Vida y muerte de un plugin de WordPress: Lightbox Plus Colorbox by Dan Zappone

Este plugin lo usé durante años para hacer los lightboxes en docenas de instalaciones, seguramente os suene. Era completito, ligero y estable. Allá por mayo de 2016, de la noche a la mañana desapareció del repo pero nada más. Lo busqué por ahí pero no encontré ninguna noticia al respecto de por qué había desaparecido.

El caso es que tenía una vulnerabilidad y como el autor no la parcheó en un tiempo se eliminó del respositorio. Y yo me he enterado ahora por un hilo y de casualidad.

We recently discovered that the Lightbox Plus Colorbox plugin has a cross-site request forgery (CSRF)/cross-site scripting (XSS) vulnerability in version 2.7.2, and some prior versions, on the page/wp-admin/themes.php?page=lightboxplus.

No nonce is included on the page, leading to the CSRF issue.

For the XSS issue, in the file /lightboxplus.php starting at line 326 settings are saved and there is no sanitization done.

(…)

  • 3/29/2016 – Developer notified.
  • 4/5/2016 – WordPress Plugin Directory notified.
  • 4/5/2016 – Plugin removed from WordPress Plugin Directory.

Ahora me veo en la tesitura de revisar todas esas instalaciones y cambiarlo por otro (hay muchos plugins y mejoras, eso es lo de menos) pero lo que me da rabia es haberme enterado de chiripa.

Conclusión: hay que repensar qué hacemos con un plugin vulnerable si el autor no puede o no quiere parchearlo. Quitarlo del repo sí, pero había que notificarlo de alguna manera. Y siguiendo esa lógica el mensaje de “Actualización disponible” en el listado de plugins instalados en WP debería ir claramente marcado si es una actualización de seguridad.

PD: Ahora estoy usando Responsive Lightbox by dFactory que es además responsive y reconoce gestos táctiles.

responsive-gallery

WordCamp Sevilla 2016

La famosa instalación en 30 minutos- Pablo López

“Otro sitio realizado con WordPress”: La Excelecia está en los pequeños detalles.

Usuario de BBDD tendrá permisos solo para esa BBDD (no usar un root)

Borrar todos los temas menos el último

Optimiza esas imágenes, por $deity
https://wordpress.org/plugins/ewww-image-optimizer/

ILLOWP: Illo, illo, illo otro WP desactualizado…Jorge Coronado

Quitar el generator, copón!

Quitar readme, cambiar ruta assets y ruta login
Listado vulnerabilidades
https://wpvulndb.com/

SEO para gustar a GoogleÁlvaro Mariscal

El SEO se hace desde el principio :dominio, hosting, diseño (permalink, headings)

Schema!

Aprender a decir NO – José Arcos

Responder rápido, transmitir calma y agilidad.

Decir no y explicarlo desde el propio interés del cliente.
Valorar idea, empatía, argumentar respuesta.

Aportación Roberto > Contrato de 8 páginas: “Qué hacemos y qué NO hacemos”

Aportación Rafa > Partir las tareas en trozos de 1h o menos. Para que los clientes vena que de su proyecto se avanza todos los días (usando ASANA)

Aportación Silvia Suria (Esencial) > Los emails van a un pool y el que está más libre cada día monitoriza el tráfico.

Multimedia en WordPressFlavio Masitas

Aplicar la seguridad en WordPress desde la selección de un hosting – José Conti

  • Permisos de archivos y carpetas
  • Mover URL login y /wp-content
  • Impedir ejecución en el front desde /wp-includos
  • Impedir ejecución de archivos en general en /wp-content
  • Ocultar versión (ojo que al actualizar vuelve), readme y

Analytics para WP – Rafa Ramos

Google tag manager para medir eventos concretos (CF7, Woo):
https://wordpress.org/plugins/duracelltomi-google-tag-manager/

Ideas for Customer Support Success – Nuno Morgadinho

 

  • It´s easier to sell to existing clients (26% vs 74%)
  • It takes 12 good experiences to make up for a bad one.
  • For every client that reaches out for help, 26 others remain silent. Thank that one person who asks because he is actually helping you..
  • Integrate twitter account into support channel in slack (and creating a ticket in freshdesk)
  • Agile and calm. Smart but humble. Pschology trumps skill.
  • Great service = marketing. Your support is your brand.
  • Ask for testimonials (linkedin to begin with).

Multisitios a lo grande: Edublogs y CampusPressIgnacio Cruz Moreno

“Matt Mullenweg Moreno”.
Tocando core, cacheando todo.

Pruebas de aceptación: Automatiza el testing de Frontend y échate a dormir – Mauricio Gelves

Tú página web es una casa de 100 ventanas. No puedes acordarte de todo y cada cosa que tocas puede afectar a todo. No vas a comprobar todo cada vez que tocas una linea.

El objetivo es que no sea el cliente quien vea los errores sino nosotros mismos. Y que podamos hacer cambios con la tranquilidad de que no se rompa nada.

http://codeception.com/ + Módulos: DB, WebDrive (ver y manipular DOM), WP-Browser.

El trabajo en remoto: como depurar el estrés y mejorar la productividad – Catalina Álvarez

Estrés. Estrés en IT. Estrés en remoto. El cerebro en estado positivo es 1/3 más productivo.

  • Agradecimiento (anotar algo positivo cada día)
  • Hacer ejercicio
  • Actos aleatorios de amabilidad (responder una pregunta de soporte)
  • Meditación

Cómo empezar:

  • Automotivado y con un enfoque positivo
  • Establecer metas específicas (no “trabajar menos” sino “irme a casa a las 17h”) y no muy numerosas.
  • Herramientas y ayudas (poner los medios)

Cambiar la percepción del estés. El estrés no es en si mismo sino la percepción que tenemos de él

Sociabilidad del estrés: Importancia de no estar aislado cuando trabajamos.

WordPress Plugins uninstall feedback

Buenas!

He ido a desinstalar un plugin en una instalación de pruebas y me ha salido esto (me pregunta el motivo de que lo estoy desactivando) ¿Os acordáis que lo estuvimos comentando en el contributor´s en Viena?. Los que sois desarrolladores de plugins ¿lo véis útil? ¿Creéis que esta info podría recopilarse y mostrarse en el repo junto con el resto de info del plugin?.

Captura-de-pantalla-2016-08-27-a-las-16.30.33

 

(Por aclarar, esto lo está haciendo un plugin por su cuenta, concretamente este: https://wordpress.org/plugins/widgets-for-siteorigin/)

Aquí viene lo interesante, el plugin pide permisos para conectarse a su web,en parte al estilo de Jetpack, para enviar ese feedback. De Jetpack me puedo plantear fiarme (o no), pero de un plugin aleatorio del repo, no sé yo. Aquí está la política de privacidad (información de recogen) de la web en cuestión, no entro a opinar porque no soy experto en el tema.

Widgets for SiteOrigin ‹ Pegasus Producciones — WordPress

¡Sin embargo esa información es esencial y tendría que estar centralizada, estandarizada y accesible a todos los usuarios y, sobre todo, a los autores de los plugins! ¿No sería lógico que este formulario de feedback al desactivar un plugin viniera en el núcleo de WordPress y que la info se almacenase y mostrase en el repositorio de plugins?

En otras palabras: poder dejar opiniones/puntuaciones desde tu instalación de WordPress (logeado con tu perfil de wp.org, por ejemplo).

¿Cómo veis la idae? ¿Le veis algún problema insuperable? ¿Por dónde habría que empezar?.

Saludos!

Insertar un menú de WordPress usando un shortcode

Si por algún motivo necesitas añadir un menú como shortcode dentro del contenido de una entrada o página, es tan sencillo como añadir el código de abajo a tu archivo functions.php (o más fácil aún, añadirlo usando el plugin Code Snippets)

Fuente original: http://stephanieleary.com/2010/07/call-a-navigation-menu-using-a-shortcode/

Set featured images via URL in WordPress.com

Me parece una funcionalidad cojonuda pero, ¿por qué no está disponible en el wp-admin y solo en el editor nuevo? Esto de temer dos editores en paralelo se nos está yendo un poco de las manos, amigos de wp.com

Álvaro Hey. Good to talk to you. I really love the new “add featured image via URL” option. (I think it should in jetpack). Just one thing, I noticed it´s not available in my older blogs. I wan to map mrfoxtalbot.com to mrfoxtalbot.wordpress.com and I could really use this feature. Is there a way to fix this so I can set featured. images using a URLs on mrfoxtalbot.wordpress.com? Thanks a lot for your help.
Victoria hi there!
Victoria on WordPress.com, featured images must be uploaded to your page,
Victoria you won’t be able to use an image URL
Álvaro Silly question then.
Álvaro My mistake (I was convinced I had seen it on wp.com but must be mistaken)
Álvaro Thanks for your help, have a nice day.
Victoria oh ok,
Victoria thanks you too!

 

Biblioteca Multimedia ‹ AFA La Paloma — WordPressEditar entrada ‹ AFA La Paloma — WordPress.com

Cosas que me encantan de WordPress.com

0. Establecer breakpoints (e incrustar tweets).

https://twitter.com/Mrfoxtalbot/status/721415231625367552

1. Se pueden incrustar Gists simplemente con poner las URL del gist.

2. Se pueden asignar imágenes destacadas copiando y pegando una URL. Te la sube a la librería multimedia creando una copia del archivo en la propia lbrería multimedia de WP pero sin pasar por local.

WP.com Featured image from URL

3. Se pueden incrustar videos de youtube solo con poner el enlace.

https://youtu.be/iFcY8af70eo

4. Los nuevos custom post types.

5. Shortcodes para hacer bucles con páginas y posts. Por ejemplo:
Este sortcode te mostraría los posts de la categoría libros, sin extract, con la imagen pequeña y dentro de un div.



6. HTTPS by default