Saltar al contenido

Etiqueta: seguridad

JS Archive List 6.2.0: actualización de seguridad, limpieza de i18n y más pruebas automatizadas

Publicado por Miguel Useche el 23 de febrero de 2026

Hay actualizaciones “cosméticas” y otras de urgencia, con un enfoque en la calidad, porque resuelven problemas que surgen en producción. La versión 6.2.0 de JS Archive List se clasifica en la segunda categoría.

En la sección de changelog de WordPress, el foco está clarísimo: es una actualización de seguridad y viene acompañada de mejoras que, aunque no se vean en el frontend, hacen que el plugin sea más sólido a largo plazo.

JS Archive List de nuevo con una vulnerabilidad

El cambio importante: fix de seguridad en filtros por shortcode

El punto más relevante de esta versión de JS Archive List es que se corrigió una deserialización insegura relacionada con los filtros de categorías del shortcode, pasando a un enfoque de parsing seguro de IDs serializados y rechazando cualquier otro valor, como, por ejemplo, un objeto.

Es decir, si tu sitio usa shortcodes y filtros de categorías, ahora el plugin es mucho más estricto con lo que acepta como entrada. Esto reduce superficies de ataque clásicas en las que “datos con forma rara” terminan ejecutando acciones que nunca debieron ejecutarse.

No es el tipo de cambio que “se nota”, pero es exactamente el tipo de cambio que vale oro.

i18n sin sorpresas: text domain alineado con el slug

Otro detalle que descubrí sin querer es que WordPress espera que el dominio del texto coincida con el slug del plugin. En esta versión se arregló mediante cambios en los archivos de PHP, JS y de traducción.

Esto suele arreglar los típicos “¿por qué esto no se traduce si tengo el .mo?” o las inconsistencias que surgen cuando WordPress intenta cargar el dominio correcto.

Readme de JS Archive List mas claro

También se actualizaron los headers del plugin/readme (requisitos, licencia y license URI), pues ahora son requeridos y durante esta década no los había incluido. Así, el plugin tiene una mejor calidad y cumple con los lineamientos de los plugins que exige WordPress.

Más fácil brindar calidad: docs y setup de PHPUnit

Este es mi lado de profesor universitario hablando: si quieres que un proyecto sea sostenible, haz que sea fácil de probar. La nueva versión 6.2.0 incluye: documentación y script instalador para configurar la suite de pruebas con WordPress y PHPUnit

Esto reduce muchísimo la fricción al añadir pruebas, correrlas en CI y detectar regresiones antes de que algo llegue a producción. Probablemente agregue más pruebas en futuras versiones de JS Archive List.

Codex me ahorró horas

Aquí va mi confesión nerd: parte de esta actualización se benefició mucho de Codex para acelerar el trabajo “invisible”: revisar cambios repetitivos, mantener la consistencia con los estándares de WordPress y, sobre todo, acelerar la incorporación de chequeos de calidad (tests, estructura, convenciones) sin convertirlo en una semana entera de trabajo.

Eso sí, no reemplaza el criterio (eso no se delega), pero sí recorta brutalmente el tiempo entre “tengo que hacerlo” y “listo, quedó fino y revisado”.

Prueba JS Archive List y dime qué tal

Si todavía no lo has probado, este plugin existe para lo mismo que yo quería hace años: un archivo colapsable, limpio y configurable, y hoy, además, con soporte moderno vía el block de Gutenberg.

Pásate por la página del plugin, instálalo, juega con las opciones y, si te sirve, deja una reseña, reporta bugs o sugiere mejoras.

Eso es lo que mantiene vivo el software libre.

Deja un comentario

Cómo corregí una vulnerabilidad en mi plugin JS Archive List tras un reporte de WordFence

Publicado por Miguel Useche el 28 de noviembre de 2025

JS Archive List es un plugin que creé hace más de una década para mostrar archivos de entradas de WordPress en un formato más limpio y dinámico usando JavaScript (inicialmente era con JQuery). Pues hace unas semanas recibí un correo de un grupo de hackers y del equipo de Wordfence (correos separados) informándome de una vulnerabilidad en JS Archive List para realizar inyecciones SQL.

Para quienes no lo conocen: JS Archive List toma los años y meses archivados en la base de datos y permite generar un widget o listado que se navega sin recargar la página. Es sencillo, útil y, como muchas herramientas viejas, tenía una parte interna que había quedado congelada en el tiempo, de hecho ese código viene del fork original en el que está basado.

Cómo se descubrió la vulnerabilidad en JS Archive List

Hace unas semanas recibí un mensaje desde la plataforma de investigadores de WordFence. Ellos tienen un programa privado donde reportan vulnerabilidades a desarrolladores antes de hacerlas públicas, y me dieron un plazo de tres semanas para liberar un fix.

El problema estaba en algo básico, la forma de generar la consulta SQL. El plugin recibía un año a través de la API o URL para filtrar los archivos, pero ese valor venía directamente de la base de datos sin sanitización y se insertaba en la query. Resultado: era posible modificar la consulta enviando un año inválido, lo que abría la puerta a inyecciones SQL.

Nada glamuroso ni nada complicado. Pero sí peligroso.

Actualizando una década de código para usar $wpdb

El fix de la vulnerabilidad en JS Archive List estaba claro: había que actualizar una porción del plugin que llevaba más de diez años igual, adaptarla a las funciones seguras de $wpdb y garantizar que todas las consultas pasaran por sus métodos de preparación. Esto no solo eliminó la inyección SQL, sino que dejó la base para que futuras mejoras del plugin también sigan buenas prácticas. Y claro: ahora JS Archive List es más seguro que nunca. Debo admitir que solo en la última semana del plazo pude sentarme a corregirlo (cosas de la vida), pero una vez entré en modo mantenimiento salió bastante fluido.

Luego tuve que entrar al sistema de WordFence y anunciar que el problema estaba corregido en la última versión. Tanto el grupo de hackers como el equipo de WordFence revisaron y confirmaron que todo está bien para cerrar la alerta en el sistema mencionado.

Reflexión final

Este fue un recordatorio amable de que mantener software libre significa estar dispuesto a revisarlo, actualizarlo y cuidarlo. Si usas JS Archive List, te recomiendo actualizar a la última versión. Y si alguna vez te toca lidiar con reportes de seguridad, tómalos como una oportunidad para pulir tu código y ayudar a hacer Internet un lugar mas seguro para todos.

¿Te ha pasado algo similar? ¿Descubriste vulnerabilidades en tu propio software?
Me encantaría leer tus experiencias en los comentarios.

Deja un comentario

Configurar ProtonVPN en Archlinux con OpenVPN

Publicado por Miguel Useche el 31 de octubre de 2018

Hace meses, Ronald Escalona un experto en seguridad informática me recomendó el uso de ProtonVPN. Abrí una cuenta gratuita en el sitio pero debes esperar a que te den respuesta luego de unas semanas debido a que el servicio gratuito es por cupos. Luego de recibir la invitación decidí probarlo en mi computadora con Arch Linux.

Logo de ProtonVPN

Configurar ProtonVPN en Arch Linux

ProtonVPN tiene compatibilidad con OpenVPN, desde el sitio de ellos puedes descargar una archivo .ovpn y configurar automáticamente el acceso. Pero al ejecutarlo me conseguí con el error:

Options error: --up script fails with '/etc/openvpn/update-resolv-conf': No such file or directory (errno=2)

Esto es debido a que el archivo de configuración de servidores DNS, ha cambiado en las últimas versiones de OpenVPN. Para ello primero debes instalar el paquete openvpn-update-systemd-resolved desde AUR:

trizen -S openvpn-update-systemd-resolved

En el ejemplo utilizo trizen (un wrapper de pacman) para instalar desde AUR. Una vez finalizada la instalación del paquete, solo debes editar el archivo .ovpn de ProtonVPN y colocar:

setenv PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
script-security 2
up /etc/openvpn/scripts/update-systemd-resolved
down /etc/openvpn/scripts/update-systemd-resolved
down-pre

Guardas y ¡Listo! Estos cambios permiten que OpenVPN actualice los DNS en las versiones mas nuevas (utilizadas en Arch Linux),  una vez almacenado los cambios, deberías poder conectarte sin problemas.

Sobre el servicio

Hasta los momentos me ha parecido un buen servicio, además por una fuente (que no puedo mencionar) que realizó un estudio de privacidad de VPNs, me comentó que ProtonVPN no guarda registros de su conectados. Siendo uno de los servicios mas seguros del mercado. Se los recomiendo usar.

Deja un comentario

El pasado, presente y futuro de la Seguridad Informática

Publicado por Miguel Useche el 2 de mayo de 2018

En Mozilla suelen invitar a sus oficinas grandes profesionales para compartir su experticia en un área. Las ponencias son compartidas en tiempo real al personal y algunos voluntarios. De esta forma todos podemos aumentar nuestros conocimientos en diversas áreas de la web abierta. Hace unas semanas estuvo Mikko Hypponen, un experto en seguridad informática. Comentando sobre los ataques informáticos desde los inicios, los actuales y el futuro de los mismos.

El contenido del vídeo

Me encantó esta charla porque es interesante ver la evolución de las fallas informáticas, da nostalgia recordar como eran. Es increíble darse cuenta cómo lo que sucede actualmente, hace unos años era considerado ciencia ficción. Además, en la última sección del vídeo da un análisis muy interesante de como será el futuro de esto. ¡Ojalá no sea tan feo como lo predice!

Computer Security in the Past, Present and Future

Espero que te haya gustado y recuerda compartirlo con otros.

Happy hacking!

1 comentario