Por qué bloquear xmlrpc.php parcialmente (y no desactivarlo por completo) El archivo xmlrpc.php de WordPress implementa el protocolo XML-RPC y permite a aplicaciones externas (apps móviles, clientes de escritorio, Jetpack histórico, algunos plugins y servicios de terceros) ejecutar métodos remotos en tu sitio —por ejemplo, publicar entradas, subir archivos o listar blogs. Sin embargo xmlrpc.php […]
Introducción — por qué endurecer cabeceras desde PHP en WordPress Endurecer las cabeceras de seguridad (Content-Security-Policy, HSTS y otras) reduce la superficie de ataque: previene XSS por ejecución de scripts no autorizados, fuerza HTTPS, evita clickjacking y protege contra ataques por mezcla de contenidos. En WordPress, aplicar estas cabeceras desde PHP tiene la ventaja de […]
Cómo evitar CSRF en acciones que usan admin-post.php en WordPress El archivo admin-post.php es una forma habitual en WordPress para procesar formularios tanto del panel de administración como del frontend. Sin embargo, al tratarse de puntos de entrada que ejecutan lógica del servidor, son objetivos naturales para ataques CSRF (Cross-Site Request Forgery). Este artículo explica […]
Introducción Los formularios son una superficie frecuente de ataque en cualquier aplicación web. En WordPress, proteger formularios significa principalmente dos cosas: prevenir CSRF (Cross-Site Request Forgery) mediante nonces y restringir qué usuarios pueden ejecutar ciertas acciones mediante comprobaciones de capabilities. Este artículo explica en detalle cómo combinar nonces y capacidades en PHP para asegurar formularios […]
Introducción Este artículo explica, con todo lujo de detalles, cómo evitar vulnerabilidades de Cross-Site Scripting (XSS) cuando se desarrollan shortcodes y metaboxes en WordPress usando PHP. Incluye buenas prácticas, funciones nativas, ejemplos completos de código y recomendaciones operativas. El objetivo es que al implementar estas técnicas se reduzca al máximo el riesgo de inyección de […]
Introducción: por qué escapar salidas en WordPress Escapar salidas es una práctica fundamental de seguridad y calidad en cualquier tema o plugin de WordPress. Cuando muestras datos que vienen de usuarios, de la base de datos o de fuentes externas, debes transformarlos para que no contengan código ejecutable no deseado (XSS), HTML malicioso ni protocolos […]
Introducción: sanitizar vs validar En WordPress la seguridad y la integridad de los datos dependen en gran medida de dos procesos complementarios: sanitización (limpiar los datos) y validación (comprobar que los datos cumplen unas reglas). Sanitizar elimina o filtra caracteres peligrosos o no deseados validar verifica que el dato tiene el formato, rango o contenido […]
Introducción En este tutorial se explica de forma detallada cómo crear en WordPress un endpoint proxy que actúe como intermediario entre el navegador y APIs externas para evitar problemas de CORS. La técnica consiste en que el navegador solicite a tu propio dominio (sin CORS) y tu servidor (WordPress) solicite a la API externa, devolviendo […]
Introducción En este artículo se describe con todo detalle cómo consumir APIs externas desde WordPress usando wp_remote_get y cómo cachear las respuestas con transients para optimizar rendimiento, reducir latencia y evitar llegar a límites de cuota de terceros. Encontrarás ejemplos listos para usar, patrones de diseño (incluyendo stale-while-revalidate), manejo de errores, prácticas para multisitio y […]
Introducción — objetivo y alcance Este artículo explica, con todo lujo de detalles, cómo detectar desde JavaScript si un visitante de un sitio WordPress está autenticado y cómo exponer esa información de forma segura (sin filtrar datos sensibles). Se muestran tres enfoques prácticos, sus ventajas/desventajas y recomendaciones de seguridad para evitar fugas de información y […]
