Hola Dabo
Hola, pues si que está interesante la verdad, yo no puedo estar mucho pero está muy bien, Pau lo de alarmismo o no es cuestion de puntos de vista
Con el paso del tiempo se vuelve cuantificable. Cuando es reportado un error de seguridad al bug tracking correspondiente lo primero que se hace es probarlo y lo siguiente evaluar riesgos. Si se decide solucionarlo en el CVS y consideran que no es necesario sacar una nueva versión, el hecho de que pase el tiempo y no aparezcan casos de gente afectada les da la razón. Se evaluó correctamente el riesgo.
Hay un montón de sites con el path visible
Hayan muchos o hayan pocos sigue siendo cosa del servidor.
y de todos modos, a lo de Halo yo añadiria alguna cosa más, eso que comenta es más o menos lo normal o lo que debería hacer alguien que se preocupa por lo que tiene funcionando
Ésto sí que es subjetivo, lo que es normal y lo que no. Cuando uno escribe algo ha de tener claro a quien va dirigido para así poder adecuar el lenguaje correctamente. No sería útil tratar de explicarle a Alonso cual es la trazada correcta, y sí lo sería explicárselo a un chaval que empieza en el mundo del Karting. Si el contenido de la noticia lleva implícito que está dirigida a gente que no es capaz de ver que
nosequearchivo.php=? no es nigún archivo, mucho me temo es que inútil tratar de explicarles cómo configurar un servidor a grandes rasgos y dar por hecho que cumplen un plan, que por otra parte es personalizable y no sirve a todos por igual, a la que le falta algo sin el cual es inútil: las rutinas. Ese plan no sirve a todos y por tanto no todo el mundo puede o ha de cumplirlo, habrá quien cumpla un 20% del plan y sea suficiente y habrá para quien ese plan sea un 5% del suyo.
pero asi rápido y sin tiempo algo que he dicho en el foro de Linux, trabajar localmente con las aplicaciones y probar y testear hasta que te aburras y luego subirlo,
Eso es un error, pues las posibilidades de que estén configurados de la misma manera los servidores es escasa. Intuyo lo que estás pensando, pero dudo mucho que una persona que sea capaz de configurar de esa manera Apache se nutra de la información que nosotros podemos aportar, pues es necesario unos conocimientos muy altos.
se puede hacer también mucho a nivel de Apache y además de todo eso expuesto que está muy bien y si no queréis tener problemas con muchas aplicaciones potencialmente peligrosas probar mod security, http://www.modsecurity.org , un firewall de aplicaciones compatible con vuestro iptables que además de Open Source tiene el reconocimiento de una gran parte de la comunidad de seguridad. Puede que salg aun Bug para vuestro CMS y que sin estar parcheado no llegue a afectaros, leer los doc y me contáis.
En nuestro caso no tenemos acceso a ese nivel. Tal vez algún día nos hagamos mayores y demos el estirón
Ya digo, se podría hacer mucho tambien con MySQL, comprobar que tipo de conexiones escucha (locales, remotas), puertos etc etc , afinar el PHP y como he dicho un montón de cosas a nivel de Apache pero vaya, sigo diciendo que para Wordpress tapar eso es un momento, si ellos no quieren pues es cuestion de Wordpress y cada uno que haga lo que estime conveniente, eso si, si el server no tiene configurado el PHP como os comentaba, no parchearlo sería asumir un riesgo de seguridad innecesario aunque la mayor seguridad es quitar el Cable XD.
Me ha encantado charlar con vosotros bros, dejo este hilo para meterme en otros lios XD, siempre se aprende mucho con tan buenos ponentes :D
Sí, realmente puedes hacer tanto como quieras o estés dispuesto, pero, a no ser que la seguridad sea tu hobby, has de buscar rentabilidad, en este caso no económica, pero sí de tiempo.
Saluetes.
