Gravatar es una pequeña aplicación web que te permite mostrar un avatar junto a los mensajes que escribes en blogs y páginas similares. A la hora de registrarte lo único que se te pide es una dirección de correo, una contraseña y una imagen.

Cuando escribes un comentario en un blog (siempre que tenga un plugin para Gravatar) con indicar tu nombre de usuario y la dirección de email que usaste en Gravatar para registrarte ya vale para que se muestre tu avatar.

Pero claro, al escribir un comentario en un blog hecho por ejemplo con WordPress quedan registrados el nombre, la dirección de email, la URL (si se ha indicado alguna), el comentario y la dirección IP del ordenador desde el que se escribió el comentario.

Hace poco pensé: “si para que aparezca mi avatar solo tengo que poner mi email y la gente pone su email al escribir en mi blog, puedo escribir en otros blogs haciéndome pasar por cualquiera que haya escrito en mi blog”. Lo probé y funcionó claro. Y aunque el uso de Gravatar simplemente hace que sea más vistoso, la cosa creo que no pasa de ser algo anecdótico, porque sabiendo la dirección IP del suplantador (que posiblemente sería la de un proxy anónimo) y la del blogger habitual no debería ser muy difícil ver que algo raro pasa. Tal vez un sistema de clave pública-privada sería algo más segura para que nadie pueda montar un pequeño lío.

Como muestra podéis ver los primeros comentarios de este post que yo mismo he escrito (sin acceder directamente a mi propia base de datos claro, sino menuda gracia).

PD: Si alguno de los suplantados en este post se siente ofendido o agraviado que me lo comuniqué y eliminaré el mensaje enseguida.

WordPress es todo un mundo. Con todos estos plugin, widgets, opciones, etc. Pero un paso muy importante es protegerlo de posibles ataques.

A mi eso de que cualquiera pueda intentar hacer login en mi WordPress no me gusta nada, pero por lo que veo muchos blogs (todos los que he comprobado hasta ahora) no bloquean el acceso a la carpeta wp-admin. Como para casi todo en la informática hay varias formas para acometer esta tarea.

Se puede dejar acceder solo a unas IPs concretas a dicha carpeta. Esto es tan fácil como añadir estas líneas al fichero wp-admin/.htaccess:

deny all access
deny from all
allow from W1.X1.Y1.Z1 W2.X2.Y2.Z2 etc...

Este sistema es muy util si los ordenadores desde los que se administra el blog tienen IP fija, pero no es lo más habitual en estos tiempos. Por eso os propongo bloquear el acceso a la carpeta wp-admin con una contraseña. Si tenéis un CPanel es tan sencillo como ir a la opción “Password protect directories” seleccionar la carpeta, activar el bloqueo por contraseña y luego añadir un usuario a dicho bloqueo.

Si no tenéis CPanel, para conseguir el mismo resultado lo que hay que hacer es crear un fichero de claves (.htpasswd) mediante el comando “htpasswd -c .htpasswd usuario” (supongo que en Windows habrá un comando equivalente, pero yo lo he hecho en GNU/Linux), subir dicho fichero a nuestro hosting (ponerle permisos 640 para que no lo pueda leer cualquiera) y editar el fichero wp-admin/.htaccess más o menos así:

AuthType Basic
AuthName "Password Required"
AuthUserFile "/ruta_al_fichero_.htpasswd"
require valid-user

Ya sea con el CPanel o a mano es posible que al intentar acceder a /wp-admin aparezca el típico error de “Página no encontrada”. Esto se soluciona configurando los errores 401 y 403 en el fichero .htaccess de la raíz del blog con nuestra propia página de error (si no tenéis una habrá que crearla claro):

ErrorDocument 401 /wp-content/404.php
ErrorDocument 403 /wp-content/404.php

¡El que avisa no es traidor! Protegeros un poco hombre.