☆ Migrando Isopixel

Acabo de migrar Isopixel a WordPress, mas adelante les preparo los detalles y el código que genere, el cual quizas puede ser util a otros que intentan hacer una migración tan ‘divertida’.

☆ WP-Cache y PHP 5

Desde que actualice algunos de mis servidores de *PHP 4* a *PHP 5* note que en ocasiones en lugar de mostrarme el contenido del sitio al usar *WP-Cache* simplemente **mostraba paginas en blanco** (OMFG is the end of the world!!!), rápidamente, leyendo dentro de el mar de comentarios existentes en el blog de [Ricardo Gallir](http://mnm.uib.es/gallir) para [WP-Cache 2](http://mnm.uib.es/gallir/posts/2006/11/06/857/) encontré la falla/solución a mi problema; el plugin no es compatible con PHP 5, la forma de solucionarlo es simple.

Tenemos que editar el archivo **wp-cache-phase2.php** donde buscaremos el siguiente seccion de código:

	ob_end_clean();
	if ($new_cache) {
		$serial = serialize($meta_object);

Cambiaremos ob_end_clean(); *(Linea 220)* por ob_end_flush(); Guardamos nuestro archivo y con este cambio tenemos un sistema de cacheo funcional en nuestro PHP5.

Si realmente no saben como hacer esto, pero aun desean disfrutar de el rendimiento adquirido por este gran plugin, prepare una versión *pre-parchada* (arreglada) para aquellos que sufren de las misteriosas paginas en blanco, usando WP-Cache 2 y PHP5 en su WordPress.

[WP-Cache 2.0.19 PHP 5 Patched](7http://foobarra.com/files/2006/11/wp-cache-2-0-19-php5-patched.zip)

☆ Shuttle, un rediseño a la interfaz de WordPress

Shuttle, rediseñando la interfaz de WordPress Shuttle es un proyecto conjunto de Chris J Davis, Joen Asmussen, Joshua, Michael Heilemann, Bryan Veloso y Khaled. Por embellecer la interfaz de administración de Wordprss, de una manera profunda, no siendo un skin, como puede ser el Tiger Style Administration.

Hace un par de horas acaban de mostrar lo que serian las primeras tentativas al rediseño de la interfaz. De las cuales debo decir que estoy realmente sorprendido y para muestra un boton:

Primer screenshot de Shuttle

Si desean pueden pasar a Broken Kode, el sitio de Khaled, para ver otras capturas de pantalla.

☆ No hay problemas de seguridad con WordPress 2.0 ó 2.0.1

Via Mangas Verdes, llega un aviso de seguridad sobre WordPress. Mismo que hace eco en Alt1040 y otros tantos blogs, gracias en parte al poder de difusión de los mismos.

Ahh, pero pequeño detalle, SE REQUIERE ACCESO DE ADMINISTRADOR, ¿Para que necesitaria hacer un XSS, a un sitio si ya soy admin del mismo?.

Analizando un poco mas el reporte de un desconocido Neo Security Team. Leemos: “Impact: XSS, Full Path Disclosure, Directory Listing”, salvo por el XSS, que en realidad no sirve para nada a menos que sea Admin. Se toma en consideracion el supuesto Directory Listing, en otras palabras, mostrar un listado de los archivos en cualquier carpeta. Problema que no depende directamente de WordPress, si no de la correcta administración de el servidor HTTP en cuestión. La solucion:

Options -Indexes
ErrorDocument 401 "error
ErrorDocument 403 "error

El problema no es de WordPress, pero la alerta de seguridad la cambiamos mejor a “Alerta de seguridad en todo servidor mal administrado, posible exploit a todo script conocido por el ser humano”, ahora que si tienen miedo, les puedo recomendar el mejor firewall, del mercado. Con cero tolerancia.

Actualización: Repito una vez mas, no hay tal XSS, y el Full Path Disclousure, depende de la configuracion del servidor., deberian ver el capitulo de southpark acerca del secuestro (5ta temporada, si no me falla la memoria)

Actualización: Para dejar de mostrar errores, como el Full Path disclousure (que en si no es dañino, pero permite al atacante conocer mejor el sistema), basta con cambiar en el php.ini:

; Print out errors (as a part of the output). For production web sites,
; you’re strongly encouraged to turn this feature off, and use error logging
; instead (see below). Keeping display_errors enabled on a production web site
; may reveal security information to end users, such as file paths on your Web
; server, your database schema or other information.
display_errors = On

Y cambiarlo por un Off.