Actualización de seguridad para WordPress


 

recorte

 

WordPress como todos  sabemos  es un sistema de gestión de contenido (o CMS, del inglés Content Management System) enfocado a la creación de bitácoras web (sitios web periódicamente actualizados) desarrollado en PHP y MySQL, bajo licencia GPL y código modificable  , creado a partir del desaparecido b2/cafelog y que se ha convertido junto a MovableType en el CMS más popular de la blogosfera y en el más popular con respecto a cualquier otro CMS de aplicación general

WordPress es el rey indiscutible por implantación y posibilidades entre las plataformas.Las causas de su enorme crecimiento son:

  • Su licencia
  • Su facilidad de uso
  • Sus características como gestor de contenidos.
  • Enorme comunidad de desarrolladores y diseñadores, encargados de desarrollarlo en general o crear plugins y temas para la comunidad.

El desarrollador principal MattMullenweg eligió el nombre WordPress por sugerencia de su amiga Christine Selleck.

Las versiones lanzadas de WordPress tienen como nombre en clave músicos de jazz como por ejemplo la versión 1.0, Mingus. La versión 1.5, que fue lanzada a mediados de febrero de 2005 tiene como nombre en clave “Strayhorn” (Billy Strayhorn) y ofreció una gama amplia de nuevas características como por ejemplo el uso de páginas estáticas.

Actualmente la versión mas instalada  es la 3.7.1(“Basie”), pero  se ha publicado la versión 3.8.2 de WordPress que soluciona dos vulnerabilidades e incluye tres implementaciones de seguridad.

Vulnerabilidades:

  •  CVE-2014-0166: fallo que podría permitir a un atacante falsificar la cookie de autenticación.
  •  CVE-2014-0165: elevación de privilegios al permitir a un usuario con el rol de Colaborador publicar entradas de forma indebida.  Implementaciones:
  •  Se incluye más información en los pingbacks para poder identificar peticiones maliciosas.
  •  Se soluciona una inyección SQL de bajo impacto.
  •  Se implementan filtros en la librería Plupload para prevenir cross-domain scripting.
  • Se consideran vulnerables las versiones anteriores a la 3.8.2 por lo que se recomienda su actualización.

Más información: WordPress 3.8.2 Security Releasehttp://wordpress.org/news/2014/04/wordpress-3-8-2/

Anuncios

Mucha mas seguridad para tu blog en wordpress


Su sitio WordPress.com es su hogar en el Internet, y seguro que desea mantener ese hogar seguro. Probablemente   ya habra  elegido una contraseña única y  muy difícil para su cuenta. Para agregar otra capa de seguridad para el hogar, ahora se puede permitir autenticación de dos pasos, también conocida como autenticación de dos factores,lo cual es un segundo paso en el proceso de inicio de sesión que nadie más que usted puede acceder.

Visión de conjunto

La autenticación de dos factores es un método para proteger las cuentas que requieren que usted no sólo sabe algo (una contraseña) para acceder, sino también que posees algo. La ventaja de este enfoque de la seguridad es que incluso si alguien adivina su contraseña, tienen que haber robado su posesión con el fin de entrar en su cuenta.

En WordPress.com, ofrecen  la autenticación de dos factores a través del teléfono móvil. En primer lugar, compruebe que tiene acceso al teléfono asociado al número de teléfono que especifique mediante el envío de un código al teléfono a través de uno de un par de métodos. Una vez que haya verificado la posesión, a continuación, cada vez que inicie sesión con su contraseña, nos pueden enviar un nuevo código al teléfono, el cual se debe especificar antes de iniciar sesión Se añade un pequeño paso extra al proceso de inicio de sesión, pero hace que su cuenta  sea e mucho más segura.

La adición de la autenticación de dos factores para su cuenta y por lo tanto la verificación de que usted tiene acceso al teléfono también ofrece  una manera de verificar la propiedad de la cuenta WordPress.com si alguna vez olvida su contraseña y necesite asistencia tan interactiva

 

Configuración con Google Authenticator

Para configurar la autenticación de dos factores a través de la aplicación Google Authenticator en tu teléfono, primero vaya a la configuración de la página de WordPress.com. Si estás registrado en WordPress.com, encontrarás un enlace bajo el logotipo de WordPress en la barra de admin:

accountsettings1

O bien, se puede llegar a la configuración de su imagen de Gravatar desde la página principal WordPress.com:

accountsettings2

A continuación, haga clic en el enlace de “Seguridad” en la barra de navegación en el lado derecho de la pantalla:

2fa-security-link

Aquí se le pedirá que seleccione su país y proporcionar su número de teléfono móvil (sin código y espacios ni guiones país). Haga clic en Siguiente Paso.

2fa-step1

A continuación, deberá seleccionar el tipo de teléfono y siga las instrucciones para obtener la aplicación Google Authenticator, que nos permitirá comprobar el acceso al teléfono y sincronizarlo con tu cuenta de WordPress.com.

2fa paso-2-autenticador

Una vez instalada la aplicación Google Authenticator, haga clic en Verificar el código ahora. Un código QR aparecerá en pantalla. Abre la aplicación Google Authenticator en tu teléfono y agregar una nueva entrada mediante el escaneo del código de barras. Aparecerá un número de seis dígitos en la aplicación Google Authenticator. Entrar en ella el espacio en blanco debajo del código de barras en la pantalla de ajustes.

2fa-barcode.png

Seguidamente se le preguntará si desea imprimir códigos de copia de seguridad. No se salte este paso, ya que va a ser la única manera de volver a iniciar sesión en su cuenta sin ayuda teléfono van a faltar! Haga clic en Siguiente Paso.

En este punto, su sitio está habilitado de dos factores de autenticación, ya que wordpree tiene un número de teléfono en el registro a efectos de verificación de cuenta. Un paso de seguimiento le permite confirmar que sus códigos de copia de seguridad funcionan mediante la introducción de uno de los códigos BIDI  impresos.

2FA-BACKUPCODES-verify

 

Configuración con códigos de SMS

Si usted es incapaz de configurar la autenticación de dos factores mediante la aplicación Google Authenticator, también puede configurarlo para que funcione a través de mensajes SMS. Para ello, vaya a su configuración de la página, como se describe más arriba, pero a continuación, en el uso de dos de autenticación Paso a través de SMS.

2fa-sms-step1

En la siguiente pantalla, haga clic en Enviar SMS. Dentro de unos momentos, debe recibir un mensaje de texto que incluye un número de 7 dígitos. Introduzca este número en el espacio en blanco y haga clic en Verificar Código.

2fa-sms-step2

Desde este punto en adelante, que puede imprimir y verificar los códigos de copia de seguridad como se ha documentado anteriormente. Tu cuenta está ahora protegido por la autenticación de dos factores, y tenemos su número de teléfono móvil en el archivo para ayudar con cualquier problema de acceso a cuentas que puedan surgir en el futuro.

 

Inicio de sesión

El proceso de entrada varía ligeramente con respecto al proceso habitual una vez que tenga la autenticación de dos factores activada. Independientemente de si se utilizó el método de Google Authenticator o el método de SMS para activar la autenticación de dos factores, usted comenzará a introducir  como de costumbre con su nombre de usuario y contraseña.

Login-2fa-1

A continuación, si usted está utilizando SMS para la autenticación de dos factores, se le pedirá que introduzca el código de verificación que es enviada a su teléfono. Una vez que haya ingresado, usted estará conectado y listo para blog.

Login-2fa-sms

Si configura la autenticación de dos factores con la aplicación Google Authenticator, el proceso es similar. En primer lugar usted debe proporcionar un nombre de usuario y la contraseña correctos, y luego se le presentó con un formulario. Abre la aplicación Google Authenticator en su teléfono y proporcionar el número de seis dígitos que aparece en la cuenta.

 

Códigos de copia de seguridad

Definitivamente el acceso a su cuenta de WordPress.com no va  a ser totalmente dependiente de su teléfono o tableta pues  usted todavía tiene que ser capaces de conectarse si se pierde, es robada, usted está bloqueado por alguna razón, o el teléfono necesita ser limpiado (se borrará Google Authenticator). Para asegurarse de que nunca está bloqueado de su blog, usted puede generar un conjunto de diez, códigos de un solo uso en tiempo de copia de seguridad. Le recomendamos que imprima los códigos de copia de seguridad y las guarde en un lugar seguro como una cartera o un documento de seguridad en lugar de guardarlos en su ordenador, en el que estarían al alcance de cualquier persona que utilice su máquina. Códigos de respaldo generación es fundamental y deberá ser hecho. Si alguna vez tiene que utilizar un código de reserva, sólo tienes que entrar como lo haría normalmente, y cuando se le preguntó sobre el código de inicio de sesión, introduzca el código de copia de seguridad en su lugar.

Al final del proceso de instalación para dos Autorización Paso, se le dará la opción de generar códigos de copia de seguridad:

generatebackupcodes

Simplemente haga clic en “Generar códigos de copia de seguridad”, imprimir la pantalla que contiene los códigos-No lo guarde y cierre la pantalla.

Si usted pierde su lista de copias de seguridad o es comprometida, se puede generar un nuevo conjunto de códigos. Para mayor seguridad, esta se desactivará todos los códigos generados previamente.

Nota Importante: Sólo puede generar los códigos de copia de seguridad de un navegador de escritorio. Por ejemplo, Safari en iOS no muestra los códigos de seguridad.

 

Contraseñas específicas de aplicaciones

Puede haber algunas aplicaciones que se conectan a su cuenta de WordPress.com que aún no admiten totalmente autenticación de dos pasos, los más comunes son las aplicaciones móviles de WordPress o aplicaciones Jabber utilizadas para suscribirse a los blogs de WordPress.com. Para estas aplicaciones, se puede generar contraseñas únicas para cada uno (por ejemplo, usted puede tener una contraseña diferente en el teléfono y la tableta). De esta manera, su cuenta es segura a través de todos sus dispositivos, y si su dispositivo nunca se pierde, puede desactivar su contraseña y bloquearlo de su cuenta para evitar que otros accedan a sus sitios.

Para generar contraseñas específicas de aplicaciones, volver a la pestaña Seguridad de la configuración y desplácese hacia abajo para “Aplicación contraseñas”:

applicationpw

Dar a la aplicación de un nombre-eres el único que se verá este nombre, por lo que lo llaman lo que usted desea y haga clic en “Generar contraseña”. WordPress.com creará una contraseña única de 16 caracteres que se puede copiar y pegue la próxima vez que inicie sesión en su cuenta en ese dispositivo. La aplicación recordará esta contraseña, así que usted no necesita. 

Su página de Seguridad mantendrá una lista de todas las aplicaciones para las que hemos generado contraseñas. Si alguno de sus dispositivos están perdidos o robados, o simplemente desea revocar el acceso para una aplicación particular, se puede visitar esta página en cualquier momento y haga clic en “Eliminar” para desactivar la contraseña y evitar que la aplicación acceda a su cuenta:

applicationspecpw

 

Deshabilitar la autenticación de dos factores

No se recomienda deshabilitar la autenticación de dos factores, ya que es mucho menos seguro, incluso si usted cree que su contraseña es muy fuerte. Pero si insistes, puede deshabilitar esta característica con ir a tus ajustes de nuevo como se ha indicado anteriormente.

La pantalla de seguridad mostrará que la característica está habilitada y puede hacer clic en el botón Desactivar. Este le pedirá que introduzca un código para confirmar que todavía tiene acceso al dispositivo que utilizó para configurar autenticación de dos factores para arriba. Si usted está usando la aplicación Google Authenticator, ábralo y proporcionar el código enumera. Si utiliza SMS, se le enviará un código de usar.

Haga clic en Desactivar después de introducir el código y su cuenta ya no estará protegido por la autenticación de dos factores.

2fa-disable

 

Si usted pierde su dispositivo

Si pierde el dispositivo, eliminar accidentalmente la aplicación autenticador, o son de otro modo bloqueado de su cuenta, la única manera de volver a su cuenta es el uso de un código de reserva.

Para utilizar un código de reserva, rellene sus datos de acceso como lo haría normalmente.Cuando se le preguntó sobre el código de inicio de sesión, introduzca el código de copia de seguridad en su lugar. Recuerde: Los códigos de copia de seguridad sólo son válidos por un tiempo cada uno, así que tenga cuidado al usarlos.

Fuente   via wordpress

 

Como ganar dinero en tu blog de wordpress.com gracias a Amazon


Aunque técnicamente no esta permitido la publicidad en wordpress.com,con el widget de enlaces en efecto  se puede poner links  a otros blogs (por ejemplo) e incluso una imagen relacionada al blog en cuestión:http://en.support.wordpress.com/links/ ,sin embargo, la publicidad está terminantemente prohibida (o sea cuando pones un enlace y que la empresa, para agradecerte, te paga o te da otra ventaja similar):http://en.support.wordpress.com/advertising/  o http://wordpress.com/tos/

Ahora bien se permite enlaces de afiliación (affiliate links) en algunos casos muy particulares:http://en.wordpress.com/types-of-blogs/ ,por ejemplo si tu blog es de alguna de las de categorías de blogs más populares:

  • Personal: Esta es la categoría más amplia e incluye blogs sobre temas personales, como la política, la música, la familia, los viajes, la salud, lo que sea.
  • Empresas: Los profesionales que van desde agentes inmobiliarios para abogados y corredores de bolsa están utilizando WordPress para compartir su experiencia, y las empresas han descubierto el poder de los blogs para atraer personal con sus clientes.
  • Escuelas: WordPress es una gran manera para que los profesores y estudiantes a colaborar en proyectos de aula.
  • Sin fines de lucro: fundaciones, organizaciones benéficas y grupos de derechos humanos encuentran nuestros blogs para ser una gran herramienta para crear conciencia y fondos para sus causas.
  • Política: Los miembros del parlamento, los partidos políticos, agencias gubernamentales y activistas que utilizan nuestros blogs para conectar con el electorado.
  • Militar: Miembros del blog militares para informar de lo que ven que sucede en varias partes del mundo y de estar en contacto con sus familias.
  • Privado: Algunas personas hacen sus blogs privados para compartir fotos e información dentro de las familias, empresas o escuelas.
  • Deportes: Tenemos equipos, atletas y aficionados utilizan los blogs para expresar y compartir su pasión por los deportes.
  • Procedimientos, consejos y reseñas: Hay un montón de blogs que comparten consejos y comentarios sobre cocina, juegos, música, libros, películas, etc.

Blogs que violan la política publicitaria de wordpres.com  y que son los que podrían  no ser  permitidos (osea cerrados ) son los incluidos  en alguna  de las siguientes categorías :

  • Blogs Scraper: Los blogs que tienen contenido de otros blogs y volver a publicar sin permiso (esto a veces se llama raspado). Si un blog con contenido robado, se ha ido!
  • SEO blogs: Los blogs que se escriben para los motores de búsqueda en lugar de los seres humanos. Estos blogs se dedican a tratar de engañar a los motores de búsqueda de Google y otros en la clasificación de ellos o los sitios que enlazan con altamente.WordPress.com no es para este tipo de actividad.
  • Blogs de marketing de afiliados: Los blogs con el objetivo primordial de dirigir el tráfico a los programas de afiliados y esquemas para hacerse rico rápidamente (“hacer seis cifras de casa!”, “20 pasos fáciles para mejores beneficios!”, Etc). Esto incluye los blogs de marketing multi-nivel (MLM) y esquemas piramidales. Para que quede claro, la gente que escribe su propio libro original, la película o juego comentarios y vincularlos a Amazon, o personas con vínculos a sus propios productos en Etsy no caigan en esta categoría.
  • Warez blogs: Los blogs que promueven copias piratas de libros, paquetes de software, música, películas, juegos, etc
  • Blogs automatizados: Los blogs que son generados por computadoras, incluyendo blogs generados al azar, blogs que volver a publicar comunicados de prensa, material de marketing, los resultados de los motores de búsqueda, enlaces descarga o cualquier otro contenido en masa.

Si tienes la más mínima duda, comunícate con el soporte, ya que son ellos que toman las decisiones de cerrar blogs por no cumplimiento de dichas normas:http://en.support.wordpress.com/contact/

En el caso de que tu blog tenga una temática que no viole la política de privacidad, entonces  puedes incluir enlaces de afiliación por ejemplo con Amazon siempre y cuando el articulo  tenga relación con el contenido de la entrada: por ejemplo si quieres escribir sobre PLC’s por ejemplo podrías incluir algún enlace de afiliación a algun s PLC’s vendido por Amazon, de modo que si es vendido Amazon te compensaría  entre  un 5 % y 10% de comisión.

Los pasos a seguir para obtener estos enlaces:

1-Registrarse en Amazon,( ojo  esta cuenta de momento sólo te sirve para comprar artículos, no está habilitada para que puedas disfrutar de las ventajas del programa de afiliados en Amazon)

2-. Ingresar en el Programa de afiliados”:en la pantalla que aparecerá, verás que a la derecha te aparece un recuadro que te permite unirte al programa de afiliados. Haz clic en “Únete ya, es GRATIS” y rellena los datos que te piden a continuación.Cuando hayas terminado de introducir tus datos, haz clic en “Siguiente: Perfil de mi página web”.A continuación, rellena los datos de tu página web.Ahora recibiría un correo agradeciendo el interés por el programa  y ya solo queda definir  método de pago que queremos que Amazon utilice para hacernos efectivas las comisiones. Para ello, Hacemos clic en “Especificar un método de pago ahora”.Después de realizar este proceso, a las pocas horas Amazon te enviará un mail en él que , Amazon te confirmará que has sido dado de alta en el programa de afiliación y te informará de que van a inspeccionar tu web.

3-Una vez que estés dado de alta en el programa de marketing afiliación de Amazon, debes incluir distintos elementos que te ayuden a conseguir ingresos.Una vez que estés dado de alta en el programa de marketing afiliación de Amazon, debes incluir distintos elementos que te ayuden a conseguir ingresos que en nuestro caso seran enlaces a productos

A partir de ahora, cuando entres en Amazon, verás que en la parte superior de la pantalla tienes una nueva barra. Mediante dicha barra tendrás información fácil sobre cómo generar enlaces desde tu página web que te puedan empezar a generar ingresos.

Lo que tienes que hacer es ir a la página de Amazon y buscar un artículo que quieras promocionar y una vez que estés en ella, hacer clic en “Enlazar a esta página”. Se abrirá una página como la siguiente, en la que podrás elegir si quieres un link “Sólo texto” o “Texto e Imagen”.

Como obtener enlaces de afiliacion a productos de Amazon

IMPORTANTE: si el cliente no compra inmediatamente el artículo, pero lo compra al día siguiente, también te llevarás la comisión. Amazon recuerda gracias a las cookies que tú eres el origen de la compra. Por otro lado, si en esa misma sesión el cliente compra más artículos, recibirás comisión por todos y cada uno de ellos, aunque no los tengas enlazados desde tu web.

Fuente  aqui

Los dominios en wordpress


En WordPress.com, se puede  utilizar un dominio personalizado para tu blog (como midominio.com) en lugar de la dirección predeterminada que se obtiene cuando usted se registra (como midominio.wordpress.com).

Esto proceso  se llama mapeo de dominio, y es una actualización de pago:

  • El registro de un. Com,. Org, o. Net a través de WordPress.com y cartografía de ese dominio a tu blog comienza en $ 18,00 por dominio y por año, o $ 25.00 por dominio y por año para un dominio. Por $ 8.00 más, también se puede hacer el registro de dominio privado.
  • Asignación de un dominio de nuestra  posesión  cuesta   $ 13.00 por dominio, por año.

Aparte  de acortar el nombre de su   blog, que sera mucho más fácil de recordar , es importar mencionar   que el paso de mapeo de dominio para  su blog  es  obligatorio para poder acceder al programa WordAds el cual nos permite obtener ingresos en nuestro blog gracias a la inclusión de  publicidad en este.

Empecemos con las casuisticas posibles:

 

Configuración del dominio principal

Es posible asignar varios nombres de dominio o subdominios en un mismo blog. En este caso, usted tendrá que elegir un dominio como el primario. Todos los demás dominios asociados con el blog aún remitirá al blog, pero la dirección que aparece en la barra de direcciones de su navegador para siempre pasará al dominio principal.Un uso común de esta funcionalidad cuando un nombre de dominio es frecuentemente mal escrito. Que te gustaría poseer tanto la correcta y la ortografía incorrecta, pero usted quiere asegurarse de que el nombre correctamente escrito se fijó como principal.

Para establecer el dominio principal de su blog, vaya a la tienda  dominios en la barra lateral de administración de wordpress (estando validado), seleccione el botón de radio junto al dominio que desea establecer como principal y, a continuación, haga clic en la “Actualización del dominio principal” en la parte inferior de la lista para guardar el cambio. El cambio debe producirse de inmediato, aunque los nombres de dominio muy recientemente adquiridos, a veces hay un retraso de varias horas entre la compra del dominio y su disponibilidad.

 

Notas importantes antes de actualizar

  • Publicidad: Mientras que un blog debe tener un dominio asignado con el fin de calificar paraWordAds , la actualización de cartografía de dominio de otro modo no permitir la publicidad en su blog.
  • Mismos términos de uso: La actualización de cartografía de dominio no permite el uso de cualquier tipo de prohibido código o cargar otros temas o plugins . Con la actualización, el blog seguirá alojado aquí en WordPress.com, lo que significa que usted no tendrá acceso a los archivos FTP y usted todavía tendrá que cumplir con nuestros Términos de Servicio .
  • URLs Nuevo: Si agrega mapeo de dominio a un blog existente en los mensajes, su URL cambia.Vamos a redirigir cualquier visitante en busca de la dirección URL anterior se acabó para los nuevos, por lo que ninguno de sus visitantes se pierdan por ahí en Internet, pero otros servicios no entenderá siempre que los viejos vínculos y el punto de nuevos vínculos con la “el mismo” lugar. Por ejemplo, los widgets Tweet contador de trabajar sobre la base de la URL en particular, cuenta con mensajes tan viejas se restablecerá a 0. Una vez realizado el cambio, los puestos futuros no se verán afectados.
  • Preguntas comunes de dominio: Aprenda todo acerca de los dominios y las respuestas a preguntas como: “¿Qué pasa cuando mi dominio caduca”

 

La transferencia de un dominio a WordPress.com

En la actualidad wordpress no acepta transferencias entrantes de dominio. Si ya tiene un dominio y desea usarlo con tu sitio WordPress.com, siga las instrucciones para asignar un dominio existente a tu blog WordPress.com .

Fuente  aqui