Acabo de enterarme, a través del Escritorio de mi WordPress, de una noticia inquietante: que la próxima versión de la aplicación, la 2.6, va a incrementar hasta tal punto la seguridad de su instalación por defecto, que los protocolos de publicación remota estarán desactivados, pues constituyen una vía de entrada para potenciales ataques. En la práctica, esto significa que los que actualicen a la versión 2.6 no podrán utilizar un cliente para blogs.
¿O tal vez sí? En el ticket 8136 del WordPress Trac hay una propuesta para que el protocolo XML-RPC pueda activarse a voluntad del usuario, e incluso hay quien ha propuesto el código necesario para que esta decisión sea factible en el proceso de instalación.
En fin, yo soy un don nadie en estos asuntos, pero ruego a los desarrolladores de WordPress que se lo piensen dos veces antes de eliminar del todo la funcionalidad de publicación remota. Vale, es cierto que nunca se hace demasiado en nombre de la seguridad, pero suprimir de un plumazo las enormes ventajas que suponen los clientes para blogs (incluso tras las innegables mejoras del editor de WordPress en su versión 2.5), me parece demasiado drástico.
Adenda del 24 de junio de 2008
A tenor de los anuncios de Ryan Boren y Dougal Campbell, parece confirmarse que WordPress 2.6 mantendrá la posibilidad de utilizar un cliente para blogs, aunque los usuarios deberán activar dicha capacidad desde sus interfaces de administración (Opciones > Escritura), porque esta función vendrá deshabilitada por defecto.
Adenda del 30 de junio de 2008
La noticia de la desactivación del protocolo de publicación remota ha suscitado la natural controversia, que parece del todo resuelta a juzgar por un reciente artículo de Dougal Campbell: aunque la propuesta por defecto de WordPress 2.6 sea que el XML-RPC esté desactivado, los usuarios de clientes para blogs no tendremos ningún problema para activarlo desde la ya citada página de Opciones > Escritura.
Por otra parte, la aclaración de Dougal Campbell respecto a la seguridad de la implementación del XMLRPC y el API Atom aclara la mayor parte de las dudas que sobre este asunto se podían haber planteado. Así pues, los fans de los clientes para blogs podemos respirar tranquilos; aunque, como dice un comentarista en la entrada de Dougal Campbell, pudimos haber creído por un momento que los desarrolladores de WordPress se habían tomado unas copas de más, hemos comprobado que son gente seria, formal y responsable, y además respetuosa con las expectativas y los hábitos de los usuarios.
Mario A. Núñez dice
Pues si esa idea terrible se concretiza, prometo quedarme con la versión 2.5 de manera indefinida. No hay quien me convenza a escribir entradas desde el editor de WP>
Mario A. Núñez dice
Eduardo;
Pues aparentemente no tendré que quedarme en la 2.5: http://ayudawordpress.com/wordpress-26-tendra-una-instalacion-mas-segura/ . Uno podrá escoger habilitar el protocolo de pulicación remota.
Eduardo Larequi dice
Ojalá que sea verdad.