elplural.com: Solo son tecnicismos

elplural.com

En ocasiones da la sensación que hacer lo básico, lo más básico, de forma mínimamente coherente da pereza o no se le da la importancia que realmente tiene.

Diríase que en el medio de comunicación elplural.com lo tienen muy claro; Los detalles técnicos son solo eso, detalles y por ende no deben ser importantes, veámoslos:

 

La “home” del periódico puede gustar más o menos, lo mismo que la línea editorial, aunque no es en el exterior en lo que nos queremos fijar, echemos un ojo al código fuente:

image

Son detalles si, pero miremos porqué un detalle puede tornarse en algo realmente importante:

A) Localhost:

Es muy común desarrollar o probar un proyecto en localhost (el propio equipo del desarrollador). Se hace por multitud de motivos, uno de los más comunes es el de practicidad: no es necesario subir archivos o actualizaciones a un servidor remoto, con lo cual el desarrollo mejora en lo que a agilidad se refiere.

Hasta ahí bien, el problema viene cuando el proyecto ya es publicable y simplemente se vuelca una copia del equipo local al servidor en producción sin prestar mayor atención a “esosdetallesquenoimportanporquetodofuncionaperfectamente” a las modificaciones necesarias que por simple sentido común hay que aplicar en WordPress al pasar de desarrollo a producción.

A.1) Shortcut icon, aka, favicon: La ruta del icono se ha dejado intacta, apuntando ésta a localhost. Esto indica al navegador de cada usuario que busque en su propio ordenador el icono, evidentemente, no muestra icono alguno y, si lo muestra, no mostrará el de elplural.com (menos en el caso del desarrollador del portal que tendrá, seguramente, el icono en su servidor local). Es un icono, no importa, ¿verdad?

image

En mi caso concreto al acceder a elplural.com, observo el favicon de xampp pues lo tengo instalado en mi equipo. De hecho esta fue la pista que me llevó a indagar en el código fuente del periódico.

A.2, A.3 y A.4) RSS, FEED y Pingbacks. Todos “desactivados” a machete*, ningún usuario podrá añadir a elplural.com a su agregador de noticias (aunque quizás esto esté hecho adrede para evitar tasas absurdas) y tampoco permite la notificación de enlace a su sitio (esto último, el pingback, tampoco es recomendable, comentaremos el motivo más adelante).

*Al estar configurada la opción Dirección de WordPress (URL) y/o Dirección del sitio (URL) con el dominio localhost las direcciones de los servicios de sindicación no funcionan aunque si sustituimos localhost por elplural.com (p.e: http://www.elplural.com/feed/atom/) si funcionan.

B) Versiones:

Una máxima muy, muy básica en seguridad informática es la de dar la menor cantidad de información al atacante en lo referente a versiones de software usadas, tanto a nivel de servidor, como de CMS, plugins, módulos, etc.

En este caso podemos observar dos pistas importantes, versión de WordPress y versión del Framework Alkivia.

¿Por qué es mala idea dar esa información de forma gratuita y fácil? Vamos a centrarnos únicamente en WordPress:

Haciendo una simple búsqueda en Google uniendo a la información proporcionada por el sitio un toque de “maldad” obtenemos el siguiente resultado:

image
Donde el asunto se empieza a poner algo más serio, aunque también más difícil; alguien con malas intenciones, conocimientos y un ápice de curiosidad podría empezar a jugar en serio.

Así las cosas sería buena idea para el equipo de elplural.com darle un repaso rápido a su configuración básica de WordPress y tratar los “detalles” como algo potencialmente dañino.

 

Actualización 02/10/2014

Se veía venir

Aviso de Google:

error eguridad elplural.com

 

Análisis de Google:

error seguridad elplural.com explicación

 

Aviso de Twitter:

error-seguridad-elplural.com3

 

Aviso de bit.ly:

error-seguridad-elplural.com4

 

Resultado de búsqueda en Google:

error-seguridad-elplural.com5

 

Algún problema, dicen en su cuenta en Facebook:

error-seguridad-elplural.com6

 

PD: Yo no he sido.

PD2: Gracias por las capturas!

Te puede interesar

Dilo, no te cortes: