¿Qué es XML-RPC en WordPress?

¿Qué es XML-RPC en WordPress?

XML-RPC es una característica de WordPress que le permite a tu sitio web comunicarse con otras plataformas. A través de este canal de comunicación, se pueden conectar clientes de correo, procesadores de texto, incluso otras webs de blogging pueden comunicarse con tu WordPress para hacer trackbacks y pingbacks.

Si alguna vez utilizaste la aplicación para celulares de WordPress, originalmente se comunicaba a través de XML-RPC. Jetpack utiliza XML-RPC para comunicar datos a tu cuenta de WordPress.com, según lo informan en su sitio web. Por lo tanto, si utilizás Jetpack, ya te anticipamos que NO bloquees el XML-RPC.

En la versión 4.7 de WordPress, se implementó de forma nativa la comunicación a través de API Rest. Si bien la mayoría de las conexiones con WordPress se realizan utilizando su API Rest, el núcleo de WordPress todavía tiene incorporado el formato de intercambio XML-RPC, principalmente para evitar problemas de compatibilidad con sitios web y plugins que aún utilizan este canal.

¿Cómo saber si tenés el XML-RPC bloqueado en tu sitio web?

Existen algunas formas para verificar si tu sitio web tiene bloqueado el XML-RPC.

La primera y la que te recomendamos por ser muy sencilla, es ingresar en el navegador https://dominio.com/xmlrpc.php, es decir la URL de tu sitio web seguido del nombre del archivo xmlrpc.php. Por ejemplo, podés ingresar https://experienciasdigitales.studio/xmlrpc.php

Si te aparece un mensaje similar al siguiente: “XML-RPC server accepts POST requests only” quiere decir que XML-RPC está habilitado. Por el contrario si te aparece un error “403 Forbidden» o similar, entonces está bloqueado.

La segunda forma de chequear es a través del sitio web https://xmlrpc.eritreo.it/ . En este sitio ingresás la URL, hacés click en “Check” y te dirá el estado del XML-RPC. Es importante que sepas que si vas a utilizar este sitio web, no ingreses ni tu usuario ni tu contraseña. Para este tipo de chequeos, no son necesarios.

¿Por qué es peligroso tener el XML-RPC habilitado?

El principal problema de dejar habilitado el XML-RPC en WordPress es la seguridad. Hay diversas formas de atacar un sitio web utilizando XML-RPC. Las más destacadas son el «ataque de fuerza bruta» o brute force attack, y la “denegación distribuida de servicios” o DDoS (distributed denial of services).

El archivo xmlrpc.php se encuentra en la raíz de nuestro sitio web (al mismo nivel donde se encuentran las carpetas wp-content, wp-admin, el archivo wp-config.php, etc.).

Este archivo, encargado de permitir la conexión a través de XML-RPC no representa un peligro en sí mismo. De hecho, podrías eliminarlo sin que tu sitio web se vea perjudicado. Esta solución no la recomendamos en absoluto ya que primero, es parte del núcleo mismo de WordPress y cualquier chequeo de integridad del mismo te va a arrojar el error de que falta dicho archivo. Y segundo, cuando actualices la versión de WordPress, el archivo volverá a estar ahí, con lo cual tendrías que recordar eliminarlo cada vez que hagas una actualización de WordPress en tu sitio web.

¿Cómo bloquear o deshabilitar XML-RPC en WordPress?

Existen algunas alternativas para bloquear o deshabilitar el XML-RPC de tu sitio web. 

Utilizando plugins

La primera forma y más sencilla es a través de un plugin. Existen muchos plugins con esta funcionalidad. Al momento de publicar este artículo, el que tiene mejor puntaje es el “Disable XML-RPC-API de Neatmarketing: 

Modificando el archivo functions.php de tu theme

Podés agregar lo siguiente en el archivo functions.php de tu theme. Tené en cuenta que este método, si bien deshabilita la funcionalidad del XML-RPC, no impide que se puedan realizar ataques de fuerza bruta contra tu sitio web:

// Deshabilitar el uso de XML-RPC
add_filter( 'xmlrpc_enabled', '__return_false' );

Modificando el archivo .htaccess (servidores Apache)

Para quienes tienen su sitio web WordPress alojado en servidores con Apache, la forma un poco más “complicada” y que requiere cierto conocimiento técnico, es agregando el siguiente código al archivo .htaccess de tu sitio web:

# Bloquear requests al archivo xmlrpc.php requests 
<Files xmlrpc.php> 
order deny,allow 
deny from all 
allow from xxx.xxx.xxx.xxx 
</Files>

Las xxx.xxx.xxx.xxx podés reemplazarlas por la IP a la que querés permitirle el acceso a través de XML-RPC.

Un dato importante sobre este archivo .htaccess: Es un archivo oculto que está ubicado en la raíz de tu sitio web, al igual que el archivo xmlrpc.php. Si cuando ingresás por FTP o cPanel no lográs verlo, tenés que habilitar la visualización de archivos ocultos.

Modificando el config de servidores Nginx

Si por el contrario tenés tu sitio web en WordPress alojado en un servidor que corre Nginx, entonces podés pegar el siguiente código en el config:

# Bloquear requests xmlrpc.php en nginx
location /xmlrpc.php {
    deny all;
}

Así que…

Recordá que si estás utilizando alguna plataforma que intercambie información con tu sitio web WordPress a través de XML-RPC o si utilizás el plugin Jetpack, entonces no bloquees este protocolo. Pero sino, es una buena medida para tener un sitio web más seguro.

En Experiencias Digitales sabemos cómo cuidar tu sitio web WordPress, ¡escribinos!

¿Qué es WordPress?

¿Qué es WordPress?

Según las últimas estadísticas de W3 Techs, el 39,7% de los sitios web a nivel mundial utiliza WordPress. Esto representa una cuota de mercado entre los sistemas de gestión de contenidos del 64,1%. Que se haya convertido en uno de los software más utilizados a nivel mundial no es una casualidad. En este artículo te contamos qué es WordPress y por qué es tan popular.

¡Qué es WordPress?

Es un sistema de administración de contenidos (CMS, o Content Management System). Permite crear sitios web de una forma rápida y sencilla, incluso para quienes no tienen conocimientos ni experiencia sobre el tema. 

Con WordPress también se pueden hacer grandes desarrollos a nivel empresarial. Muchos nombres importantes de distintas industrias y entidades gubernamentales a nivel mundial utilizan WordPress como gestor de contenidos por su facilidad de uso e infinitas posibilidades de expansión y customización. Más adelante en este artículo te cuento algunos ejemplos.

Es un software basado en PHP y MySQL, de código abierto y con licencia GPLv2. Esto significa dos cosas: primero, que cualquiera puede utilizar y/o modificarlo de forma gratuita, y segundo, que su código es desarrollado y mantenido por una enorme comunidad de voluntarios alrededor del mundo, lo cual asegura su existencia a través del tiempo.

¡Por qué usar WordPress?

La principal razón por la que WordPress es el CMS más utilizado a nivel mundial es porque se pueden crear muchos tipos de sitios web a través de una interfaz visual, y editar los contenidos como si estuvieses utilizando Microsoft Word o Documentos de Google. Esto abre la posibilidad de poder crear sitios web con un buen nivel para quienes no tienen conocimiento en el área de desarrollo.

Se puede crear prácticamente cualquier tipo de sitio web. Desde landing pages y blogs, hasta robustos e-commerce, sitios de suscripciones, redes sociales y más.

Ejemplos de sitios en WordPress

Con lo dicho hasta acá, queda claro que sirve para crear diferentes tipos de sitios web con un costo realmente bajo. Pero esto no queda ahí. Grandes empresas y negocios que figuran, por ejemplo en el ranking Fortune 500, muestran sus contenidos a su público utilizando WordPress. Incluso en el propio sitio de WordPress, hay un catálogo de sitios web hechos con WordPress de estas grandes empresas. Entre ellas figuran por ejemplo Sony Music, The Walt Disney Company, Microsoft News Center y The Rolling Stones. Sitios que son críticos para un país, cómo por ejemplo el sitio web de la Casa Blanca de los Estados Unidos también está hecho con WordPress.

Puntos a favor

Inversión

Tanto WordPress como muchos de sus plugins (módulos que sirven para extender su funcionalidad) y themes (plantillas visuales para el sitio web, lo que ven los usuarios) son gratuitos. Esto permite crear un sitio web con una inversión de cero. Lo único que podrías (y deberías) invertir es en el dominio y el hosting donde alojar el sitio web (hay muchos realmente muy económicos).

Fácil administración

Administrar el sitio web, sobre todo sus contenidos, es una tarea fácil con WordPress. No es muy diferente a utilizar un procesador de textos.

Comunidad

El desarrollo y mantenimiento de WordPress es realizado por una enorme comunidad de especialistas. Además, hay muchísimos foros y sitios web donde encontrar ayuda sobre cualquier aspecto que necesites. (faceebook, etc).

Personalización

Podés extender la funcionalidad de WordPress a través de plugins. Hoy existen infinidad de plugins para distintas funcionalidades, gratuitos y pagos.

También, podés diseñar el sitio web utilizando diferentes themes, gratuitos y pagos, constructores visuales (como Elementor, Divi) e incluso programar a medida tu propio theme, incluso podés optar por soluciones headless, desarrollos que desacoplan el backend de WordPress del frontend, logrando sitios más rápidos y seguros.

Puntos en contra

Seguridad

En contra de lo que dicen en muchos foros y sitios especializados, WordPress es un desarrollo de por sí seguro. La comunidad de desarrolladores que intervienen en su código lanzan con frecuencia actualizaciones que aumentan ese nivel de seguridad.

Sin embargo, si se instala algún plugin o theme que no esté desarrollado de forma segura, se crea un “agujero” en la seguridad del sitio web. 

Al ser un sistema de administración de contenidos tan popular, es un blanco tentador para los hackers. Muchos de estos ataques no son para “romper” el sitio web en sí, sino para utilizar los recursos del servidor donde está alojada la página para otros fines.

Performance 

Por la arquitectura que utiliza WordPress en su funcionamiento, los sitios web pueden volverse lentos en su carga si no se los optimiza adecuadamente.

Para explicarlo de forma simple, cada vez que un visitante llega a un sitio web, y cada vez que va a otra página dentro del sitio a través de un enlace o botón, el servidor tiene que generar todo el renderizado de la página que va a mostrar. Hacer esto cada vez que se va de una página a otra puede perjudicar la experiencia del usuario con ese sitio web, lo cual trae como consecuencia un menor desempeño del sitio web en su finalidad.

WordPress.org vs WordPress.com

Es importante mencionar que existen dos formas de utilizar WordPress. La primera es tener un sitio web en WordPress dentro de su propio servicio con un costo asociado (www.wordpress.com), donde creás el sitio y sus contenidos dentro de su plataforma, y la otra es descargar WordPress e instalarlo en tu propio hosting (www.wordpress.org). En este caso, tenés que ocuparte además de la instalación y configuración, pero te permite una mayor flexibilidad para desarrollar tu sitio web.

En Experiencias Digitales, somos especialistas en WordPress. Si querés hacernos alguna consulta, ¡no dudes en escribirnos!

Actualizar WordPress

Actualizar WordPress

Actualizar WordPress no es una tarea difícil. En este post te contamos por qué es importante mantener actualizado WordPress y la forma en que recomendamos actualizar WordPress para que no falle, o estés listo si ocurre algún error.

¿Por qué es importante mantener WordPress actualizado?

WordPress es una plataforma que evoluciona día a día. El equipo que trabaja desarrollando WordPress se ocupa de agregar nuevas características y mejorar las existentes. También se encargan de corregir errores que pueden comprometer la seguridad o el funcionamiento de tu sitio web.

Por seguridad

La popularidad de WordPress hace que los sitios desarrollados en esta plataforma sean un blanco de ataque deseado por varios motivos. Desde robar información de usuarios, dejar fuera de servicio al sitio web completo, hasta utilizar los recursos del servidor donde alojás tu sitio web con otros fines, son algunos ejemplos de ataques que ocurren con frecuencia. Un sitio web en WordPress desactualizado deja una puerta abierta a los atacantes, para acceder a través de fallas que encuentren.

Por nuevas funcionalidades

Otro punto importante es poder utilizar nuevas funcionalidades que el equipo de desarrolladores de WordPress implemente en la plataforma. Tener acceso a las mejoras y modificaciones es un punto importante, sobre todo cuando se relacionan a optimización y velocidad del sitio web.

Por corrección de errores

El código con el cual funciona WordPress es complejo y muy grande. Es una plataforma que tiene más de 17 años de evolución (la primera versión fue lanzada el 27 de mayo de 2003). Es inevitable que en el código existan errores menores. Los desarrolladores ponen a disposición permanentemente correcciones a través de nuevas actualizaciones.

¿Por qué NO hay que actualizar WordPress automáticamente?

Cuando ingresás al panel de administración de WordPress, la plataforma se encarga de notificarte de las actualizaciones disponibles. Incluso con un solo click, podés actualizar WordPress a su última versión. 

Generalmente este proceso no trae complicaciones, pero si se modificó alguna forma de funcionamiento interno de WordPress y tus plugins o themes no se adaptaron a tiempo a ese cambio, tu sitio puede caerse o verse perjudicado en su funcionamiento. Incluso puede que el sitio web funcione correctamente desde el lado técnico, pero el frontend (lo que ven tus usuarios y dónde interactúan con tu negocio) puede que se vea afectado.

Ocurrió hace poco, con el lanzamiento de la versión 5.5 de WordPress, muchos sitios tuvieron innumerables inconvenientes, teniendo que realizar un downgrade de versión hasta que la corrección de la falla se puso a disposición del público.

Hay que tener en cuenta que por defecto, WordPress tiene establecido que las modificaciones menores y de seguridad se actualicen automáticamente, y deja a nuestra voluntad las modificaciones mayores. Esta característica puede ser habilitada o deshabilitada según creamos convenientes. Generalmente estas actualizaciones menores son sobre algún aspecto particular del código, y no modifica el «motor» de WordPress en sí, con lo cual aconsejamos dejarla activada tal cual viene por defecto.

Entonces, ¿cómo actualizar WordPress?

Siguiendo unos pasos metódicamente, es posible actualizar de una forma segura nuestro sitio en WordPress.

Primero, lo que hacemos en Experiencias Digitales es chequear que tanto el theme como los plugins reporten compatibilidad con la nueva versión.

Tenemos una réplica exacta de cada sitio web de nuestros clientes. En el sitio web réplica (llamado comúnmente “staging”), probamos que las actualizaciones funcionan correctamente, no solo desde el aspecto técnico sino también desde la experiencia de usuario. Un excelente plugin para lograr esto es WP Staging. Es importante que esta instancia «staging» sea configurada en el mismo servidor que el sitio web que está en «producción» (sitio web real). De esta forma, aseguramos que el entorno en el que se ejecutan ambos sitios web sean el mismo, y por lo tanto las pruebas que hagamos en uno serán más fiables para luego impactarlas en el otro.

Una vez que evaluamos el correcto funcionamiento del sitio web en la instancia «staging» con las actualizaciones implementadas, entonces realizamos un backup preventivo y completo del sitio web en producción como forma de tener un respaldo inmediato anterior a la actualización. Un plugin interesante para realizar backups es BackupBuddy de iThemes aunque hay varios más que cumplen la misma función.

Por último y asegurándonos de tener el backup completo, aplicamos la actualización en el sitio web en producción. Volvemos a chequear que el sitio funcione correctamente y que todo esté en su lugar.

En la documentación oficial de WordPress explican detalladamente el paso a paso para actualizar automáticamente o manualmente de versión.

Actualizar el núcleo de WordPress no tiene que ser un dolor de cabeza. Es un proceso metódico que, seguido paso a paso, garantiza que no produzca errores en el sitio web. 

Si querés que nos ocupemos del mantenimiento técnico de tus sitios y aplicaciones web en WordPress contactanos. Tenemos nuestros planes de mantenimiento y hosting de sitios WordPress de alto nivel. En Experiencias Digitales, somos expertos en WordPress y sabemos como cuidarlo.

La imagen de este post pertenece a BlogVault.

¿Qué es el grooming?

¿Qué es el grooming?

Introducción

En Experiencias Digitales construimos sitios y aplicaciones web centradas en los usuarios. Diseñamos experiencias que tienen como objetivo resolver alguna problemática o necesidad, informar, incluso entretener a quienes utilizan nuestros desarrollos.

Entendemos que para que exista una buena experiencia en el mundo digital, las mismas tienen que ser (entre muchas otras cosas) seguras.

Por eso consideramos importante ayudar a concientizar sobre el uso seguro de la tecnología, no sólo en aspectos más “técnicos” como son las políticas de contraseñas o el cifrado de datos, sino también desde un aspecto más humano, saber detectar a tiempo algún peligro o riesgo, evitarlo, y denunciarlo.

¿Qué es el Grooming?

El grooming es un delito. Consiste en el acoso sexual a un niño o adolescente por parte de un adulto, a través de medios digitales.

Para llevarlo a cabo, el acosador suele crearse un perfil virtual falso de un chico o chica para lograr entrar en confianza con sus víctimas, manipularlas y conseguir comportamientos de índole sexual como desnudarse frente a la cámara, solicitar fotos o videos con comportamientos sexuales, incluso en muchos casos lograr acceder físicamente al acto sexual.

Según una estadística publicada por ESET Latinoamérica, el 68,3% de los adultos encuestados, el grooming es una amenaza muy frecuente. El 26,3% confirmó conocer un niño que ha sido víctima de grooming. De estos menores, un 52,9% tiene entre 11 y 15 años, y un 33,7% entre 7 y 10.

¿Cómo denunciarlo?

De acuerdo al sitio web Argentina.gob.ar podés denunciarlo llamando al 102 o al 137.

En Argentina Cibersegura nos brindan una serie de recomendaciones a seguir en caso de que necesitemos hacer una denuncia:

  • No borrar, destruir o modificar información relacionada con el delito
  • Denunciar lo antes posible el delito
  • No reenviar los archivos y mensajes que conforman el delito
  • Guardar todas las pruebas hasta que la justicia te diga qué hacer con ellas

Para más información, visitá Decile no al grooming en Argentina Cibersegura.

Fecha de vencimiento invisible

Fecha de vencimiento invisible

Hoy en día, cualquier producto comercial tiene una fecha de vencimiento o de “consumir preferentemente antes de”, excepto aquellos casos que por normativa no están obligados.

Cuando realizamos compras, es importante para nuestro bienestar poder conocer si el producto está “en fecha” o si está vencido (siempre y cuando se hayan respetado las variables para su correcto almacenamiento y transporte).

Si bien los productos cumplen con la regulación que obliga a los fabricantes a imprimir la fecha de vencimiento, muchas veces dicha fecha no está impresa de una forma fácilmente distinguible.

¿Cuántas veces hacemos compras en supermercados o negocios, apurados, y no miramos la fecha de vencimiento? ¿Cuántas veces acudimos a una farmacia a comprar un medicamento o algún otro artículo y tampoco le prestamos atención a la fecha de vencimiento? ¿Cómo se nos ocurriría pensar que una farmacia podría vender medicamentos vencidos? ¿Confiamos plenamente en los comercios? ¿O también se nos hace difícil ver la fecha de vencimiento y preferimos obviarla?

Pasa. Nos pasa a todos y muchas veces. ¿Es un cien por ciento culpa de una forma de consumo irresponsable?

No lo creo. Si bien muchas veces cometemos el error de no prestar atención a los envases y etiquetas, también es cierto que en muchos de los casos, es difícil encontrar y leer la fecha de vencimiento.

Ya sea que la fecha está impresa en la parte inferior del envase, en la parte superior de la tapa, en un borde, con tinta de color muy similar al color de fondo, o hecha con microperforaciones, la realidad es que siendo un dato tan importante, se busca incluirlo de forma tal que no “obstaculice” el diseño del packaging comercial.

Cuando uno estudia accesibilidad, es decir, hacer que un producto o servicio pueda ser “accedido” por todos, incluso por aquellas personas con algún tipo de dificultad, una de las reglas básicas es el contraste entre el texto y el fondo. Si el contraste es escaso, entonces personas con problemas en la visión tendrán mucha dificultad en poder distinguir el texto del fondo donde está contenido.

Con este punto solamente, llego a la conclusión de que las fechas de vencimiento no son accesibles. Dejan de lado a personas con dificultades en la visión. Incluso para quienes no tienen dificultades, estar girando el envase varias veces hasta encontrar la fecha de vencimiento es por lo menos molesto.

¿Qué deberían hacer las empresas?

Si las empresas enfocasen sus diseños en la experiencia de usuario, en el concepto de “user-centered design”, entonces sabrían que muchas veces estamos apurados, y sabrían que queremos ver el vencimiento rápido. En este punto aclaro que lo de estar apurado es mucho menos grave que la accesibilidad, pero sin embargo es algo que ocurre y mucho, por eso lo menciono.

Los datos son modas. Hoy está de moda mostrar que un producto tiene 0% azúcar, que tiene menos de X cantidad de sodio. Por más que un producto tenga tantas virtudes, si está vencido, puede hacernos peor a la salud que aquel que tiene más azúcar y más sodio.

Entonces me pregunto: ¿Por qué no incluir la fecha de vencimiento como parte del diseño del packaging? ¿No es mejor mostrar la fecha de vencimiento que intentar esconderla, siendo un dato tan importante? ¿No sería un orgullo para quien produce mostrar “mi producto se vence, pero sos importante para mí y prefiero serte sincero”?

Artículo publicado en Medium