Protección para la vulnerabilidad XML-RPC de WordPress

Llevo unos días con el servidor en el que se aloja este blog y otros (todos desarrollados en WordPress) caído por intervalos, con un consumo tan alto de CPU que a veces no podía ni conectarme a la máquina para poder administrarla.

Cuando conseguí conectarme y ejecutar un htop (un top mejorado) había una gran cantidad de procesos de Apache, que por separado consumían pocos recursos pero todos juntos estaban tirando la máquina.

Al detener el servicio de Apache pude ver que la máquina se estabilizaba; es decir, algo estaba sobrecargando el servicio de Apache.

Tras analizar la últimas entradas del log había una gran cantidad de peticiones por segundo desde diferentes IP que ejecutaban

“POST /xmlrpc.php HTTP/1.1”

Este ataque es conocido desde hace tiempo y se aprovecha de una funcionalidad de WordPress que implementa XML-RPC.

La solución es sencilla, y simplemente hay que desabilitar la llamada al PHP xmlrpc.php mediante una configuración de Apache en el .htaccess en cada uno de los sitios creados con WordPress:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Si quieres habitar alguna IP para poder usar las funcionalidades del xmlrpc.php simplemente hay que permitir el acceso a esas IP:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 11.22.33.44
Allow from 55.66.77.88
</Files>

Creando un tema para WordPress desde cero. Mi charla en el II WordPress Meetup Marbella 2014

El próximo viernes 30 estaré en el II WordPress Meetup Marbella 2014 con una charla sobre cómo crear un tema para WordPress desde cero.

El evento tendrá varias charlas bastante interesantes y, bajo mi punto de vista, de temas bastante actuales y necesarios:

  • ¿Cómo instalar una tienda online en WordPress con WooCommerce? por Andy García.
  • Integración de WordPress con plataformas de rentabilización por José Antonio Ruiz.
  • Crear un negocio de formación online con WordPress por Ángeles Portillo.
  • WordPress Multilingüe (enfocado al comercio electrónico) por Amit Kvint.
  • Aspectos legales de WordPress por Camino García.
  • Diseñando una mejor experiencia ecommerce en responsive por Ricardo Prieto, con el que vuelvo a coincidir tras una semana del WP Euskadi, tratando un tema a mejorar en muchos comercios electrónicos, no solo en WordPress.
  • WordPress: un viaje en el tiempo por Rafael Poveda.
  • ¿El SEO ha Muerto? ¡Viva el Local SEO! por Francis Ortiz.

Mi charla

En mi charla trataré de explicar a una persona con conocimientos de HTML, CSS, PHP y WordPress cómo puede crear un tema desde cero. En 10 pasos detallados lograremos crear un tema para WordPress, partiendo desde una plantilla HTML/CSS y llegando a un tema completo, con cabecera, barra lateral, pie de página, menú personalizable y varias zonas de widgets. Serán 20 minutos en los que tendré que darlo todo para que los asistentes sean capaces de llevarse una idea de por dónde atacar sin problemas la creación de un tema WordPress.

La documentación está disponible en fontelearn.com. WordPress. Desarrollo de temas.

Temas hijo en WordPress. Mi charla en el WordPress Euskadi

El próximo sábado 24 estaré en el WordPress Euskadi 2014 con una charla/taller sobre temas hijo en WordPress, que será una continuación y mejora de la que impartí en tan solo 20 minutos en el WordPress Day en Madrid

Todo comenzó en el WordPress Day en Madrid cuando Dani Reguera me propuso participar en esta jornada. Dani es una de esas personas que desprenden energía por todos lados, que ves que ponen pasión en lo que hace, y a mi ese tipo de gente me encanta, por lo que tras aclarar algún pequeño punto no me quedó más que aceptar la invitación.

Volveré a compartir escenario con Ricardo Prieto, con una presentación que tiene muy buena pinta, “Diseño responsive y accesibilidad con WordPress: usuario vs pixel” y con Antonio Villegas, que llevará a cabo un taller bastante interesante “Introducción a la Optimización de Conversiones – Test A/B en WordPress”.

Mi taller.WordPress. Temas hijo

Mi taller hablará de temas hijo en WordPress. Estará dividido en 2 partes:

  • Una introductoria,  el que explicaré por qué trabajar con temas hijo, cuándo debemos de usarlos, cómo elegir un tema padre y mostraré las diferencias técnicas entre un tema normal y un tema hijo.
  • Otra práctica, en la que mostraré paso a paso como construí el tema Error 500.

La documentación está disponible en fontelearn.com. WordPress. Temas hijo.

Charla sobre “Temas hijos” en el WordPress Day en Madrid

El próximo 08/03/2014 estaré en el WordPress Day en Madrid dando una charla sobre cómo construir temas hijos en WordPress.

El evento, que tiene charlas tanto para usuarios como para desarrolladores, tendrá lugar desde las 10:00 hasta las 17:00 horas en el Medialab Prado, ya tiene todas las entradas agotadas y una larga lista de espera.

Mi charla será la primera para desarrolladores, a las 10:15 horas.

El tema de WordPress Error 500 disponible para su descarga

v2.0.0

Acabo de publicar el tema de WordPress Error 500, un tema limpio y adaptativo (responsive), libre y gratuito. Está desarrollado como un tema hijo del tema Quark.

Puedes ver todas sus características en este enlace.

Puedes ver una demo en este enlace.

Si quieres saber cómo se instala tienes información en este enlace.

Error 500 está disponible para su descarga en GitHub, con licencia GNU/GPL v2.

Y si quieres verlo en funcionamiento real, puedes ir a: