António Campos

WordPress pede credenciais FTP ao atualizar

Wordpress Login FTP — WordPress Login FTP

Não é a primeira vez que me acontece numa instalação de WordPress ao atualizar um plugin ou o próprio WordPress, através do painel de administração do WordPress, pedir dados de acesso FTP.

A mensagem de erro exata é a seguinte:

Para executar a acção solicitada, o WordPress precisa de aceder ao seu servidor. Por favor insira as suas credenciais de FTP para continuar. Se não se lembra das suas credenciais, deverá contactar o seu serviço de alojamento web.

O primeiro passo para resolver é verificar se o utilizador que corre o servidor Web (Apache, IIS, Nginx etc…) tem permissões de escrita nas pastas do WordPress.

No entanto este problema geralmente fica resolvido quando adicionamos a linha seguinte no wp-config.php:

define('FS_METHOD', 'direct');

Pode ser colocado em qualquer lugar do ficheiro desde que fique acima da linha:

if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');

Java erro ao utilizar MD5withRSA

Recentemente precisei de me ligar a um servidor através do “Intel Remote Management Module”, como estou a usar uma versão atual do Java e alguns protocolos de encriptação e assinatura foram entretanto considerados inseguros, o Java bloqueia a sua utilização… no entanto permite o utilizador alterar a configuração e permitir esses métodos inseguros por sua conta e risco.

Ao aceder à aplicação recebia o erro:

Error: Unsigned Application requesting unrestricted access to system.
The following resource is signed with a weak signature algoritm MD5withRsa and is treated as unsigned

Para contornar o bloqueio basta editar o ficheiro de configuração do Java o java.security que está na pasta do Java.

Para começar precisamos de saber a versão do Java que estamos a utilizar, geralmente a utilizada é a mais recente que se encontrar na pasta do Java,

no meu caso o ficheiro java.security estava na pasta:

C:\Program Files (x86)\Java\jre(versão do Java)\lib\security\java.security

para editar este ficheiro precisamos de usar um editor de texto (por exemplo o bloco de notas!) mas com permissões de administrador, e fazer as seguintes alterações:

Editar a linha:

jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer, \

e retirar o MD5

jdk.certpath.disabledAlgorithms=MD2, SHA1 jdkCA & usage TLSServer, \

Editar a linha:

jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024

e retirar o MD5

jdk.jar.disabledAlgorithms=MD2, RSA keySize < 1024

Editar a linha

jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768, \
EC keySize < 224

e retirar o MD5withRSA

jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768, \
EC keySize < 224

Ir à configuração do Java e adicionar o url do site às excepções e se tudo correu como esperado irá funcionar…

Validar SAFT PT Versão 1.04

[Atualização 11-03-2018 Novo Endereço para Validar SAFT 1.04 (aplicação de validação local)]

O validador antigo da versão 1.04 deixou de estar disponível na página da Autoridade Tributária no entanto a Autoridade Tributária disponibiliza agora o validador SAFT da versão 1.04 como um executável à semelhança do que era nas versões anteriores e está disponível para download no link seguinte:

https://info.portaldasfinancas.gov.pt/apps/saft-pt04/validador_v1_04.exe

O Windows vai mostrar uma mensagem a avisar que o Validador é uma aplicação insegura… clicar em Executar!

Para mais informações sobre o SAFT 1.04 e as suas validações a página agora é http://info.portaldasfinancas.gov.pt/pt/apoio_contribuinte/SAFT_PT/Paginas/news-saf-t-pt.aspx

[SAFT 1.04 XSD]

XSD é um ficheiro com regras de validação para validação de ficheiros xml, existem vários validadores na internet que permitem validar um ficheiro xml com as regras presentes num esquema XSD.

http://info.portaldasfinancas.gov.pt/apps/saft-pt04/saftpt1.04_01.xsd

[VERSÃO ANTIGA]

Este é o primeiro mês em que todas as empresas se são obrigadas a enviar a nova versão do SAFT 1.04, que acrescenta algumas informações às já comunicadas nas versões anteriores.

Para garantir que o seu SAFT está correto antes de o submeter no Portal da Autoridade Tributária pode usar o “analisador” fornecido pela AT para validar e detectar erros que o seu ficheiro possa ter!

Para já ainda não está disponível a versão online igual à que foi disponibilizada para as outras versões, terá que usar a versão Offline que está disponível no link http://info.portaldasfinancas.gov.pt/apps/saft-pt04/validador_v1_04.jar , não estranhe o ficheiro ser “.jar” isto significa que terá que ter o Java para poder correr este Analisador de SAFT! Este é o único validador de Saft oficial, todos os outros validadores são de entidades externas à Autoridade Tributária e como tal não fornecem qualquer garantia.

Antes de executar o ficheiro que fez download em cima certifique-se de que tem o Java instalado no seu computador, para isso basta visitar o site https://www.java.com/pt_BR/ e instalar a última versão.

Para corrigir possíveis erros no SAFT PT convém sempre consultar o produtor do Software no entanto alguns dos erros podem ter a ver com a informação que está no sistema, seja uma ficha de produto mal preenchida ou um clientes com um dado qualquer inválido, geralmente os erros do analisador mostram o campo onde está o erro, se pesquisar o número do campo no manual do SAFT pode encontrar a origem do erro e corrigir sem ter que recorrer a ninguém!! Também pode dar uma vista de olhos no manual para ter noção de toda a informação que é incluída no ficheiro SAFT 1.04.

http://info.portaldasfinancas.gov.pt/NR/rdonlyres/ACD9174B-FA72-4D80-9E99-760745CC14AA/0/Portaria_302_2016.pdf

Já agora um concelho não usem validadores ou analisadores online que não sejam fornecidos pela AT ou pelo produtor do Software que usam, porque não sabem a quem estão a dar acesso à Faturação, Produtos, Preços, Guias de Transporte, etc… da vossa empresa!!

WordPress proteger BruteForce

De vez em quando gosto de dar uma vista de olhos nos logs do servidor para ver se deteto algo “anormal”, uma das coisas que me saltou à vista já há algum tempo foi o número exagerado de tentativas de autenticação inválidas! Estas tentativas tinham várias origens mas o método é sempre o mesmo tentar combinações comuns de utilizador e passwords de forma a entrar no Painel de administração do WordPress (isto é conhecido por BruteForce).

Para proteger a minha instalação de WordPress ainda pensei usar um plugin para proteger deste género de ataque mas decidi tentar uma abordagem de mais baixo nível, uma vez que já uso o Fail2Ban no servidor decidi aproveitar o mesmo e criar uma regra para à terceira tentativa de autenticação bloquear o ip de origem, fui acompanhando o número de ip’s bloqueados e são mais do que eu imaginava.

Como não sou nenhum master em regex usei uma expressão extremamente simples, quando uma tentativa de autenticação falha o WordPress retorna um erro http 403 (o comportamento standard retorna um 200 OK, com o JetPack ativo e com a opção de bloquear tentativas de login inválidas é que gera o 403), então é só mandar o Fail2Ban pesquisar acessos ao wp-login.php que retornaram 403, a regra que cheguei que se mostrou mais eficaz após alguns testes foi a seguinte:

failregex = :80 <HOST> .* /wp-login.php HTTP/1.1″ 403

Para já tem funcionado como esperado:

Optei por não usar plugins porque mesmo que um plugin detecte uma tentativa de intrusão, vai permitir que o atacante continue a gastar recursos ao servidor, ao enviar centenas ou milhares de pedidos seguidos. Como o Fail2Ban impede o ip do servidor de chegar sequer ao servidor o gasto de recursos é mínimo praticamente nulo.

Uma alteração que faço sempre no Fail2Ban é configurar para que quando bane um ip não faça REJECT e em vez disso faça um DROP(criei um Gist com isso) assim quem está do outro lado (o atacante) tem que aguardar pelo timeout do pedido para proceder para outro, isto fará com que no mínimo a aplicação que estão a usar para nos atacar consuma mais tempo e mais recursos ao atacante.

WordPress Importar Blogspot

O blogger é muito bom e gratuito mas também limitado em alguns aspetos, quando o blogspot não chega a solução pode passar por migrar para o WordPress.
O WordPress facilita esta migração ao disponibilizar uma ferramenta própria para o efeito, para a usar basta ir ao Painel do WordPress, seleccionar Ferramentas e clicar em “Importar”, nesta página surgem vários “importadores” de várias plataformas entre as quais o Blogger… seleccionamos “Instalar Agora” e o plugin de importação será instalado.

É Também possível importar do Blogroll, LiveJournal, Movable Type e TypePad, Tumblr e de sites alojados no WordPress.com.

Este importador importa o ficheiro xml exportado no Blogger, para gerar o ficheiro tem que fazer login no Blogger e ir a Definições -> Outros e seleccionar “Criar Cópia de Segurança de Conteúdo” será gerado um ficheiro com os posts.

Com o ficheiro do Blogger guardado voltamos ao painel do WordPress à página Importar e iniciamos o processo de importação basta seleccionar o novo autor para os posts e aguardar… quando o processo terminar todos os artigos da cópia estarão Publicados no WordPress.

SAFT – Códigos dos motivos de isenção de IVA

Cábula com os códigos dos motivos de isenção de IVA a usar na comunicação de faturas à AT.

O manual completo de integração e comunicação de faturas está disponível no link http://antoniocampos.net/Software/Manuais/AT/Faturas/ComunicacaodosdadosdasfaturasaAT.pdf esta tabela está na página 27!

Código	Motivo de Isenção	Norma aplicável
M01	Artigo 16.º n.º 6 do CIVA	Artigo 16.º n.º 6 alíneas a) a d) do CIVA
M02	Artigo 6.º do Decreto-Lei n.º 198/90, de 19 de Junho
M03	Exigibilidade de caixa	Decreto-Lei n.º 204/97, de 9 de Agosto Decreto-Lei n.º 418/99, de 21 de Outubro Lei n.º 15/2009, de 1 de Abril
M04	Isento Artigo 13.º do CIVA
M05	Isento Artigo 14.º do CIVA
M06	Isento Artigo 15.º do CIVA
M07	Isento Artigo 9.º do CIVA
M08	IVA – Autoliquidação	Artigo 2.º n.º 1 alínea i), j) ou l) do CIVA Artigo 6.º do CIVA Decreto-Lei n.º 21/2007, de 29 de Janeiro Decreto-Lei n.º 362/99, de 16 de Setembro
M09	IVA – Não confere direito a dedução	Artigo 60.º CIVA Artigo 72.º n.º 4 do CIVA
M10	IVA – Regime de isenção	Artigo 53.º do CIVA
M11	Regime particular do tabaco	Decreto-Lei n.º 346/85, de 23 de Agosto
M12	Regime da margem de lucro – Agências de viagens	Decreto-Lei n.º 221/85, de 3 de Julho
M13	Regime da margem de lucro – Bens em segunda mão	Decreto-Lei n.º 199/96, de 18 de Outubro
M14	Regime da margem de lucro – Objectos de arte	Decreto-Lei n.º 199/96, de 18 de Outubro
M15	Regime da margem de lucro – Objectos de colecção e antiguidades	Decreto-Lei n.º 199/96, de 18 de Outubro
M16	Isento Artigo 14.º do RITI
M20	IVA – Regime forfetário	Artigo 59.º-B do CIVA
M99	Não sujeito; não tributado	Outras situações de não liquidação do imposto (exemplos: artigo 2.º, n.º 2; artigo 3.º, n.º 4, 6 e 7; artigo 4.º, n.º 5, todos do CIVA).