Themes o Frameworks para WordPress

29'Oct, 2013 in Frontend
wordpress-frameworks

Cada vez son más los themes o frameworks para WordPress que aparecen en las comunidades de desarrollo, y es que ya hay entorno a 60 millones de sitios webs creados bajo este gestor de contenidos. Así que una buena base capaz de agilizar el diseño y desarrollo se convierte en algo imprescindible a día de hoy.

Underscores

  • Es un generador de theme “ultra-minimal” con lo imprescindible para comenzar a desarrollar.
  • Esta creado por la gente de Automattic (WordPress), esto ya es un plus en cuanto a calidad y seguridad pues hay muchas horas de desarrollo y experiencia detrás.

Ir a Underscores.

Bones

  • Toma como base HTML5 Boilerplate lo cual ya es un inmejorable punto de partida.
  • Destaca por ser mobile-first, responsive y tener un código muy limpio.
  • Viene preparado para LESS y Sass.

Ir a Bones.

Skeleton WordPress

  • Basado en el espectacular y minimalista Skeleton framework.
  • Es responsive y mobile-friendly.

Ir a Skeleton WordPress.

Roots (mi favorito)

  • Usa HTML5 Boilerplate como base, Boostrap actualizado, ARIA roles, microformats y rutas relativas limpias.
  • Me encanta su código, muy limpio y minimizado, así como su estructura de ficheros y directorios.
  • Se preocupa por la accesibilidad y SEO.
  • Trabaja exclusivamente con LESS.
  • Tiene una comunidad muy activa y esta en constante actualización.
  • Este mismo web se encuentra bajo Roots Theme.

Ir a Roots.

WP-Foundation

  • Los de ZURB Foundation se han currado este framework destinado exclusivamente a WordPress.
  • Es mobile-first, flexible-grid.
  • Esta preparado para Sass.

Ir a WP-Foundation.

Boilerstrap

  • Basado en el theme de WordPress: Twenty Twelve.
  • Viene con Bootstrap, FontAwesome icons, custom typography, jQuery…

Ir a Boilerstrap.

Mi marca personal aurea webdesign, cumple 8 añitos

9'Oct, 2013 in General
javilondon

Mi marca personal y “empresa”

Tal día como hoy, comenzaba la andadura de aurea.es. Un 9 de Octubre de 2005. Se dice pronto, pero ha pasado tiempo y muchas cosas desde entonces…

Voy aprovechar este “aniversario” para dar una visión muy personal del tiempo transcurrido.

Lo primero de todo, GRACIAS

Lo segundo, SUERTE

Siempre he pensado que la suerte me sonreía en lo profesional. Algunos me decían que no, que era producto de mucho trabajo detrás, también he oído eso de “si si la suerte es clave pero tiene que cazarte trabajando…”. Sinceramente sigo creyendo que el factor suerte es determinante.

Lo tercero, ORGULLO

Me siento realmente orgulloso de dirigir mi propia marca personal, mi propia “empresa” por pequeña sea. Y cuidar una identidad, una marca que ha ido creciendo y evolucionando con los años.

Lo cuarto, TRANSPARENCIA

La transparencia de tu marca tiene que ser total, sino algo falla.

Pienso que la marca personal, tiene que ser un reflejo de tu personalidad. Merece más la pena ser directo, claro, transparente y sincero con los clientes y contigo mismo. Guste o no guste.

Lo quinto, ILUSIÓN Y LUCHA

Cuando comencé recuerdo haber leído que lo difícil es superar los 2 primeros años. Pues ya esta, tarea cumplida!

En aquellos años algunas personas pensaban que… que hacía metido en casa, ese trabajo no era real, mejor estaba “en una empresa convencional” o “sacando alguna oposición”. Ojo! todo es respetable, pero también lo mío 😛

Y buceando un poco en el pasado he encontrado que en el 2010 escribí un post “emprender es ilusión y lucha“, volviendo a leer este post, reafirmo cada una de sus palabras. Hasta me emociono oigan!

Seguridad en WordPress, htaccess, wp-config y functions, top 10 consejos

2'Oct, 2013 in Backend, General
seguridad-en-wordpress

1. Tu equipo y tu conexión segura antes que la seguridad en WordPress

  • Parece obvio, pero no lo es tanto. Esto es lo primero antes de meternos con la seguridad en WordPress.
  • Usa sFTP.
  • Accede al panel de administración de tu WordPress, únicamente desde tu conexión y equipo habitual (entendiendo que ambos son completamente seguros).

2. Backups

Realizar copias periódicas de seguridad tanto de los ficheros como de la base de datos de nuestro WordPress.

3. WordPress

  • Descargar WordPress de su web oficial: http://wordpress.org
  • Siempre actualizar WordPress tras la salida de una nueva versión.

4. Plugins

  • Ser conscientes de que los plugins son códigos realizados por terceros programadores.
  • Usar los plugins estrictamente necesarios y de total confianza para nuestro proyecto.
  • Solo descargar del sitio oficial: http://wordpress.org/plugins/.
  • Tener las últimas versiones de los plugins almacenado en nuestro WordPress (esten activos o no).
  • Quitar del servidor todos los plugins que no usemos.
  • Saber que cuanto más plugins, más vulnerabilidad y menor escalabilidad tendremos.

Hay solo un plugin que si consideraría implementar para la seguridad en WordPress:

  • Better WordPress Security: Asegura tu WordPress en pocos minutos. Chequea, recomienda y facilita la configuración más segura.

5. Themes

  • Usar un buen theme, bien programado y de confianza.
  • Tener las últimas versiones de los themes almacenado en nuestro WordPress (esten activos o no).
  • Solo usamos un theme, quitar del servidor el resto.

6. Ficheros y permisos

7. Base de datos

  • Cambiar el prefijo por defecto de WordPress para las tablas “wp_” por uno más complejo.

8. Editar htaccess, wp-config.php y functions.php

.htaccess

A continuación he reunido algunos códigos para evitar posibles puntos flojos de seguridad y protegernos más del spam.
Sustituir *yourdomain.com.* por nuestro dominio en el código del apartado “# For AntiSpam Deny Access to No Referrer Requests”.
Estos códigos deben incorporarse al fichero .htaccess del directorio raíz de nuestra instalación de WordPress.

# BEGIN SECURE
# Block Sensitive Files from Browser 
Options All -Indexes
<files .htaccess>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
<files error_log>
Order allow,deny
Deny from all
</files>

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

# Disable the Server Signature 
ServerSignature Off

# For AntiSpam Deny Access to No Referrer Requests 
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*yourdomain.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]
# END SECURE

wp-config.php

Usar claves secretas y únicas de autenticación:

  1. Puedes generar las claves de forma aleatoria a través de la API de WordPress.
  2. Una vez generadas ponlas en tu fichero wp-config.php.
  3. Puedes cambiar las claves en cualquier momento para invalidar todas las cookies existentes. Esto forzará a todos los usuarios a volver a hacer login.

Desactivar la opción de editar ficheros desde wp-admin:

define('DISALLOW_FILE_EDIT', true);

Forzando el login seguro con SSL:

define('FORCE_SSL_ADMIN', true);

functions.php

Eliminar la versión de WordPress:

function wpsecure_remove_version() { return ''; }
add_filter('the_generator', 'wpsecure_remove_version');

9. Usuarios registrados

Super admin y administradores

  • Cambiar el usuario por defecto de WordPress admin por otro username más complejo.
  • Un solo administrador es más que suficiente.
  • El admin en especial debe tener una contraseña compleja. Por ejemplo 20 caracteres que incorpore números, letras y signos.

Resto de usuarios

  • Revisar los roles de usuarios en WordPress.
  • No todos tienen que ser “editores”, probablemente puedan ser “autores”.
  • El product manager o coordinador si podría tener el rol de “editor”.
  • ¿Realmente necesitas usuarios anónimos “suscriptores” de tu WordPress?. Si no es así fuera con ellos, quien quiera suscribirse lo hará por feed con programas a tal efecto como feedly.
  • Ojo con activar la opción para permitir el registro de usuarios anónimos que se encuentra en wp-admin > ajustes > general.

10. Comentarios y Spam

La mayoría de opciones a tratar en: wp-admin > ajustes > comentarios

  • Obligatorio activar la opción de rellenar nombre y email para comentar.
  • Obligatorio usar un plugin antispam como akismet.
  • Obligatorio incluir en la blacklist palabras típicas de spam.
  • Preferible marcar la opción para que un administrador apruebe el comentario antes de ser publicado.
  • También podemos usar un sistema de comentarios externo como DISQUS, más seguro y dinamizador.

Referencias para la seguridad en WordPress