WordPress 4.0 ‘Benny’, a examen

Dejo el hangout que tuve el martes 9 de septiembre para analizar la nueva versión de WordPress, 4.0 ‘Benny’, junto con Fernando Tellado, Ángeles Portillo y Pedro Santos.

Protección para la vulnerabilidad XML-RPC de WordPress

Llevo unos días con el servidor en el que se aloja este blog y otros (todos desarrollados en WordPress) caído por intervalos, con un consumo tan alto de CPU que a veces no podía ni conectarme a la máquina para poder administrarla.

Cuando conseguí conectarme y ejecutar un htop (un top mejorado) había una gran cantidad de procesos de Apache, que por separado consumían pocos recursos pero todos juntos estaban tirando la máquina.

Al detener el servicio de Apache pude ver que la máquina se estabilizaba; es decir, algo estaba sobrecargando el servicio de Apache.

Tras analizar la últimas entradas del log había una gran cantidad de peticiones por segundo desde diferentes IP que ejecutaban

“POST /xmlrpc.php HTTP/1.1”

Este ataque es conocido desde hace tiempo y se aprovecha de una funcionalidad de WordPress que implementa XML-RPC.

La solución es sencilla, y simplemente hay que desabilitar la llamada al PHP xmlrpc.php mediante una configuración de Apache en el .htaccess en cada uno de los sitios creados con WordPress:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Si quieres habitar alguna IP para poder usar las funcionalidades del xmlrpc.php simplemente hay que permitir el acceso a esas IP:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 11.22.33.44
Allow from 55.66.77.88
</Files>

Tendencias en los lenguajes de programación

A partir de una entrada en el blog de Adam Bard acabo de elaborar una gráfica (la hoja de cálculo está disponible aquí) en la que se pueden ver los lenguajes más usados en GitHub y su evolución con respecto al año anterior, atendiendo al número de repositorios creados en el periodo enero-agosto de cada año.

Tendencias_lenguajes_2013

 

Lo más significativo:

  • El número de repositorios creado desciende este año. Algo normal en un sistema que ha crecido fuertemente y que tiene a medio plazo a la estabilización. Atendiendo a los repositorios creados en los 20 principales lenguajes:
    • 2013: 1.178.534
    • 2012: 1.875.869
  • JavaScript pasa a ser el lenguaje más usado, adelantando a Ruby, que está en la segunda posición.
  • Hay descensos importantes como:
    • Ruby: 37%
    • Java: 41%

    • PHP: 34%
    • Python: 45%

    • C: 68%

Skype y la ejecución múltiple

Curioso el error que encontré al tratar de arrancar 2 veces Skype. En vez de permitir una única instancia dejan arrancar múltiples, capturan una excepción y muestran un aviso de lo que posiblemente esté sucediendo. Creo que es una solución poco elegante desde el punto de vista de UX.

Skype_multiple_instancia

Programas de formación online gratuita de INTECO

Acabo de ver una sección que desconocía, pero que me parece interesante, por lo que la comparto aquí. En la web del “Instituto Nacional de Tecnologías de la Comunicación” disponen de un portal de formación online gratuita, con cursos cuya duración va desde 1 hasta 2o horas.

Las áreas temáticas se dividen en 3:

  • Área de Seguridad TIC/eConfianza
  • Centro de Excelencia XBRL
  • Laboratorio Nacional de Calidad del Software

Para inscribirse en algún curso simplemente hay que registrarse en la plataforma de INTECO.