El lenguaje que amarás odiar
Xsponsor: 5 años hospedando VivaLinux!
Si tu sitio no puede funcionar sin PHP-Nuke pero eres conciente de sus problemas de seguridad, quizás tu mejor opción es actualizarte a PostNuke, por lo menos provisoriamente. PHP-Nuke2PostNuke es un script que toma la base de datos de tu sitio PHP-Nuke 7.0, 7.1, 7.2, 7.3 o 7.4 y la "convierte" al formato de PostNuke 0.726, sin pérdida de datos. Como contraparte, su autor asegura que únicamente funciona con MySQL 3.x. Otras bases de datos, y soporte para el reciente PostNuke 0.75 están en camino.
Un poco más seguridad es algo que PHP-Nuke siempre necesitará. Y para saber por dónde comenzar a asegurar nuestro sitio PHP-Nuke (si cambiarlo no es opción) ésta revisión de 7 herramientas de seguridad que cubren las versiones 5.5 a 7.4 de PHP-Nuke es un excelente punto de referencia.
Vuelve el fantasma del problema que atormenta a webmasters que implementaron PHP-Nuke en sus sitios, y del que alguna vez fuimos víctimas nosotros mismos. En este mensaje un usuario de un servidor compartido comenta que después de 8 meses en un proveedor de hosting no mencionado, le llegó un ultimátum indicándole que PHP-Nuke violaba los términos de uso de su servicio, por "uso ineficiente de sus recursos y asuntos de seguridad".
Tux BR Iptables V1 es un porte del script Iptables Script Generator, que lo convierte en un módulo integrable a PHP-Nuke. De esta manera, es posible generar automáticamente reglas de IPtables de NAT y Port-Fowarding para usar en firewalls y routers, desde la conocida interface de PHP-Nuke. (Ver demostración).
El 17 pasado (perdón por la demora) el sitio PHPNuke.org recibió un masivo ataque de DoS (Denial of Service) dirigido a su módulo de Foros. Como consecuencia, todos los mensajes de los foros de discusión se perdieron, y ese módulo fué desactivado indefinidamente (!). Francisco Burzi, el desarrollador de PHP-Nuke, asegura: "Una minoría de abusadores deprimidos no destruirán PHP-Nuke y ni a su comunidad". Las múltiples vulnerabilidades de PHP-Nuke por fin comienzan a cobrarse un precio en su mismísimo sitio. ¿Qué queda para el resto?
Se han descubierto diversas vulnerabilidades en PHP-Nuke que permitirían a usuarios maliciosos llevar a cabo ataques de tipo Cross-Site Scripting e inyección SQL. Los problemas se centran básicamente en la falta de comprobación de entradas en el módulo Search de dicha plataforma. Estos problemas se han confirmado en la versión 7.3, aunque otras podrían verse también afectadas. No se ha publicado un parche de actualización que corrija estos problemas, por lo que se recomienda, en caso de poder realizarse, una modificación del código para realizar un filtrado robusto que evite este tipo de problemas.
La versión 2.0 de PHP-MultiNuke, el sistema multiportal basado en PHP-Nuke, ya está operativa y listo para descargar. MultiNuke es un sistema multiportal basado en PHP-Nuke 6.5. Mediante un sólo código se puede instalar varios portales independientes. Para añadir un portal al sistema, basta con añadir su base de datos y un fichero de configuración. Cada portal es independiente y se puede configurar por separado desde el sistema de administración (ya que la configuración de los portales se guarda en las bases de datos), pero cualquier cambio en el código se verá reflejado en todos los portales, evitando asi tener que actualizar el código en cada portal.
LinuxPreview.org, el sitio fundado por Francisco Burzi que fuera la inspiración para éste, referencia de la comunidad Linux de habla hispana y cuna de PHP-Nuke, está nuevamente en línea (!). Burzi primero vendió LinuxPreview a LinuxAlianza, quienes posteriormente decidieran rematarlo, antes de desaparecer ellos mismos de Internet. Ahora, unos anónimos samaritanos, hacen un llamado a todos los que "deseen ayudarnos a la reconstrucción del site". ¿Podrá renacer LinuxPreview.org? ¿O su magia ya pasó?
El creador del sitio NukeCops, cuyo remate ya terminó, decidió ofrecer su último script Fortress (que supuestamente evita ataques XSS y de injección SQL) para PHP-Nuke a la comunidad PostNuke. La respuesta no se hizo esperar: "...el script puede ser un hack para solucionar la una falta básica de seguridad en el código de PHP-Nuke (en lugar de atender los inherentes problemas en la aplicación en sí) pero para PostNuke recomiendo la pnAPI y especialmente estándares de codificación para evitar problemas de seguridad... El código de la así llamada Fortress no será incluído en ninguna versión futura de PostNuke (a propósito, ni siquiera es GPL) y personalmente no la recomendaría ni para PHP-Nuke debido a que hay mejores maneras para asegurar la aplicación..." (!)
Y los vientos de cambio en PHPNuke.org se llevaron a su más estrecho y fiel aliado. El sitio de NukeCops.com, de los únicos desarrolladores independientes "bendecidos" por Francisco Burzi para contribuir parches de seguridad oficiales en el código de PHP-Nuke, está siendo subastado a la mejor oferta recibida hasta el 15 de Mayo. La subasta es para los dominios nukecops.com y nukecops.net con todos sus contenidos (!). Aunque nada se sabe sobre quién se hará cargo del importante trabajo de NukeCops, nada se menciona tampoco en el sitio de PHP-Nuke...
Extraña reminiscencia de cuando Burzi subastó su propio sitio LinuxPreview.org. Actualización: El actual dueño de NukeCops aclara en su otro sitio ComputerCops que el remate se debe a un terrible ataque de DDoS (Distributed Denial of Service) sobre ambos sitios originado, irónicamente, por script kiddies usando alguna vulnerabilidad en el código de PHP-Nuke (!).
Anteriormente en VivaLinux!