Category Archives for Videos

Solución WordPress: “You do not have sufficient permissions to…”

Trabajo a diario con WordPress y puedo decir que ya he visto esta clase de mensajes hasta el hastazgo:

  • You do not have sufficient permissions to update plugins for this site.

  • You do not have sufficient permissions to access this page.

  • You do not have sufficient permissions to install themes on this site.

Y seguramente también se encuentren con su versión en español diciéndoles que no tienen permisos para actualizar su blog, plugins o themes.

El porque

Ahora bien, y ¿de donde proviene este error? la respuesta es mas simple de lo que podríamos imaginar. Resulta que al actualizar algunos contenidos de nuestro blog, muchas veces WordPress no llega a completar la generación de los permisos en nuestra base de datos para algunos usuarios y es por eso que en el camino nos deja sin poder actualizar plugins, themes o inclusive el mismísimo blog.

Manos a la obra

Antes de comenzar a meter mano en la base de datos vamos a analizar un poco mas el error, y demás esta decir que ustedes son los únicos responsables por los cambios que realicen en su blog, hagan backup!. En mi ultimo caso me encontré con el mensaje “You do not have sufficient permissions to update plugins for this site“.

Como ya mencione, el problema esta en la base de datos y mas precisamente en la tabla wp_options (El prefijo wp_ puede variar en tu instalación) dentro de la entrada cuyo option_name es igual a wp_user_roles; si vemos su contenido seguramente nos encontraremos con algo como lo siguiente:

A simple vista puede no resultar claro que es toda esa información y cual es su función, ya que la misma se encuentra serializada. Pero con la ayuda de herramientas en linea como la siguiente podrán darse una mejor idea de su contenido:

http://www.functions-online.com/unserialize.html

Una vez deserializada la información, dentro del array capabilities veremos cuales son los permisos con los que cuenta nuestro usuario, y en mi caso al ser un problema de permisos a la hora de actualizar plugins debía buscar una cadena de texto similar a la siguiente:

s:14:”update_plugins”;b:1;

Para que se vayan familiarizando un poco con esto, del texto anterior
podemos descifrar que la clave es un valor string de 14
caracteres (s:14) cuyo nombre es "update_plugins" y el valor
 boolean de la misma es true (b:1).

Como no hallé dicho valor, debí agregar el mismo de forma manual. Para agregar o quitar valores dentro de esta cadena primero debemos mirar al comienzo de la misma, donde dice:

a:5:{s:13:”administrator”;a:2:{s:4:”name”;s:13:”Administrator”;s:12:”capabilities”;a:60:

El último numero indica la cantidad de opciones, por lo que si vamos a agregar una mas deberemos incrementar ese numero en uno, por lo que ahora quedaría en a:61. Una vez realizado ese cambio procederemos a agregar la nueva cadena después de la primer llave luego de a:61. Algo así:

a:5:{s:13:”administrator”;a:2:{s:4:”name”;s:13:”Administrator”;s:12:”capabilities”;a:61:{s:14:”update_plugins”;b:1;

Una vez realizada la modificación ya podremos guardar los cambios y probar nuevamente si nuestra instalación de WordPress nos deja o no actualizar nuestro sistema.

Esta es una solución que me ha resultado siempre, en el caso de deberse a otra limitación de permisos no tienen mas que deserializar la información y ver que es lo que falta en el listado de permisos. Los nombres de las claves son bastante intuitivos por lo que creo que no tendrán mayores problemas en identificarlas.

Categorias: Wordpress | Etiquetas: , ,

Vulnerabilidad de Inyección de código SQL en WordPress 3.0.1 y versiones anteriores

Recientemente fue descubierta una vulnerabilidad de inyección de código SQL en WordPress 3.0.1 y versiones anteriores. Al contrario de lo que dicen algunos sitios esta falla no afecta a la versión 3.0.2 ni tampoco a WordPress 3.1 alpha.

Para poder explotar esta vulnerabilidad el atacante necesita contar con permisos de autor,  eso quiere decir que debería poder publicar/editar entradas en el blog, lo que reduce un poco las probabilidades de una intrusión aunque es recomendable comprobar los permisos de los usuarios que estén registrados en su sitio.

Inyección de código SQL en WordPress 3.0.1

Para solucionar este problema se recomienda actualizar a la ultima versión disponible, la 3.0.2, que ya ha sido actualizada y no es vulnerable a esta falla.

De todas maneras quienes quieran realizar el parche manualmente, pueden actualizar el archivo ”wp-includes/comment.php”, mas precisamente en 1644 en WordPress 3.0.1, en donde podrán encontrar el error dentro de la función “do_trackbacks”.

Código a buscar:

			if ( !in_array($tb_ping, $pinged) ) {
				trackback($tb_ping, $post_title, $excerpt, $post_id);
				$pinged[] = $tb_ping;
			} else {
				$wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, '$tb_ping', '')) WHERE ID = %d", $post_id) );
			}

Reemplazar por:

			if ( !in_array($tb_ping, $pinged) ) {
				trackback($tb_ping, $post_title, $excerpt, $post_id);
				$pinged[] = $tb_ping;
			} else {
				$wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, %s, '')) WHERE ID = %d", $tb_ping, $post_id) );
			}

Solo para recalcar, este error fue parte de las correcciones aplicadas en la versión 3.0.2, por lo que los sitios especializados en WordPress deberían chequear el changelog de las versiones antes de sembrar el pánico ;)

Enlaces relacionados:

WordPress: Information Disclosure via SQL Injection Attack
http://blog.sjinks.pro/wordpress/858-information-disclosure-via-sql-injection-attack/

Parche aplicado en la versión 3.0.2 (Changeset 16625)
http://core.trac.wordpress.org/changeset/16625

Vía Geekeries.fr

Categorias: Seguridad, Wordpress | Etiquetas: , ,

Estado de la Internet en Argentina, según comScore y IAB Argentina

comScore, Inc., líder en medición del mundo digital, hoy liberó el Estado de la Internet en Argentina, en conjunto con IAB Argentina.

Entre los principales contenidos de la presentación, destacó la mirada a los destinos preferidos de los argentinos en la red. Así, el estudio reveló que los sitios de Microsoft lideraron entre las entidades de Internet más visitadas en el mercado, alcanzando un 95 % de todos los visitantes online. Los sitios de Google se ubicaron como la segunda entidad más visitada con 11,6 millones de visitantes únicos, seguido de Facebook.com el cual alcanzó 10,7 millones de visitantes online.
Microsoft, Google y Facebook son los Destinos Online Más Visitados En Argentina
Esta presentación se repetirá a través de un webinar de cortesía en vivo: El Estado de la Internet en Argentina, el próximo martes 30 de noviembre.
Ver el resto de la nota →

Categorias: Internet | Etiquetas: , , ,

Analisis de tendencias con Yahoo! Search Clues

Yahoo! lanzo en el día de ayer una nueva herramienta para ayudarnos a analizar un poco mas las tendencias detrás de las búsquedas que se realizan día a día en su sitio.

Este nuevo servicio llamado Yahoo! Clues, se encuentra actualmente en una fase beta y solo nos mostrara resultados de los últimos 30 días y búsquedas provenientes de Estados Unidos, y ojala pronto sea ampliado al resto del mundo tal como lo hace Google Insights for Search.

Yahoo! Clues

Con esta nueva herramienta podremos apreciar los volúmenes de búsquedas, gráficos con información demográfica, mapas o inclusive búsquedas relacionadas a un grupo demográfico específico.

Ver el resto de la nota →

Categorias: Yahoo! | Etiquetas: , , , , , , , ,

Super-logoff y WhiteWalling en Facebook

Me dieron ganas de compartir esto que encontré en AllFacebook, en donde hablaban sobre una publicación de Danah Boyd quien comentaba dos nuevas prácticas llamadas Super-logoff y WhiteWalling aplicadas mayormente por algunos adolescentes para mantener un control mayor sobre su presencia en línea, más específicamente en Facebook.

WhiteWalling o WhiteWashing

Esta es la estrategia más extremista según mi parecer. Se trata de dejar tu muro en blanco, literalmente, de ahí su nombre “white walling” y la idea es ir eliminando todas las notificaciones, mensajes y comentarios del muro a medida que se van publicando. En el caso de los “likes” (me gusta) los dejan por un tiempo hasta que el dueño de la publicación lo ve y luego lo quitan.

Y todo ese esfuerzo es realizado con el único fin de no generar o ser parte de posibles peleas, disputas o discusiones que puedan ocasionarles problemas con otras personas.

Super-logoff

Mucha más simple que lo anterior, en este caso lo que se hace es desactivar la cuenta cuando uno deja de utilizar Facebook en lugar de solo desconectarse. De esta manera nuestro perfil se convierte en invisible y nadie puede publicar mensajes en nuestro muro, no nos podrán etiquetar o siquiera encontrarnos vía el buscador.

Cuando uno decide desactivar su cuenta en Facebook, al menos hasta el momento de publicar esta entrada sigue siendo así, nuestro perfil pasa a ser invisible para los usuarios y aplicaciones de la red social, pero el mismo no es eliminado y basta con iniciar sesión nuevamente para restaurar nuestro perfil y volver a estar visible para nuestros contactos.
Ver el resto de la nota →

Categorias: Privacidad | Etiquetas: , , ,

← Entradas Anteriores

Nuevas Entradas →