Wordpress: Cerrar comentarios en post attachment

Cada vez que subes una imagen (u otro tipo de archivo) a wordpress, este te crea un nuevo post que, aunque normalmente no será visible, tiene su propia URL y por eso es accesible para los visitantes del blog un poco hábiles o, más frecuentemente, para los spammers.

De un tiempo a esta parte estoy recibiendo mucho spam en este tipo de entradas para imágenes u otros attachments y la solución más rápida que se me ha ocurrido es directamente cerrar los comentarios en esos “pseudopost” de imágenes, esto no afectará a los comentarios de los verdaderos post, los que contienen el texto y esa imagen que has subido.

El query que tendrás que hacer desde el phpmyadmin es el siguiente

[sql]
UPDATE`wp_posts`
SET`comment_status` = ‘closed’
WHERE `post_type` = ‘attachment’
[/sql]

Recuerda hacer una copia de seguridad de la tabla que vas a modificar antes de hacer ningún query contra la misma.
Otra opción quizá más elegante es: crear, en el mismo sitio donde tienes el single.php de tu theme, otro archivo, copia del single, que se llame attachment.php y en él borres el formulario de comentarios. Una vez hecho esto ese será el archivo php que se cargará para mostrar la imagen (por la jerarquía de themes de wordpress) y por tanto puedes hacer en él las modificaciones que consideres necesarias, por ejemplo, modificar el formulario para eliminar los campos de introducción de comentarios.

Si optas por la opción de cerrar los comentarios de los post de tipo attachment mediante el query sql recuerda que de vez en cuando lo tendrás que volver a ejecutar para las nuevas imágenes que subas.

Y hasta aquí el briconsejo sólo para amigos del wordpress de hoy 😉

Anuncios

WPtouch y antispam por campo oculto

En los blogs y en cualquier web que permita dejar comentarios, uno de los problemas que tenemos siempre es el spam. Cada uno buscamos la mejor manera de lidiarlo con captchas, plugins… en mi caso opté por un remedio “casero” que encontré en Sigt y del que ya os hablé una vez: el sistema antispam del campo oculto. Técnicamente no es muy complicado de implementar (si no te paraliza el tener que tocar un php) y su efectividad es pasmosa, yo al cabo de un año recibo menos comentarios spam que otros blogs de un nivel similar en un día. Por si acaso también tengo una segunda barrera con el plugin akismet pero pocas veces ha tenido que actuar (menos de 200 comentarios spam en más de 2 años).

Otra adaptación que es muy conveniente hacer en cualquier web en el año 2011 es tener una versión para móviles: cuando detectamos que el visitante está utilizando un dispositivo móvil le presentamos un diseño adaptado para estos dispositivos, en general con un contenido algo más ligero para facilitar la velocidad de carga y la navegación por el sitio. En wordpress tenemos un plugin que hace ese trabajo por nosotros wptouch, con solo activar el plugin ya tenemos nuestra versión móvil disponible.

Y en la intersección de WPtouch y sistema antispam del campo oculto es donde he detectado un problema: los visitantes con dispositivos móviles no pueden dejar comentarios

Una de las cosas que hacemos al implementar el antispam es modificar el comments.php de nuestro theme y una de las cosas que utiliza wptouch es aplicar su propio theme (con su comments) cuando el visitante llega con un móvil, por lo que hay que modificar el comments.php que viene incluido dentro del plugin.

Lo primero es localizar ese archivo dentro de la carpeta del plugin. Lo encontraréis en

/wptouch/themes/default

Lo abrimos con un edito y buscamos el código correspondiente al formulario para dejar comentarios. Allí hacemos la siguiente sustitución:
las dos líneas donde pone

[php]

[/php]
las sustituimos por las tres líneas siguientes:
[php]

<input id="nombre" name="nombre" size="22" type="text" value="” tabindex=”2″ />

[/php]
Y listo.
El único inconveniente: cada vez que se actualice el wptouch tendremos que comprobar manualmente si esa modificación afecta o no al archivo comments.php y en caso de llegar modificado volver a hacer las adaptaciones
Nota: Si queréis ser más ortodoxos, en lugar de ese feo style=”display:none” podéis poner un class={hid} y en el archivo CSS del plugin definir esa clase hid con el atributo display=none, pero por lo que he comentado de las actualizaciones del plugin yo he preferido no hacerlo

Internet y derechos de autor para Madres

Internet, las descargas, los derechos de autor, la propiedad intelectual… estos temas hasta hace poco no salían del círculo de los geeks y los directamente afectados pero cada vez más están pasando a ser temas de los que, aunque poco, se habla en la calle y no siempre quien recibe esta información tiene los conocimientos de base para digerirla. Este es mi intento de explicarlo, como yo lo haría a “una madre”, en formato pregunta y respuesta:

Madre: 1. Hay que cerrar las webs de descargas tipo SeriesYonkis porque tienen pelis y otros contenidos protegidos
Respuesta: Pues no, no tienen contenido protegido, tienen enlaces, links a Megaupload y otros sitios de almacenamiento online.

2. Entonces tienen enlaces a Megaupload, Rapidshare que es donde está el contenido protegido
A veces, pero cada vez más a lo que tienen enlaces es a servicios del tipo link.to

3. Entonces lo que hay que cerrar es Megaupload, ellos sí tienen contenido protegido
Pues sí, pero Megaupload elimina cualquier contenido protegido por derechos de autor del que tiene conocimiento y la tecnología, a día de hoy, no permite identificar de forma automática los contenidos protegidos.

4. ¿En Megaupload no le pones nombre a los archivos que te den pistas de lo que contiene?
En algunos casos, pero lo normal es que no, son las webs de descarga de la pregunta 1 las que ponen orden en todo esto.

5. Entonces cerremos las webs de descarga (tipo peliculasyonkis) por enlazar a webs con contenido protegido.
Vuelve a leer la segunda respuesta. Aún así, si te cargas a quien enlaza al primero que te tienes que cargar es a Google, y vamos, en general a todo Internet, porque, salvo en CuantaRazón y otras webs del estilo que se dedican a copiar sin enlazar, es en lo que se basa la web.

6. Bueno, pues entonces saquemos la compensación a los autores directamente de los bolsillos de los usuarios.
Eso ya se hace, se llama canon digital, pero tiene 2 problemas:

  1. a los autores no les llega suficiente y
  2. pagan justos por pecadores, muchos usuarios pagan canon y no van a añadir materiales protegidos en esos soportes.


7. Pero espera, el problema no son los soportes (discos duros, impresoras, memorias) , es que la gente se descarga cosas, ¿por qué no cobramos un plus en la factura de Internet de banda ancha?
¿te parece que 50 euros por 12 Mb son pocos? y es más, esas 12Mb, de media no se utilizarán ni en un 10% del tiempo, si las usasen del todo sería aún más caro.

8. ¿si ganan tanto por qué no les cobramos a los proveedores de Internet (ISP) ?
Si los ISP tienen que pagar según lo que se descarguen los usuarios, exigirán poder discernir qué es lo que está viajando por sus redes para saber cuánto tienen que cobrar

9. ¿Y eso es malo?
Eso es precisamente lo contrario a la neutralidad de la red, que se prioricen unos contenidos a otros según el criterio de los ISP

10. Bueno, tampoco parece descabellado que puedan distinguir qué es lo que viaja por la red.
Hay muchas razones para defender la neutralidad de la red y los beneficios que supone para el desarrollo de Internet y con ello a la mejora de la productividad de un país, pero posiblemente lo entiendas mejor con la analogía de las autopistas: te resumo, una autopista debe cobrar a un camión en función de lo que pesa (eso determinará el desgaste que genere de las autopistas) no según el valor monetario de la carga que contengan.

11. Si no se puede detener el problema en las webs (ni de enlaces ni de contenidos) ni en los ISP… ¿no quedan opciones? porque entonces es cierto que vamos a asfixiar la remuneración de los artistas y que desaparecerá la cultura como forma de ingresos económicos.
Hay opciones, por ejemplo el modelo Spotify o Netflix.

12. Perfecto, entonces con aplicar ese modelo ya está el problema solucionado
Ese nuevo modelo de distribución supone un nuevo reparto de los ingresos. Se dice, aunque no hay números oficiales, que para conseguir 1000$ en Spotify un autor necesita 4 millones de reproducciones, vamos, que por ahí sólo consiguen dinero los realmente grandes, los autores de alcance medio no consiguen nada.

13. ¿1000$ cada 4 millones de canciones que se escuchan? menuda miseria de proporción
Es que casi todo el porcentaje del pastel se lo quedan los intermediarios, los agentes, distribuidoras, productoras…

14. Entonces los contenidos protegidos sí están generando dinero
Sí, pero no llega a los autores. Para que le llegue a los autores hay dos formas: aumentamos el monto total para que su 5% sea más jugoso o aumentamos el porcentaje que le corresponde a los autores en detrimento de los intermediarios.

15. ¿Me puedes recordar quién habla con los Gobiernos, los autores o los intermediarios?
Las sociedades de gestión de derechos y las productoras

No hay más preguntas.

Foto original de paulhami

Churras, merinas, sindes, libertades y reivindicaciones

Mañana, si nadie lo remedia, se aprobará la que se ha dado en llamar ley Sinde, una disposición adicional a la ley de economía sostenible con la que se pretende parar la proliferación de las webs de descarga y con ello paliar el supuesto menoscabo de beneficios para los autores de contenidos digitales. En el mundillo Internet la marejada de opiniones sobre el tema es tremenda, prácticamente todas en contra de dicha ley, pero como sé que al menos mi madre se pasa a leer esto y ella no anda todo el día en Twitter y Facebook voy a intentar exponer mi punto de vista:

Para empezar los motivos por los que estoy en contra de que se apruebe esa ley:

  • Los jueces ya han dicho que con la ley en la mano las webs de enlaces no son ilegales y si no son ilegales no hay por qué articular un mecanismo para cerrarlas, hay quien dice que esas webs no son éticas, pero eso no es relevante, estamos hablando de una ley y de jueces, si es justo o no es justo y si es ético o no lo es, no viene al caso, al menos en este momento.
  • Quien debe juzgar son los jueces, con esta ley (aunque todavía no está cerrado el tema) se está planteando un procedimiento administrativo para cerrar las webs y que los jueces, lo único que opinen es si procede o no aplicar dicho procedimiento administrativo, no si la web es ilegal o no, esa decisión recaería sobre ese órgano administrativo en el que, por supuesto, van a estar representadas las sociedades de gestión de derechos de autor. No, alguien que se considera víctima no puede ser juez sobre ese tema, es imposible que sea imparcial.

Y ahora, por llevar un poco la contraria, mis razones para estar en contra de la corriente de pensamiento casi único que se ha instaurado en twitter, webs… Las webs de descargas no tienen que estar protegidas por la libertad de expresión porque no contienen verdadera expresión, su contenido son enlaces (no son ilegales), sinopsis generalmente copiadas de otras webs (la copia sí es delito) y descripciones técnicas sobre el ripeo o el formato del vídeo en cuestión que vas a descargar, así que por favor, no recurramos a la libertad de expresión para defender nuestro privilegio (que yo también utilizo) de tener a nuestra disposición todas las películas y series listas para descargar en unos pocos clicks.

Eso sobre los motivos que se esgrimen principalmente para la movilización, cuando, sin hablar de libertad de expresión, hay motivos suficientes para estar contra la ley. Y llevando el sinsentido más allá se convoca un ataque DDos (una forma de conseguir que una web no esté disponible) contra las webs de PSOE, PP y CIU, ataques que provocan el cierre de webs para gritar contra una ley que provoca el cierre de webs ¿cómo queremos así que los partidos políticos no piensen que Internet es un sitio descontrolado que necesita ser regulado?

Tampoco soy el único que está en contra de cómo se está llevando la queja contra la ley Sinde, Gonzalo Martín ha escrito un buen artículo y si te interesa profundizar más, en error500 han recopilado 10 buenos enlaces para entender de qué va todo esto.

Me dejo en el tintero temas importantes como que Wikileaks ha dejado claro que la ley Sinde viene impuesta desde EE.UU. , que las webs de descargas no tienen en España una alternativa legal de pago que tenga un mínimo de sentido, y algo muy importante, que una ley como esta abre el camino para que se pueda cerrar por vía administrativa cualquier cosa, no sólo las webs con contenidos protegidos, sino webs con contenidos comprometedores (ej. Wikileaks) y protocolos de Internet completos como el P2P, pero… tampoco voy a convertir el post en un resumen de los peligros que acechan Internet, ya hablaremos de eso otro día.

Bonus: el país intenta explicar, desde su punto de vista, la ley Sinde, y Antonio Delgado, una de las voces más claras contra la ley,  contraargumenta desde su twitter.

Foto original de jonycunha

El conocimiento universal dentro de 100 años

jeroglífico egipcio
En hipermediaciones (al que llegué por los compartidos de pjorge) reflexionan sobre si podremos leer los PDFs escritos en la actualidad dentro de 100 años. Papiros, glifos en piedra… han sobrevivido el paso de miles de años, pero ¿conseguiremos nosotros que nuestros documentos los puedan ver nuestro tataranietos?. Ya hoy en día existen problemas para acceder a información de hace tan sólo unas décadas (esas casettes y cintas VHS que se almacenan inútilmente en nuestros trasteros) ¿qué ocurrirá dentro de 100 años con la información que tenemos en nuestro disco duro?.

Archivado analógico

El archivado analógico es simplemente inviable, no hay posibilidad técnica ni económica de guardar todo el contenido digital en forma impresa (por decir una forma “tangible”);  el volumen de información actual hace imposible guardarlo de una forma que no sea digital o lo siguiente que se invente. Hace cientos de años podían optar entre varias opciones (piedras, papiros, barro, tallas…), hoy esto es impensable.
Incluso aunque se pudiese, intentar un acceso a esa información sin un índice dígital, la haría inservible. Pensad por ejemplo en una gran biblioteca en la que no esté digitalizado el catálogo: sólo unos pocos pueden acceder cada vez y la información se recupera con cuenta gotas.

Archivado digital

Aceptando el archivado digital quedan dos variables por definir, el formato y el soporte.

  • El formato afirmo que debe ser abierto (open source),  no hay ninguna opción mejor porque es el que admite más adaptaciones al posible formato que surja en el futuro, incluso a formatos propietarios. Tal vez no sea la solución definitiva pero es la mejor solución posible.
  • El soporte: Es imposible saber qué soporte será el que se utilice en 100 años, por lo que la única forma que se me ocurre es mantener una replicación continua: lo que se grabó en cintas después se grabará en discos y lo que hoy está grabado en discos el año que viene se grabará en… El almacenamiento de la información en la nube (el cloud computing) consiste mucho en eso, en independizar la información en sí, del soporte en que está almacenada. De nuevo, como con el formato, no es la solución ideal (implica grandes costes en replicar de forma continua el conocimiento universal) pero es la mejor solución posible.

¿Te habías parado a pensar alguna vez que tal vez tus hijos, cuando sean ancianos no puedan ver las fotos y vídeos que has grabado de ellos cuando son niños?.

Imagen original de Clio20

Wordpress más seguro y cómo reaccionar a un ataque

Recientemente he recibido el que creo que es el primer ataque que lanzan contra este blog, algún amigo de lo ajeno ha conseguido la contraseña del usuario administrador, ha modificado algunos archivos de un plugin y ha colocado  un archivo con malas pulgas dentro del contenido del blog. Aparentemente no han roto nada más y creo que he conseguido repeler el ataque así que, a riesgo de enfadar más al atacante (que seguramente va a leer esto) os voy a contar mi experiencia por si le puede servir a alguien más.

Todo empezó cuando recibí un correo con este contenido

Contraseña perdida y cambiada para el usuario: dondado

Alguna otra vez había recibido correos de alguien que pedía el cambio de contraseña pero nunca de que efectivamente se había cambiado por lo que me preocupé y en cuanto tuve ocasión me puse a investigar qué pasaba. Descargué los logs de acceso al servidor apache y comienzo la investigación.

1. Retoma el control:

Entrar con el usuario y volver a pedir una nueva contraseña, una vez recibida acceder con ese usuario administrador al blog.
Desactivar todos los plugins por si han hecho cambios en ellos
Volver a cambiar la contraseña del administrador y ya de paso la cuenta de correo por si viene por ahí el fallo de seguridad.

2. Investiga qué ha pasado:

Acceder al log de acceso al servidor y buscar los accesos a wp-login.php y fijarse en la IP desde la que se han hecho el que se corresponda con la hora en que te llegó el correo del cambio de contraseña u otra hora en la que sepas que tú no has accedido.
Buscar todo lo que se haya hecho desde esa IP: en mi caso, además del cambio de contraseña, se ve que había modificado un plugin desde el editor de plugins de wordpress.
Con algún programa de comparación, compara los archivos que tenías (benditos backups) con los que han dejado los atacantes, así he detectado yo los cambios que habían hecho en el plugin simple-tags

3. Reforzar la seguridad.

A). Limitar los accesos al directorio wp-admin. Lo normal es que al panel de administración sólo entres desde tu casa, para ello basta con añadir, en el directorio /wp-admin/ un archivo con el nombre .htaccess con el siguiente contenido

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# whitelist Casa
allow from xxx.xxx.xxx.xxx
# whitelist Trabajo
allow from xxx.xxx.xxx.xxx

Sustituyendo las xxx.xxx.xxx.xxx por tus direcciones IP desde las que quieras acceder a la administración, por ejemplo la de casa y la del trabajo.

Si no sabes tu dirección IP puedes visitar, por ejemplo, esta dirección http://whatismyipaddress.com/ donde te la dicen o, si tienes cuenta de GMail, en la parte inferior aparece tu IP y pinchando en “información detallada”, un listado con las IPs desde las que has accedido últimamente a tu cuenta de gmail.
Ten en cuanto que muchos tenemos IPs dinámicas, es decir, que nuestro operador nos las cambia de vez en cuando, así que recuérdalo por si al cabo de unas semanas no consigues entrar ni siquiera tú. Una opción puede ser utilizar asteriscos en las dos últimos tramos de la IP, que es lo que suelen cambiar los ISP. La línea en ese caso te quedaría con la forma

allow from xxx.xxx.*.*

B) Deshabilitar los editores internos de wordpress, el editor de plugins y el editor de themes. No sé vosotros, pero yo, salvo en contadas ocasiones no los utilizo, así que más vale
tenerlos deshabilitados y reactivarlos sólo cuando sean necesarios. Para deshabilitarlos hay que añadir la siguiente línea en el archivo wp-config.php

define('DISALLOW_FILE_EDIT',true);

4. Volver a colocar las cosas en su sitio.

Hay que ser desconfiado y no dar por sentado que hemos encontrado todo lo que han modificado, más vale prevenir.
Volver a descargar todos los plugins desde la página de wordpress, borrar los que tienes instalados actualmente y volverlos a instalar.
Descargar la última versión de wordpress y volver a hacer una instalación limpia. Si como yo, además hacéis las actualizaciones de vuestro WP sólo de forma incremental es conveniente hacer esto de vez en cuando para eliminar posibles archivos que hayan quedado en desuso.

5. Paranoico de la seguridad

Si lo han intentado una vez es muy posible que vuelvan así que es mejor estar preparado esperándoles:

  • Crea un nuevo usuario con permisos de administrador que sea distinto del que utilizas para escribir en el blog, una vez creado, identifícate con él y cambia los permisos de tu usuario normal, el que conoce la gente, para que sea tan solo editor. A partir de ahora tendrás que pensar qué vas a hacer cuando entres al blog, escribir, administrar entradas y comentarios  (para esto utiliza el viejo usuario que ahora sólo es editor) o cambios de plugins, opciones, aspectos… para eso sí tendrás que entrar con el nuevo usuario administrador.
  • Cambia la contraseña de la base de datos del blog.
  • Cambia la contraseña del correo electrónico que tienes asociado al usuario del blog.
  • Cambia las claves secretas del wp-config.php:
define('AUTH_KEY', 'xxxxxxxxx');
define('SECURE_AUTH_KEY', 'xxxxxxxxxxxx');
define('LOGGED_IN_KEY', 'xxxxxxxxx');
define('NONCE_KEY', 'xxxxxxxxxxx');

Para generar unas nuevas visita el generador aleatorio de claves de WP y copia y pega sobre tus anteriores líneas del wp-config.php
Aún no he logrado averiguar cómo consiguieron acceso a mi blog en su primer intento (en el segundo no lo consiguieron). Puede que sea una vulnerabilidad no descubierta de wordpress aunque me inclino a pensar que sea algo más concreto de mi instalación, por ejemplo, las claves del wp-config.php no las cambiaba desde que las puse hace muchos meses (cuando salió la versión 2.6), quizá incluso tenía unas claves genéricas copiadas de algún sitio que les facilitaban conseguir la key para acceder a la administración. Quién sabe, espero no volver a llevarme sustos como este ¿Y tú, has sufrido algún intento de ataque de tu blog?.

Por último agradecer a la gente de Iteisa su interés y ayuda para conseguir salir de este entuerto.

Foto original de Dunechaser

Open data en la administración

RutaRecientemente he asistido a algunas sesiones de un curso de la UIMP sobre administración electrónica y Gobierno abierto. El curso estaba dirigido por Santiago García Blanco (Dir. Gral. de Desarrollo Tecnológico e Innovación del Gobierno de Cantabria) que ha conseguido un nivel de ponentes realmente magnífico: sebasmuriel (proyecto Aporta), alorza (irekia y más cosas en el Gobierno Vasco), Andy Macleod (CISCO) , Jaime Obregon (Iteisa), Marco Fioretti, Ricardo Cavero (ayto Zaragoza)…
Que la digitalización del Estado (lo de digitalización va sin segundas), la Administración Electrónica, tienen que mejorar es un hecho claro, pero no obstante, se están haciendo avances y a mi juicio se va en la dirección correcta, al menos si tenemos en cuenta tres condicionantes:

  • La situación de partida era mala, mucha incomunicación entre administraciones y un nivel de digitalización de la información escaso.
  • Un “monstruo” como la Administración se mueve despacio, le falta la agilidad que puede tener una pequeña o mediana empresa.
  • El abordaje a la digitalización de las comunicaciones con la Administración ha empezado hace relativamente poco, había algo de normativa previa pero hasta el 2007 con la LISI no se ha empezado en serio con ello.

La Hoja de Ruta de la Administración Electrónica:

Esta es en mi opinión, a modo de conclusiones propias del curso, el camino que se debe seguir en el proceso
Open Data –> Formatos Abiertos y Estandarización –> Software Libre

Open Data: poner a disposición de los ciudadanos la información que pertenece a los ciudadanos. Cuanta más mejor y cuanto antes mejor, que las empresas dispongan de ese material de trabajo y aumenten su valor mediante la clasificación, ordenación y filtrado. Pensando en toda la información que tiene el Estado (tráfico, resoluciones, clima, demografía, normativa…) y la cantidad de aplicaciones que se podrían hacer sobre ella y que nos servirían a muchas personas al tiempo que generarían riqueza en los intermediarios de ese flujo de información entre la administración y la ciudadanía.

Formatos Abiertos y Estandarización: lo primero es tener algo que decir (Open Data) y lo siguiente es saber decirlo de forma clara (Formatos Abiertos) y que lo entienda el mayor número de agentes (Estandarización). Los formatos abiertos y estándares son la forma de que toda esa información alcance al mayor número de destinatarios, facilitando su manejo desde el mayor número de plataformas y softwares posibles.

Software Libre: Una vez que esos datos han sido liberados, que la Administración utilice Software Libre mejorará el control y auditoría de lo que se hace con nuestra información, la que los ciudadanos hemos querido/tenido que ceder. Esta es un beneficio que añadir a otros beneficios del SL para la Administración que ya he anotado en alguna ocasión más.

Por último mi agradecimiento a Santiago por haberme invitado a asistir y mis mejores deseos para que este curso se pueda repetir más años y manteniendo, o incluso mejorando el nivel de los ponentes.

Foto original de Shahram Sharif