Actualización de seguridad: WordPress 4.4.2

por el en la categoría Aplicaciones, General, Seguridad

wordpressEl popular CMS para blogs ha publicado la versión 4.4.2, una nueva actualización que corrige dos fallos graves de seguridad que afectan a todas las versiones anteriores, por lo que es muy recomendable instalarla.

Los dos fallos que corrige WordPress 4.4.2 son un posible agujero que permite ataques SSRF (Server-Side Request Forgery) y otro que permite ataques de redirección abierta.

Además de estos fallos, corrige 17 bugs menores detectados en las versiones 4.4 y 4.4.1.

Para más información sobre la actualización, se puede consultar el anuncio oficial de WordPress.

Grave bug en Magento permite tomar el control a atacantes

por el en la categoría Aplicaciones, General, Seguridad

Un grave bug que afecta a todas las versiones de Magento previas a la 1.9.2.3 (Community Edition) y a la 1.14.2.3 (Enterprise) ha puesto en riesgo millones de instalaciones del popular CMS según Sucuri, empresa de seguridad que lo ha descubierto y reportado.

La vulnerabilidad permite que un atacante use técnicas de XSS e inyecte código Javascript maliciso dentro de los formularios de registro de cliente, que Magento ejecuta con permisos de administrador posibilitando que el atacante tome el control del sitio, ya que puede ejecutar cualquier cosa que un administrador legítimo puede, como crear más cuentas de administrador, obtener datos privados de clientes, etc.

El fallo está en las librerías que forman el nucleo de Magento, concretamente en las que gestionan el apartado de administradores. Este tipo de vulnerabilidad aparece cuando una aplicación no limpia correctamente lo información que recibe por parte de los usuarios.

El bug ha sido ya parcheado, por lo que la solución es actualizar las instalaciones a la última versión de Magento.

Más información:
¿Qué es el Cross-Site Scripting o XSS?
Información sobre de la vulnerabilidad

Cupón Descuento Evidalia Hosting

por el en la categoría General

cuponNos complace informarte que hasta el próximo 31 de enero podrás disfrutar de un descuento en todas las compras y/o renovaciones realizadas a través de nuestra web.

Para ello solo tienes que utilizar el siguiente cupón en el proceso de compra:

E777HBFGV88

Aprovecha la promoción.

Tareas programadas desde Plesk en tu VPS

por el en la categoría General, Linux, Plesk, VPS

folder-blue-scheduled-tasks-iconUna tarea programada consiste en configurar una funcionalidad concreta para que sea ejecutada de manera automática con una frecuencia de tiempo determinada. Dicha funcionalidad puede ser cualquier cosa, como un envío de correo a clientes, ejecución de copias de seguridad, actualización de estadísticas, etcétera.

Para ello, los sistemas operativos Linux (los que usan nuestros VPS) utilizan el programa cron, y Plesk incluye un interfaz gráfico para crear tareas programadas con cron de manera muy sencilla.

Vamos a ver un ejemplo práctico: imaginemos que tenemos un script PHP que se encarga de generar un backup completo de nuestra web (archivos y base de datos), y al ser una tarea pesada queremos que se haga de madrugada cuando hay menos visitas, y además queremos que se haga de manera automática una vez a la semana.

Para configurarlo, vamos a la sección de Tareas Programadas del panel Plesk en nuestro VPS, y le damos a Añadir nueva. Veremos una serie de campos, de los cuales los más importantes son el tipo de tarea y la frecuencia. Las últimas versiones de Plesk permiten además elegir en tipo de tarea si es un comando de linux, acceder a una URL o ejecutar un script PHP.Captura de pantalla 2016-01-19 a las 16.32.15La frecuencia en este caso es sencilla de configurar con el interfaz de Plesk, pero existe la posiblidad de configurarla con el formato original de cron (con la ayuda de un generador), lo cual le da una enorme flexibilidad.

Una vez guardada, la tarea queda programada y se ejecutará en la frecuencia indicada, pero para comprobar que funciona Plesk incluye el botón “Ejecutar ahora” con el que podemos probar el funcionamiento.

Los frameworks CSS más populares

por el en la categoría Diseño y Programación, General

Un framework CSS es un sistema de hojas de estilo que nos ayuda a dar una estructura responsiva y un estilo básico a nuestra web de manera relativamente rápida, y normalmente integran un sistema de grid (malla) y otros elementos HTML como botones, formularios, menús de navegación, y en el caso de algunos frameworks incluso algunas funcionalidades JavaScript.

La abanico de frameworks disponibles es bastante amplio, cada uno con sus ventajas e inconvenientes, sencillez de aprender, documentación disponible, extensibilidad, etcétera, haciendo la elección de uno un poco complicada. Vamos a repasar por encima los tres que probablemente son los más populares.

twitter-bootstrapEn primer lugar está Bootstrap, desarrollado por Twitter bajo el concepto mobile first sin olvidar el escritorio, utiliza un grid de 12 columnas y trae integrada mucha funcionalidad JavaScript y diversos complementos. Al ser el más popular, es sencillo encontrar documentación y ayuda en la red.

foundationLe sigue en segunda posición Foundation. En su web afirman ser el framework más avanzado al hacer uso de las funcionalidades más modernas de los navegadores. Debido a esto y a su alta capacidad para ser personalizado, es un framework muy a tener en cuenta.

logo_pure@2xPor último y no menos importante, en tercera posición está Pure.css, desarrollado por Yahoo, que incluye todo le necesario para estructurar una web responsiva, con módulos para grid, formularios, botones, etcétera. El mayor punto a favor de Pure es que usar todos los módulos que incluye ocupa tan sólo 4 kb.

 

Felices Fiestas

por el en la categoría General

felicesfiestas

En estos días tan especiales el equipo de Evidalia Hosting te desea Feliz Navidad y Próspero 2016.

Aprovecha nuestro cupón de Navidad con un descuento del 10%: NAVIDAD2015

El Equipo de Evidalia Hosting
www.evidaliahost.com

Vulnerabilidad crítica en Joomla

por el en la categoría Aplicaciones, General, Seguridad

Una nueva vulnerabilidad en Joomla que afecta a las versiones desde 1.5.0 a la 3.4.5 y que es considerada como severa, ha sido parcheada en la versión 3.4.6.

La vulnerabilidad permite guardar en la base de datos valores de sesión que no son filtrados correctamente y que permiten la ejecución de código remoto, lo cual implica un peligro crítico para las instalaciones del CMS.

Esta vulnerabilidad está siendo explotada por hackers desde hace unos días, por lo que reiteramos la importancia de actualizar cuanto antes a la versión 3.4.6 de Joomla.

Información sobre la vulnerabilidad en el centro de seguridad de Joomla.

Nueva versión de WordPress 4.4

por el en la categoría Aplicaciones, General

wordpressLos desarrolladores de WordPress vuelven a entregarnos una nueva versión del CMS, la 4.4, denominada “Clifford” en honor al músico de jazz Clifford Brown.

Esta nueva versión mejora aspectos como la adaptabilidad de los temas, haciéndolos más responsive, es decir que se adapten a los distintos tamaños de pantalla de los dispositivos con los que se accede (ordenador, móvil, tablet, etc), e incorpora el nuevo tema Twenty sixteen.

responsive

Incluye también la capacidad de incrustar entradas de otros sitios web que usen WordPress, basta con añadir el enlace a una entrada en el editor de para que aparezca. Nada como un ejemplo para ilustrar esta nueva funcionalidad:

WordPress 4.4 “Clifford”

Internamente, WordPress 4.4 ha introducido la estructura de la API REST que servirá a los desarrolladores para integrar mejor sus sitios. También mejoran algunas funciones internas y añaden una caché a los comentarios para mejorar la velocidad de las consultas sobre los mismos.

Como siempre, recomendamos actualizar a esta nueva versión de WordPress cuanto antes, así como actualizar los temas y plugins para aprovecharse de las nuevas características del CMS.

Consejos para elegir una contraseña segura

por el en la categoría General, Seguridad

password-protect1Uno de los vectores de ataque más comunes en Internet son las contraseñas débiles, que son obtenidas por hackers por medio de ataques de fuerza bruta, consiguiendo acceso a todo tipo de servicios online, paneles de control, cuentas de correo, etcétera, con el grave peligro que esto entraña, desde modificación de contenido web, envío de spam, o control de cuentas bancarias.

Como usuarios, ¿qué podemos hacer para dificultar o imposibilitar a un atacante la obtención de nuestra contraseña? La única manera es mediante el uso de contraseñas seguras. Vamos a ver algunos características que hacen que una contraseña sea débil para evitarlas y qué características las fortalecen para implementarlas en nuestras contraseñas, además de varios consejos en general para mejorar nuestra seguridad:

  • No usar contraseñas cortas, sólo con letras o sólo con números, o patrones simples, ej: 123456, qwerty, 123abc
  • No usar palabras de diccionario, como nombres, hobbies, etc, ej: antonio, tenis
  • No usar información personal, como fechas de cumpleaños, apellidos ni caracteres repetitivos, ej: 20101970, hhh55
  • No repetir la misma contraseña para distintos servicios, ya que si fuese hackeada, el atacante lograría acceso a todos los servicios en lugar de sólo a uno. Para no tener que recordar una contraseña para cada página o servicio, podemos inventar un patrón, por ejemplo si nuestra contraseña es PASS, un patrón muy simple sería:
    • Ebay -> ePASSy
    • Amazon -> aPASSn
    • Google -> gPASSe
  • Usar signos de puntuación y símbolos del sistema, como: ¿$;%&!/*
  • Crear un acrónimo y mezclar números, símbolos, mayúsculas y minúsculas, por ejemplo convertimos la frase “este acrónimo crea una contraseña más segura” a “eAc1C+S”
  • Usar un generador de contraseñas, normalmente generan contraseñas seguras, con muchos caracteres, mezclando símbolos, números, etcétera, por ejemplo: R64pG;FErEh$%*y
  • Es recomendable combinar las diferentes técnicas para crear una contraseña segura en lugar de usar sólo una de ellas
  • Podemos usar un software para la gestión de contraseñas, que se encarga de la generación de contraseñas seguras y de guardarlas, pudiendo acceder a todas ellas mediante una clave maestra, que sería la única que necesitamos recordar.

La Universidad de Boston tiene una guía avanzada para la creación de contraseñas seguras, en la cual da consejos, técnicas y cálculos de combinaciones posibles.

PHP 7.0.0 a la vuelta de la esquina

por el en la categoría Diseño y Programación, General

php-logoLa nueva versión del lenguaje está en las últimas fases de desarrollo, habiendo sido publicada hace escasos días la octava Release Candidate. Se espera que la versión definitiva salga el 3 de diciembre, y estas son algunas de las principales nuevas características y cambios importantes que nos trae PHP 7.0.0:

  • Mejora en el rendimiento: PHP 7 es hasta 2 veces más rápido que PHP 5.6, gracias al nuevo Zend Engine.
  • Muchos errores fatales ahora son Excepciones.
  • Eliminación de librerías y extensiones antiguas no soportadas.
  • Nuevo  “null coalescing operator (??)“, u operador de uso combinado de NULL que permitirá código como:
    $titulo = $tituloProporcionado ?? 'Titulo por defecto';
    
    // Equivale a:
    $titulo = (isset($tituloProporcionado) ? $tituloProporcionado : 'Titulo por defecto');
    
  • Nuevo “Combined comparison Operator (<=>)”, u operador de comparacion combinada que permitirá saber si un número es igual, inferior o superior a otro en una sola operación.
  • Declaración de tipos de retorno: permitirá declarar el tipo de valor de retorno de las funciones.
  • Declaración de tipos escalares: permitirá declarar el tipo de variable que se debe pasar a una función (int, float, string y bool) y podrá ser hacerse que sea de forma estricta o no.
  • Clases anónimas
  • Consistencia en el soporte 64-bits