Esgeek

Un aviso rápido después de las experiencias que estoy teniendo en todos los blogs que gestiono. Uno de los plugins que instalaba siempre en cada bitácora que gestiono es SEM External Links, el cual nos sirve para que los enlaces que existan en nuestra web se abran en una ventana nueva por defecto.

Hace pocos días se presentó una actualización de este plugin, y siendo como es un complemento relativamente sencillo procedí a instalar la nueva versión. Al día siguiente, me di cuenta de que uno de los blogs dejaba de funcionar (Omnia HD), y sinceramente en ese momento no caí en que fuera a causa de esto. Puesto en contacto con mi hosting (Redcoruna), pensando que sería un problema del servidor, muy amablemente  me informaron que el problema venía por dicho plugin (lo cual les agradezco enormemente ya que no tenían ninguna obligación de ayudarme en un fallo que era por mi culpa). Dicho y hecho, lo desactivé y el blog volvió a funcionar correctamente.

Dado que las otras bitácoras seguían cargando aparentemente bien, pensé que sería una incompatibilidad con la plantilla que uso en Omnia HD. Pero en eso que un considerado lector de Homotecno me avisó por mail de que algunas páginas concretas no se mostaban correctamente. Hice las pruebas oportunas y otra vez el puñetero plugin estaba dando problemas, pero esta vez no en todo el blog sino en páginas individuales de algunos posts. Después de esto, lo he quitado de todas las webs a la espera de encontrar otro complemento que haga la misma función (que por otro lado tampoco es esencial ya que como norma general suelo marcar todos los enlaces salientes para que se abran en una ventana nueva), y he creído oportuno poneros sobre aviso a aquellos que también lo uséis por si os pasa lo mismo.

Valora este artículo:

(Nadie ha puntuado todavía)

 Loading ...

Casi como colofón al anterior artículo en el que os hacía mi análisis personal del nuevo firmware XXII1 para el Omnia HD, me acabo de dar cuenta de que hay un bug que ya estaba presente en la ROM rusa SERII2 y que no ha sido solucionado.

Se trata de la alarma cuando está activado el perfil silencio. Si tenemos este perfil y programamos una alarma, veremos que aunque ésta se activa no suena nada. Para solucionarlo basta con personalizar el perfil “Silencio” y en “Tipo de señal” poner, por ejemplo, “Ring”. A partir de ese momento podrás volver a oír las alarmas que programes incluso en ese perfil.

Tenedlo en cuenta aquellos que usáis el móvil como despertador, porque yo me di cuenta del fallo al segundo día de no despertarme a la hora que tenía previsto. El primer día pensé que había sido yo que la había apagado sin darme cuenta, pero al segundo hice la prueba y efectivamente el bug existe.

Valora este artículo:

(Nadie ha puntuado todavía)

 Loading ...

Bueno, pues haciendo una revisión de todas las plantillas que hemos publicado, estas son las que presentan el riesgo de seguridad del que hablábamos en el post anterior:

• Soul Vision
• Ultimate Blogger
• Xhilaration
• AdSensation Blue

Después de leer sobre este fallo he modificado lo más rápido posible las 4 plantillas afectadas y las he vuelto a subir de manera que los que se las descarguen a partir de ahora ya no tienen ningún riesgo en este aspecto. Lo malo es que al usar Filedropper como sistema de almacenamiento se han perdido las estadísticas de descarga de los archivos anteriores, pero bueno prefiero eso mil veces antes que no arreglar este desaguisado inesperado.

Si habéis implementado alguna de ellas y habéis hecho algunas modificaciones a mano en los archivos, deciros que en todos los casos el fallo se encuentra en las últimas líneas del archivo header.php (al menos yo no lo he visto en ningún otro sitio). Sólo tenéis que hacer la sustitución que os comentaba en el anterior post y arreglado, es un cambio muy sencillo y rápido y de esta manera no tendréis que subir la plantilla entera otra vez y no perderéis los cambios realizados.

Valora este artículo:

(Nadie ha puntuado todavía)

 Loading ...

Después de leer este artículo de Ayuda WordPress me he puesto a revisar todas las plantillas que hemos traducido y he podido comprobar que algunas están afectadas por este posible riesgo de seguridad.

Según leemos en Ayuda WordPress:

Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.

La solución que allí proponen tiene un fallo según parece, lo que debemos hacer es comprobar nuestra plantilla (normalmente los archivos header.php, search.php, searchform.php y por seguridad también 404.php) y buscar el siguiente código (si está):

<?php echo $_SERVER['PHP_SELF']; ?>

Y cambiarlo por el siguiente:

<?php echo htmlspecialchars($_SERVER['PHP_SELF']) ?>

Espero poder adecuar esta misma noche las plantillas que tenemos ahora mismo subidas para que incorporen este cambio. También incluiré una lista de las plantillas afectadas.

PD: otra solución que se apunta en los comentarios de Ayuda WordPress por parte por ejemplo de aNieto2k es cambiarlo por la siguiente función, la cual parece más adecuada que la anterior:

Visto que realmente creo que esta es la mejor opción (de hecho así es como está en las plantillas que no estaban afectadas por este riesgo de seguridad) recomiendo que hagáis esta implementación en vez de la anterior, y de hecho voy a reprogramar las plantillas y volverlas a subir con ella.

Valora este artículo:

(Nadie ha puntuado todavía)

 Loading ...