Notitas de seguridad para WordPress

Minientrada

La extensión Two Factor es un must. WordPress está detrás de ella y es open source, por lo que en principio debería estar libre de chantajes, modo PRO y demás cosas. Hace lo que tiene que hacer: te pide que introduzcas un código de 6 dígitos con una aplicación TOTP que estés utilizando.

Two Factor te desactiva, desafortunadamente, el acceso XML-RPC y el WP-JSON. Hay quien tiene sus concerns y ve bien apagar esas APIs, pero por otra parte yo sí las quiero para poder automatizar cosas con WordPress. Esto lo tengo solucionado con dos cosas:

  • Con la extensión Application Passwords (que deja de ser necesario en WordPress 5.6 porque ya viene preinstalada), se pueden crear passwords especiales para poder crear integraciones con contraseñas aleatorias sin tener que darles nuestra propia contraseña.
  • Este snippet PHP para inhibir el Two Factor cuando se usa una Application Password. (De otro modo, las Application Password también tratarían de pedir un token 2FA, lo cual no es posible al automatizar.)

Recomendaría también extensiones que prevengan ataques por fuerza bruta. La que yo uso inhibe el login si se introduce mal la contraseña varias veces, tanto por wp-login como por XML-RPC. Me quedaría conectarlo con el cortafuegos para bloquear directamente las IPs problemáticas, pero eso es un asunto para otro momento.

Homebrew Cask sin avisos de seguridad

Minientrada

Seguramente esto sea contrario a la política de seguridad de macOS, pero hoy no me ha quedado otra que instalar con Homebrew Cask una aplicación GUI que no está firmada y que por lo tanto no pasa la política de seguridad de macOS. Educadamente, macOS me invita a tirar el instalador a la papelera pero hace fallar a Cask, que no se espera esto.

Si hubiese descargado a mano el instalador, podría seguir las instrucciones habituales para abrir aplicaciones no firmadas: click derecho – Abrir, y olvidarme por hoy de este asunto. Pero, ¿click derecho en Homebrew? ¿Eh?

Bueno, mirando la página de ayuda del comando brew cask install, la opción que busco es --no-quarantine. Homebrew respeta las opciones de seguridad del sistema operativo y por defecto pone en cuarentena las descargas, igual que hacen los navegadores web, para que salte el sistema de seguridad de macOS al intentar usar el archivo y rechazarlo si no se puede identificar el origen de la aplicación.

% brew cask install foo --no-quarantine

Recomendaría usar con cautela esta opción, de todos modos, no sea que se instalen sorpresas en el ordenador por accidente.