El otro día hablaba sobre la migración del blog entre diferentes versiones de Wordpress, y el problema que había tenido a la hora de importar las entradas (por la función set_time_limit() y ejecutar PHP en modo seguro). Aunque ya pude resolver el problema, en un principio ignorando los errores para importar todas las entradas, y posteriormente mediante el acceso a la configuración del servidor que me proporcionó el proveedor de hosting, no terminó aquí la cosa. Si deseaba actualizar los plugins que estaba usando, podía optar por hacerlo manualmente (descargando la nueva versión del plugin y reemplazando la antigua por esta mediante FTP, procediendo a continuación a configurarlo nuevamente si era preciso), o bien mediante el instalador automático que incorpora Wordpress a tal efecto. Sin embargo, al intentar hacerlo así obtenía un error de permisos:

Downloading update from http://downloads.wordpress.org/plugin/akismet.zip
Unpacking the update
Could not create directory: /xxxxx/yyyyy/wp-content/upgrade/akismet/akismet/
Installation Failed

Sin embargo, esto me extrañó, ya que el usuario asociado a Wordpress tiene los suficientes permisos para subir archivos y crear directorios en el servidor. Investigando un poco, me encontré con un error reconocido para la función mkdir() de las versiones 5.2.3 y 5.2.4 de PHP: no permite crear directorios en modo seguro si la ruta del directorio a crear termina en una barra (slash, "/"). Me dije que no podía deberse a esto... pero sí. Si abrimos el archivo class-wp-filesystem-direct.php (dentro del directorio wp-admin/includes de Wordpress) nos encontraremos con una función mkdir con la siguiente definición:

function mkdir($path,$chmod=false,$chown=false,$chgrp=false)

Esta función mkdir crea un directorio en la ruta especificada dependiendo de los permisos del usuario y grupo que esté intentando llevar a cabo dicha operación. Si al principio del cuerpo de la función comprobamos si estamos en modo seguro, y si es así eliminamos el último carácter de la ruta, si ésta termina en barra...

Hecho esto, probé a actualizar los plugins y funcionaba correctamente, sin necesidad de desactivar en ningún momento el modo seguro en el servidor.

Un amigo me preguntaba ayer cómo incluir un control de validación en un sitio web de una forma muy sencilla. Deseaba restringir el acceso a determinados usuarios a la descarga de un determinado recurso. Aunque evidentemente no se trata de la mejor forma de proteger una determinada información, ya que el servidor soportaba PHP, y sin necesidad de montar una base de datos, una posible solución podía ser usar la tupla de variables de servidor $PHP_AUTH_USER, $PHP_AUTH_PW para controlar el acceso, a través de un array de parejas nombre_de_usuario/contraseña. La implementación es muy sencilla, y aunque como ya apuntaba no es la mejor a la hora de proteger nuestra información, puede servirnos para salir del apuro y proteger una información determinada sin necesidad de tocar, por ejemplo, los archivos .htaccess y .htpasswd, por ejemplo, o de montar una infraestructura mayor con el mismo fin.

A continuación dejo el código en PHP. Bastaría, por ejemplo, con usarlo como un archivo index.php, incluirlo en la ruta que deseemos proteger, e incluir al final del código (tras el tag de cierre de PHP, ?>) el código HTML que deseemos mostrar en caso de que el usuario de autentique correctamente (por ejemplo, una página con el enlace al recurso que deseemos mostrar).

Puedes descargar el código desde el siguiente enlace:

[download#10]