este tipo de ataques nos ofrece una función que además es extensible en su funcionamiento vía parámetros.
La función en cuestión es wp_kses() y aunque es similar a strip_tags(), una función nativa de PHP, suele recomendarse para cuestiones de seguridad.
¿Para qué usamos wp_kses?
Básicamente deciros que sirve para limpiar una cadena de elementos HTML indeseados (imaginad otros usos que no sea el de seguridad, se me viene a la cabeza un uso de “limpieza” de una cadena proveniente de Microsft Word o LibreOffice Write).
Tiene esta forma:
wp_kses($string, $allowed_html, $allowed_protocols);
Y los parámetros que recibe indican exactamente:
La función devolverá el código HTML totalmente limpiado.
El segundo parámetro es interesante, porque podemos definir también qué atributos pasarán de cada etiqueta, un ejemplo curioso:
array(
'a' => array(
'href' => array(),
'title' => array()
),
'br' => array(),
'em' => array(),
'strong' => array(),
);Ejemplo
El ejemplo es original de Simon Wheatly. Tenemos de entrada:
Wisi <a href=”#” style=”color: red;”>defui nunc</a> dignissim <strong class=”weird”>transverbero ideo vel</strong> utinam blandit, iaceo meus epulae enim amet nibh sed brevitas. Pala consequat <script type=”text/javascript” src=”http://example.com/certainly/do/not/want/this.js”></script> capio sino regula typicus <small>luptatum</small> olim ullamcorper uxor in verto.
Vamos a dejar sólo:
El código sería este:
$entrada = 'Wisi <a href="#" style="color: red;">defui nunc</a> dignissim <strong class="weird">transverbero ideo vel</strong> utinam blandit, iaceo meus epulae enim amet nibh sed brevitas. Pala consequat <script type="text/javascript" src="http://example.com/certainly/do/not/want/this.js"></script> capio sino regula typicus <small>luptatum</small> olim ullamcorper uxor in verto.'; $etiquetas_permitidas = array( 'a' => array( 'href' => array(), 'title' => array(), 'target' => array() ), 'em' => array(), 'strong' => array(), ); $salida= wp_kses( $entrada, $etiquetas_permitidas ); echo $salida;
La semana pasada estuve de vacaciones, así que ni pude leer apenas el RSS ni pude escribir esta entrada, por lo que no pude escribirla como de costumbre. Esta semana estoy de vuelta, así que ya va tocando este resumen de lo mejor de la red sobre temas relacionados con la tecnología libre:
La información almacenada en los discos duros es valiosa y por su propia tecnología, ya sea rígido o de estado sólido, todos son susceptibles de tener problemas de pérdida de datos: Reparar sectores y recuperar un disco duro (HDD) en Linux – Desde Linux Porque a muchos de vosotros os gustará tener un blog, no está mal aprender a monetizarlo: Convierte tu blog en un activo digital que vale miles de euros – Marketing de guerrilla Una gran herramienta para escanear la seguridad de los WordPress (que existan herramientas de este tipo es una diferencia importante y a favor de WordPress respecto a otros sistemas como Drupal o Joomla!):WPScan, una magnífica herramienta de seguridad para auditar WordPress – Blog de David Rabáez
