Vía RedMallorca LAB.

Entradas relacionadas:

1. 13 métodos para mejora la seguridad de tu WordPress
2. Vulnerabilidad grave de WordPress que satura el servidor
3. Optimización y aceleración de WordPress (2/2)

En resumen, hay un agujero de seguridad por el cual, haciendo unas 20 peticiones, se puede saturar un servidor donde tiene alojado un WordPress. En la entrada se muestra las líneas de código que dan el fallo, se muestra el código en PHP de un exploit que consigue el objetivo mencionado, y un par de soluciones para resolver este fallo.

La solución que parece más efectiva, pasa por modificar el archivo wp-trackbacks.php del WordPress, y modificar la línea donde pone:

$charset = $_POST['charset'];

Por estas otras:

$charset = str_replace(",", "", $_POST['charset']);
if (is_array($charset)) { exit; }

Así, tendremos parcheado nuestro WordPress mientras no salga una solución oficial. En la entrada se explican todos los detalles del error, y del proceso seguido por el descubridor. Si estas interesado en el tema, recomiendo la lectura de la entrada.

Entradas relacionadas:

1. WordPress y problemas con el módulo ModSecurity de Apache
2. WordPress: infografía para mejorar la velocidad de carga
3. Optimización y aceleración de WordPress (2/2)

Se puede poner en cualquier parte de la página que siempre se cargue. Yo lo tengo puesto en el pie de página: edité el archivo footer.php, y justo antés de la etiqueta , inserté el siguiente código:

<?php
   if ( strpos( $_SERVER['HTTP_USER_AGENT'], 'Googlebot' ) !== false ) {
     mail('tu_direccion@correo.com',
'Aviso: Googlebot ha visitado tu web',
'El Googlebot ha visitado tu página: http://tu_dominio.com'
. $_SERVER['REQUEST_URI']);
   }
?>

Hay que cambiar la dirección de correo a la que se enviará el email, y el dominio del sitio web. El mensaje de aviso se puede personalizar y añadir más datos de la petición del robot.

El inconveniente del tema es que cuando Google esta de visita, te llegan bastantes emails.

Entradas relacionadas:

1. Comprobar si un email tiene registros MX, con Zend_Validate
2. Diseño y maquetación de emails que soporten todos los clientes de correo
3. Mis extensiones de Google Chrome

Una vez preparados para ver los cambios, vamos a provocarlos. Iremos instalando los plugins en nuestro WordPress, y iremos recargando la home de nuestro blog y una entrada, para ver dos tipos de páginas del blog. Recargaremos pulsando Ctrl+F5 para borrar la caché del navegador y descargar todo el contenido de la página, y después solo pulsando F5, usando la caché de la descarga anterior.

• WP Super Cache: basado en el plugin WP Cache, añade las funcionalidades de cachear todas las páginas en ficheros estáticos para las personas no identificadas, o que no han hecho ningún comentario o que no pueden ver entradas protegidas con contraseña. Para las demás peticiones, se tratan a través de WP Cache.
• WP Widget Cache: complemento perfecto para WP Super Cache, reduciendo las peticiones a la base de datos y mejorando las velocidad de los widgets de la barra lateral de WordPress.
• PHP Speedy WP: combina todos los archivos Javscript y CSS en sólo dos archivos, llama al archivo Javascript al final del código HTML, … y toda una serie de mejoras que aumentan la velocidad de carga.

La siguiente table comparativa es orientativa, ya que solamente he realizado cada una de las operaciones 3 veces, y solamente con YSlow, ya que por cada casilla sin caché, tenía que borrar los archivos estáticos generados por los plugins y se me ha hecho muy pesado, y para esta tabla he estado mucho rato. Así que cada caso se habría de repetir unas diez veces para tener unos datos más fiables. Pero bueno, estos ya muestran los objetivos conseguidos:

Como se puede ver en la gráfica, al final de obtiene una velocidad parecida a la del principio, pero disminuyendo el tamaño de la página web y optimizandola. Si se desea velocidad de descarga, sin reducir el tamaño ni usar técnicas recomendadas, no haría falta el plugin PHP Speedy.

Entradas relacionadas:

1. Optimización y aceleración de WordPress (1/2)
2. Script simple de PHP para hacer cache
3. 13 métodos para mejora la seguridad de tu WordPress

Y para el propietario de un blog es importante que su sitio web cargue lo más rápido posible: para que él trabaje más cómodo (por ejemplo, en el panel de administración), para la satisfacción de las visitas, para los cálculos de los buscadores, … Intentado conseguir este objetivo de rendimiento, he estado haciendo pruebas con unos plugins para WordPress 2.8.4 que me han sorprendido. De la puntuación sobre 100 que se puede obtener, al principio tenía un 62, y al final conseguí un 98; un salto cuantitativo y sobretodo cualitativo. Así que voy a hacer una serie de dos entradas explicándolo.

Primero quiero hablar de las herramientas que he utilizado para medir los cambios que se vayan a producir, y así calcular las mejoras conseguidas. Son dos plugins para Firefox que requieren Firebug instalado:

• YSlow: de la mano de Yahoo, este plugin realiza un análisis de la página web cargada y hace unas sugerencias de como mejorarla. YSlow tiene hasta 34 reglas agrupadas en 7 etiquetas, y en su última versión (la 2.0) se puede escoger entre tres grupos de reglas según el perfil del sitio web que se quiere analizar. Para el test, solamente se ha utilizado el perfil YSlow(V2) que contiene 22 reglas de las 34. Existe una página de YSlow en castellano, para poder entender mejor las reglas, y os dejo esta presentación sobre YSlow:

• Page Speed: de la mano de Google, con el mismo objetivo que YSlow. Este tiene una serie de ‘buenas prácticas‘ con las que informar de la carga de la página web.

De estas herramientas se pueden extraer varios datos, pero como información para hacer la comparativa nos quedaremos con el tiempo total de descarga de la página web, lo que ocupan los archivos y una puntuación sobre 100 según el cumplimiento de las reglas.

A parte de los plugins, hay dos modificaciones que las realizé manualmente. Las dos las ví en el blog Lee.org:

• La primera es tan simple como añadir la siguiente línea en el archivo header.php, antes de cerrar el tag </head>, consiguiendo vaciar el buffer cuando se tiene todo el <head> hecho y así mandar antes las peticiones al navegador:

<?php flush(); ?>

• La segunda trata de modificar el archivo .htaccess para añadir la cabecera de expiración a una serie de archivos, de manera que durante un mes no se vuelvan a solicitar los archivos ya descargados. Le añadí un par de líneas para los archivos .ICO (del favicon) y javascript:

  ExpiresActive On
  ExpiresByType text/html "access plus 1 week"
  ExpiresByType image/gif "access plus 1 month"
  ExpiresByType image/jpeg "access plus 1 month"
  ExpiresByType image/png "access plus 1 month"
  ExpiresByType text/css "access plus 1 month"
  ExpiresByType application/javascript "access plus 1 month"
  ExpiresByType application/x-javascript "access plus 1 month"
  ExpiresByType application/x-Shockwave-Flash "access plus 1 month"
   
  ExpiresByType image/x-icon "access plus 1 month"
  ExpiresByType text/javascript "access plus 1 month"

En la siguiente entrada enumeraré los plugins que utilizé para obtener la optimización mencionada.

Entradas relacionadas:

1. Optimización y aceleración de WordPress (2/2)
2. 13 métodos para mejora la seguridad de tu WordPress
3. Vulnerabilidad grave de WordPress que satura el servidor

Aquí os dejo con el listado:

1. Stealth Login: plugin para cambiar las URLs de la página de login, del directorio de administración, de la página de desconectar o la página de registro.
2. Crear un password difícil, y diferente de los demás sitios donde también tenemos un password
3. Login Lockdown: limitar el número de intentos de acceso al panel, por ejemplo: si se equivoca 3 veces, se tenga que esperar 5 minutos a volverlo a intentar.
4. Admin SSL: encriptando con SSL el panel de administración, si el hosting lo permite o si se tiene un certificado SSL, haciendo que las URLs empiezen por https://
5. AskApache Password Protect: añade otro nivel de securidad, con este plugin que te genera el archivo .htpasswd .
6. Limitar el acceso al panel a través de una serie de IPs determinadas. Esto se hace a través del archivo .htaccess .
7. Borrar el usuario ‘admin’ que trae WordPress por defecto, y tener otro usuario con ese rol.
8. Secure WordPress: eliminar los mensajes de error del formulario para iniciar sesión, para no permitir saber si el usuario introducido existe o no. Este plugin hace esto y más funcionalidades.
9. Semisecure Login Reimagined: aunque requiere JavaScript, encripta la contraseña del usuario con RSA en su ordenador.
10. AntiVirus: protege el blog de exploits o spam injections.
11. Tener WordPress actualizado con la última versión, para tener arreglados bugs o exploits de otras versiones anteriores.
12. One Time Password: plugin que genera una contraseña para un solo uso (para cibercafes).
13. WordPress Firewall Plugin: detecta, intercepta y registra las peticiones sospechosas. También previene de ataques a los plugins instalados.

Entradas relacionadas:

1. WordPress: infografía para mejorar la velocidad de carga
2. Optimización y aceleración de WordPress (2/2)
3. WordPress y problemas con el módulo ModSecurity de Apache