Hola a todos,  nos a llegado un correo de Hispasec en la cual se publica la existencia de una vulnerabilidad en WordPress, es muy importante solventar esta vulnerabilidad ya que puede consumir grandes recursos de CPU y por ende afectar al rendimiento de los servidores.

Os facilitamos el texto de Hispasec y como solventar esta vulnerabilidad.

——————————————————————-

Hispasec – una-al-día                                  24/10/2009

Todos los días una noticia de seguridad          www.hispasec.com

——————————————————————-

Denegación de servicio en WordPress

———————————–

Se ha confirmado la existencia de una vulnerabilidad en WordPress por la que un atacante remoto podría realizar ataques de denegación de servicio de forma sencilla.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera.

El problema, descubierto por Jose Carlos Norte, reside en que un usuario remoto puede enviar una serie de peticiones especialmente construidas que contengan codificaciones multibyte para provocar que el script “wp-trackbacks.php” consuma grandes recursos de CPU.

Se ha publicado la versión 2.8.5 que corrige este problema, disponible

desde:

http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/

Aunque también se recomienda la lectura de la descripción de la vulnerabilidad en:

http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/

La tienda online osCommerce no es compatible con el envío de mail a traves de SMTP si este requiere autenticación, y en nuestros servidores está activada por lo que es necesario parchear osCommerce para poder utilizarlo, pero no es una tarea complicada.

Estas modificaciones están sólo testeadas con las siguientes versiones:

• osCommerce 2.2-MS2
• phpmailer 1.73

No quiere decir que no funcione en versiones más antiguas ni en las futuras, pero no podemos confirmarlo.

Se hace un copia de los archivos que posteriormente modificaremos por si hay algún error

• includes/classes/email.php
• admin/includes/classes/email.php

Descargar phpmailer

http://phpmailer.sourceforge.net

Descomprimimos el archivo y nos quedamos únicamente con:

• class.phpmailer.php
• class.smtp.php

que son los que nos interesan; copiamos archivos en los dos destinos siguientes… estas dos rutas deberán tener copiados los dos archivos anteriores:

• includes/classes/
• admin/includes/classes/

Configuracion de OsCommerce para su uso de phpmailer

Ahora hay que hacer alguna modificación común en los archivos que oscommerce usa para enviar emails; para ambos es la misma modificacion. Los archivos a modificar son:

• includes/classes/email.php
• admin/includes/classes/email.php

Dentro de estos ficheros hay que buscar la siguiente cadena

if ‘(EMAIL_TRANSPORT == ‘smtp’)’ {

Encontrando a continuación el siguiente código

if (EMAIL_TRANSPORT == ‘smtp’) {

return mail($to_addr, $subject, $this->output, ‘From: ‘ . $from . $this->lf . ‘To: ‘ . $to . $this->lf . implode($this->lf, $this->headers) . $this->lf . implode($this->lf, $xtra_headers));

} else {

return mail($to, $subject, $this->output, ‘From: ‘.$from.$this->lf.implode($this->lf, $this->headers).$this->lf.implode($this->lf, $xtra_headers));

}
Hay que modificarlo para que quede asi

if (EMAIL_TRANSPORT == ‘smtp’) {
require_once(DIR_WS_CLASSES . “class.phpmailer.php”);

$pMail = new PHPMailer();

$pMail->From = $from_addr; //cuenta suya que envia y autentica
$pMail->FromName = $from_name;

$pMail->IsSMTP();

$pMail->Host = “mail.dominio.tld”; // ponga su servidor SMTP, en Fenixer por defecto es el  mail.sudominio.ext

$pMail->Username = “usuario@dominio.tld”; // usuario SMTP si esta activada la autenticación en el servidor, su cuenta que envía y autentica

$pMail->Password = “contraseña”; // password de la cuenta de correo que autentica del

$pMail->SMTPAuth = true; // true/false – con o sin autenticación, hay que dejar true
$pMail->Subject = $subject;
$pMail->Body = $this->output;
$pMail->AddAddress($to_addr, $to_name);
$pMail->IsHTML(true);

return $pMail->Send();

$pMail->ClearAddresses();
$pMail->ClearAttachments();
} else {
return mail($to, $subject, $this->output, ‘From: ‘.$from.$this->lf.implode($this->lf, $this->headers).$this->lf.implode($this->lf, $xtra_headers));
}

Aunque en el código nuestros comentarios ocupen dos lineas, en el texto del archivo .php, cuando lo edite, no debe quedar repartido en dos lineas, pues causaría error…. le aconsejamos incluso, elimine nuestro comentario detrás de cada sección de código.
Los campos Host, Username, Password hay que personalizarlos con los datos de su usuario, según se indica en el comentario del codigo. Logicamente, los datos de la cuenta SMTP de envío deben existir.

A continuación, en el Panel de Administración de Oscommerce, en la sección /Configuración/E-Mail Options/ (/admin/configuration.php?gID=12), habrá que elegir SMTP como método de envío, en lugar de sendmail.

Con esto el envio de mails en osCommerce se hará a través de phpmailer con SMTP y autenticación.

OsCommerce es la tienda virtual Open Source por excelencia desde el año 2000. Esta aplicación web te permite crear un catálogo online de productos de forma fácil ya que dispone de una intranet de administrador desde la cual darlos de alta, crear familias de productos, ofertas, etc…

Para instalar esta aplicación web basta con seguir los siguientes pasos:

1. Descargamos la última versión de OsCommerce de la web oficial (http://www.oscommerce.com/solutions/downloads) o bien de la web oficial en castellano (http://oscommerce.qadram.com/modules.php?name=Downloads&d_op=viewdownload&cid=1)
2. Descomprimimos el zip y subimos por FTP el contenido de la carpeta “catalog” a la raiz de nuestro sitio web (httpdocs en el caso de domitienda.com)
3. Asegurate de tener activada el Soporte PHP en Plesk > Inicio > [tu dominio] > Configurar > Soporte Php.
4. También desde Plesk creamos una base de datos MySql y un usuario de acceso a la misma desde Plesk > Inicio > [tu dominio] > Bases de Datos > Crear nueva Base de Datos Mysql
5. Una vez subido si ponemos la dirección de nuestra web en un navegador veremos la pantalla inicial del instalador.



6. Seguimos los pasos de la instalación indicando, cuando se nos pida la información de la base de datos MySql que hemos creado previamente tal y como se ve en la imagen siguiente:
   • Database Server: Comprueba la IP que te aparece al crear la base de datos en el Plesk ya que según el servidor será “localhost” o “mysql.servidoreswindows.net” en el caso del servidor de MySql centralizado.
   • Username y Password: Usuario y pass de acceso a la base de datos que hemos creado en Plesk
   • Database name: Nombre de la base de datos que hemos creado en Plesk
   • Persistent Connections: NO
   • Session Storage: Database



7. Pulsamos “Continue” hasta finalizar la instalación. (Si te aparece algún error después de este paso es posible a que se deba a la falta de permisos de escritura sobre la carpeta httpdocs. Ponte en contacto con nosotros y lo arreglaremos).

¡Listo! Ya solo falta acceder a la intranet de administrador y empezar a dar de alta nuestros productos y configurar el resto de apartados de la web… pero esto ya es otra historia

¡Saludos!

Hasta ahora, la única forma de poder gestionar tus bases de datos MySql de domitienda.com era con el PhpMyAdmin que viene por defecto con el Panel de Control Plesk.

Esta herramienta, aunque es muy util (ya que podemos acceder a ella desde el propio Plesk en cualquier navegador) es muy limitada a la hora de realizar consultas o gestiones más complejas sobre nuestra base de datos MySql.

Para este tipo de acciones recomendamos instalar la aplicación HeidiSql.

HeidiSql es una aplicación gratuita que nos permitirá conectarnos a nuestra base de datos MySql tan solo introduciendo la siguiente información:

• Hostname / IP : mysql1.servidoreswindows.net
• User: tu usuario de base de datos
• Pass: tu password de base de datos

Dentro veremos un arbol con las tablas de nuestra base de datos pudiendo gestionarlas, realizar consultas o ver / modificar los datos que contienen.

¡Totalmente Recomendada!

Podeis descargarla gratuitamente de su página oficial:

http://www.heidisql.com/download.php

PD: Esta aplicación solo puede usarse con bases de datos MySql que se encuentren alojadas en el servidor centralizado de MySql (mysql1.servidoreswindows.net), es decir, para todos aquellos dominios que esten en Plesk4 o superior.

WordPress es la aplicación de blog más extendida por la red de redes además de ser open source por lo que cualquiera puede ver el código y la estructura de la base de datos.

Es por esto por lo que los hackers suelen atacar de forma masiva este tipo de aplicaciones bien para poner enlaces invisibles a sus páginas para que google les indexe mejor (eso nos pasó en este mismo blog hace poco) o bien para destruirlo por completo.

Es por eso mismo por lo que se de vital importancia tener un sistema automático de copias de seguridad que nos permita restaurar la base de datos / ficheros de la web en cualquier momento.

BackUpWordPress es un plugin completísimo que te permite realizar esto mismo.

Instalarlo es muy sencillo, descargate el fichero .zip del siguiente enlace:

• http://downloads.wordpress.org/plugin/backupwordpress.zip

Descomprimelo en local y subelo por ftp a la carpeta wp-includes/plugins del blog.

¡Recuerda! Has de darle permisos de escritura a dicha carpeta.

Una vez subido el plugin nos vamos al gestor de Plugins dentro del panel de control del WordPress y activamos BackUpWordPress.

Cuando tengamos esto listo nos aparecerá una nueva pestaña llamada “BackUpWordPress” donde podremos configurar multitud de variables.

Lo primero que nos pide es que creemos una configuración inicial.

Seguimos el enlace que nos aparece e introducimos la ruta de la carpeta donde hemos de dejar los backups.

Bajamos un poco más y activamos la planificación (Scheduling) de copias tanto diarias como semanales.

Con este tendremos automatizada la copia de seguridad de la base de datos cada dia y de todo el blog cada semana.
Estos parámetros, al igual que otros muchos más (máximo espacio, envío automático por mail, restauraciones…) se pueden configurar desde esa misma ventana… pero es algo que os dejamos descubrir a vosotros

Un saludo!

Hace tiempo hablábamos sobre que eran los feed RSS y como podemos leerlos.

En las últimas lineas de ese mensaje comentaba que el rey del RSS es Netvibes y creo que ha llegado la hora de hacerle su pequeño homenaje.

¿Cuantas páginas visitas al día para comprobar si han puesto algo nuevo? ¿Cuantas veces un amigo te dice que visites un sitio interesante y se te olvida? ¿Cuantas pestañas del Firefox tienes abiertas para tener el correo, las webs que estas leyendo, ebay, youtube, flickr….?

Todo eso y mucho más te lo soluciona Netvibes.

Netvibes es un lector RSS web en el que podemos añadir feeds de cualquier página que lo disponga, organizarlo por pestañas y pudiendo leerlas cuando queramos.

Como podéis ver en la imagen la organización es muy sencilla y usable. Puedes mover las distintas ventanas para recolocarla a tu gusto o cambiar de pestaña.

Al pulsar sobre una noticia se despliega una ventana que permite leer el texto de la noticia con toda comodidad:

Además te permite organizar las noticias marcando las no leídas en negrita y permitiendo compartir pestañas o recortes con tus amigos con un solo click!

Y si esto te parece poco existe una gran comunidad detrás que se encarga de desarrollar widgets (como buscadores para youtube, seguidor de pujas de ebay, consulta de correos pop y gmail…) además de tener una extensión para Firefox que te permite insertar directamente las RSS desde el navegador.

Como muestra, un botón: Añadir DomiBlog a Netvibes:

Desde domitienda os recomendamos probarlo durante una temporada… ya verás como te preguntas ¿y que hacia yo sin netvibes?

www.netvibes.com

Al igual que en su día hablamos sobre como instalar Joomla o DotNetNuke en nuestro hosting de domitienda.com, hoy le ha toca el turno a WordPress, el blog gratuito por excelencia.

WordPress es un blog desarrollado en php con base de datos MySql por lo que podríamos instalarlo a partir del Hosting Reducido.

Lo primero que tendríamos que hacer es descargarnos la última versión de WordPress:

• Descargar WordPress desde la página oficial
• Descargar WordPress en castellano

Descomprimimos el .zip y lo subimos por ftp a la carpeta raíz de nuestro servicio de hosting (en el caso de domitienda.com, a la carpeta httpdocs)

La instalación es muy sencilla y se hace toda desde la propia web así que escribimos la dirección de nuestra página en el explorador y nos saldrá algo parecido a esto:

Nota: Si no te carga bien la página comprueba que tienes activada la opción de php en el menú del Plesk > Inicio > [tu dominio] > Configurar > Soporte Php

Hacemos click sobre el enlace para crear el fichero de configuración y empezamos a introducir los datos.

Para poder guardar la información de mensajes, usuarios, comentarios… es necesario crear una base de datos MySql.

Esto lo podemos hacer desde el Panel de Control Plesk:

• Inicio > [tu dominio] > Bases de Datos > Crear nueva Base de Datos Mysql

En este caso hemos creado la bd “testdomitienda” con usuario “test” y password “1234″.

De vuelta al navegador, introducimos todos los datos para rellenar la base de datos:

• Nombre de base de datos: El nombre de la base de datos creada en Plesk. En este ejemplo “testdomitienda”
• Usuario: Usuario de acceso a la bd
• Password
• Servidor de Base de Datos:Nombre o IP del servidor de base de datos MySql.
  • Comprueba la IP que te aparece al crear la base de datos en el Plesk ya que según el servidor será “localhost” o “mysql1.servidoreswindows.net” en el caso del servidor de MySql centralizado.
• Prefijo de Tabla: dejarlo tal cual

Tal y como se ve en la imagen:

Antes de pasar al siguiente punto, es necesario establecer permisos de escritura sobre el fichero configuration.php, pero eso ya sabeis hacerlo

A partir de este momento la instalación es seguir el asistente:

Introducir el nombre del blog, el mail del administrador…

¡Sigue todos los pasos y tendrás la instalación concluida!

Firefox es un navegador web open source desarrollado por la Fundación Mozilla que, gracias a un enorme número de desarrolladores, a conseguido crear un navegador estable y seguro.

¿Por qué Firefox y no Internet Explorer?

• Tiene muchísimas menos vulnerabilidades que IE.
• Cumple los estándares html.
• Es un navegador multiplataforma que funciona igual para Windows que para MAC o Linux.
• La navegación es muy sencilla permitiendote abrir varias pestañas, organizar los marcadores en carpetas, buscar directamente desde la barra de direcciones…
• Es gratuito y se actualiza automáticamente muy a menudo.

Pero sobretodo (y esto es el motivo del post) Firefox es mejor que IE por los Complementos.

Los Complementos de Firefox son extensiones gratuitas que añaden ciertas funcionalidades extras al navegador.

Hay muchos tipos de complementos, desde los que cambian el aspecto del navegador (temas) hasta los que usan aplicaciones externas más complejas útiles sobretodo para los desarrolladores web.

De estas últimas iremos hablando en el futuro ya que considero que es lo más interesante de este navegador.

Para empezar, os voy a poner unas cuentas extensiones básicas que todo Firefox debería tener:

•  PDF Download: En lugar de lanzarte el cansino Adobe Acrobat cuando navegas a una página pdf te permite descargarlo, verlo en html o abrir directamente el pdf.
• Tab Mix Plus: Gestión total de las pestañas dl navegador.
• Smooth Wheel: Para desplazar con la rueda del ratón el scroll en las webs largas.
• Web Developer y ViewSourceChart: INDISPENSABLE para cualquier desarrollador web. Añade todo tipo de herramientas para diseño web como visor de html mejorado, css, remarcador de tablas, visor de javascript…
  • Sobre estos y Firebug hablaremos exclusivamente en un post otro día.

Seguro que hay pegas…

si, las hay… y gordas. La actual versión de Firefox (2) es muy pesada en cuanto a consumo de RAM y Procesador se refiere… cuando llevas un rato navegando y tienes varias pestañas abiertas empiezas a experimentar una carga fuera de lo normal en tu ordenador.

Actualmente están trabajando para solucionar eso y nos han prometido tener una versión mucho más ligera con el Firefox 3… esperemos que sea cierto!

¿De donde me lo bajo?

Pues eso, si quieres conocer una nueva experiencia a la hora de navegar no dudes en descargarte Firefox de forma gratuita aqui

Al igual que Joomla, DotNetNuke es un CMS (Gestor de Contenidos) de código abierto basado en Visual Basic .Net

DotNetNuke utiliza tecnología Microsoft por lo que es necesario una base de datos Sql Server 2005 y un hosting que permita Asp .Net 2.0.

Con el Plan Básico de domitienda.com sería suficiente para empezar a trabajar con este fabuloso portal CMS.

Lo primero que deberíamos hacer es descargar la última versión de DotNetNuke desde la página oficial:

http://www.dotnetnuke.com/

Para poder descargar tenéis que crearos un usuario en dicho sitio web.

Entramos en el apartado de Descargas y nos bajamos la versión “Install” de la versión más actual deDotNetNuke:

Descomprimimos el fichero .zip en nuestro ordenador y lo subimos via ftp a la carpeta “httpdocs” de nuestro hosting en domitienda.com

Una vez que tenemos todos los ficheros subidos tenemos que asignar permisos de escritura al directorio httpdocs desde el Panel de Control Plesk.

Lo último que nos quedaría por hacer antes de empezar con la instalación es crearnos la base de datos Sql Server 2005 y el usuario de acceso a la misma.

Esto también lo hacemos desde el Panel de Control Plesk como ya comentamos en este post antiguo.

Con esto ya tendríamos todo lo necesario para empezar la instalación….¡vamos allá!

Esta sería la página de inicio que veríamos si hemos hecho bien todo lo anterior. Escogemos la opción de instalación “Típico” y pulsamos sobre “Siguiente“.

En la siguiente pantalla nos realizará un chequeo de permisos; si hemos hecho bien todo lo anterior tan solo tendremos que dar “Siguiente“.

Configuración de la conexión a la Base de Datos:

La siguiente pantalla es la de configuración de la Base de Datos.Aquí seleccionamos las siguientes opciones:

- Seleccionar la Base de Datos: Base de Datos Sql Server 2000/2005

- Servidor: sql1.servidoreswindows.net

- Base de Datos: [nombre de tu Base de Datos]

- Seguridad Integrada: DESMARCAMOS (asi nos aparece los cuadros para introducir el usuario y pass)

- Id Usuario / Contraseña: El nombre de usuario y contraseña que hemos creado en Plesk

Tras esto se creará la estructura de tablas y vistas necesarias para el correcto funcionamiento del portal.

Si todo a ido bien el siguiente paso sería crear el nombre de usuario y pass para el SuperAdministrador del portal . Rellena los datos con la información que quieras.

También te pedirá el Título de la Página y la plantilla que vamos a usar.

¡Con esto ya tenemos el portal instalado! Ahora solo queda configurarlo y “apañarlo”… pero eso, ya es otra historia

Un saludo!

Pese a la reciente salida del gigante Windows Vista, la extensa campaña de distribución que esta llevando Ubuntu Linux o los nuevos y vistosos escritorios de MAC , el rey de nuestros Pc’s sigue siendo Windows XP.

Y es que muchos usuarios hacen lo que sea por no dejar su “viejo” sistema operativo y se inventan todo tipo de herramientas para “actualizarlo” sin necesidad de reinstalar uno nuevo.

Por este mismo motivo, un grupo de desarrolladores han creado unos paquetes de transformación que logran, por arte de magia, modificar el ya aburrido aspecto de nuestro Windows XP por el del Vista, Ubuntu, Fedora e incluso MacOS.

Esto no cambia para nada el núcleo del sistema operativo, tan solo instala un nuevo tema (con sus iconos, sonidos e imagenes) y distribuye los menús como si de otra aplicación de escritorio se tratara.

Si teneis curiosidad, os dejo la dirección del blog donde se recopilan las descargas de estos paquetes de transformación.

Ya sabeis, año nuevo, ¡escritorio nuevo!

Un saludo y Feliz Año Nuevo,

El equipo de Domitienda.com