Diseño Web archivos - Página 46 de 58

Antivirus, Diseño Web, Gestores de contenidos, Seguridad, Soporte, Spyware/Spam, Trucos

Escanners online de Malware gratuitos para páginas web

David G. Smyth (SmythSys) / 26 diciembre, 2014

¿Os preguntáis cómo se os infectan los ordenadores? Muchas veces por navegar en páginas infectadas. Por lo tanto los que tenemos o administramos páginas web tenemos que ser doblemente cuidadosos con su seguridad. No sólo nos pueden entrar para conseguir datos (usuarios/claves etc) sino para poner código que infecte ordenadores. Además los ataques a las web no paran, si tienes un firewall podrás ver como están todo el rato intentado atacar tu web (hay gente que se aburre). El día 24 sin ir más lejos, por la tarde, estuvimos parando unos intentos de atacar una página de WordPress desde Rusia. ¿Qué puede hacer si tienes una página web? Sobre todo analizarla cada cierto tiempo y mantenerla actualizada (código y plugins). Es una de las razones por las que ahora recomiendo dinámicas sobre estáticas, porque podemos hacer que se actualicen solas, instalar firewall, programas de seguridad (alguno más pondremos pronto) etc etc. Como curiosidad os dejo algunos consejos para mantener WordPress seguro (muchas de estas cosas las hacen los plugins de seguridad, dentro de unos días os daremos alguno más). Eso si, si una persona con conocimientos se pone cabezota, al final entra. Por esta razón Google está ahora muy serio y en seguida saca el aviso de “página infectada” si detecta algo. Y hace bien, es bueno tanto para usuarios como para administradores. ¿Qué puedo hacer si se ha infectado la página? Limpiarlo obviamente. Lo primero es ver qué se ha infectado. La herramienta para Webmasters de Google da alguna indicación, pero para hacer un mantenimiento preventivo o comprobarlo también están estos analizadores o escanners online gratuitos que os dejo. Nota: no detectan todo…pero por ejemplo si lo que Google detecta. Eso si recomiendo siempre luego seguir analizando tanto con un antivirus en el servidor, como descargando la web y analizándola con un antivirus o con VirusTotal, o con plugins de seguridad. Estas herramientas las podéis usar tanto en webs estáticas como dinámicas. No limpian pero te dicen dónde está el error. Sucuri: de los más famosos, fiables y recomendado incluso por Google. Pon tu web en la casilla, dale a analizar y te dice si tienes enlaces no fiables, código insertado, ficheros etc. Gracias a ella pudimos encontrar ficheros de malware y código insertado en el header. Tiene plugins para WordPress interesantes de los que hablaremos. VirusTotal: el gran analizador online de ficheros con muchos motores también analiza webs. Lo va haciendo cada cierto tiempo y si quieres puedes ver el último análisis o forzarle a que haga uno. Te da los resultados de unos 50 motores distintos. Quttera: Otro analizador que también tiene plugins para WordPress y es sencillo de usar. Así que si tenéis páginas web recomiendo analizarlas cada cierto tiempo con estas herramientas. Sólo detectan malware de clientes, no backdoors etc. Por eso si está infectada es un primer paso, después de limpiar lo que estas detecten recomiendo analizar la web con un antivirus fichero por fichero, borrar caches, usar una copia de seguridad o instalar plugins de seguridad que analicen bien la web. Por cierto…cada día es más importante tener un firewall en las webs para evitar estas cosas.

Diseño Web, Gestores de contenidos, Seguridad, Trucos

Wordfence: un plugin de seguridad para WordPress muy recomendable

David G. Smyth (SmythSys) / 19 diciembre, 2014

Como WordPress es uno de los sistemas más usados, y por lo tanto más atacado, en las páginas web, cada vez son más los clientes que se preocupan por la seguridad. Hoy os recomendamos un gran plugin para cerrar vuestro WordPress y evitar “sorpresas”. Wordfence es un plugin de seguridad con un montón de funciones. Veamos algunas. Lo primero que hace al instalarlo es pedirte un correo de administrador. Lo recomiendo porque te avisará ahí si ha intentado entrar alguien y cualquier otro evento en tu web. Después analiza tu página (como un antivirus) para detectar Malware en el código y posibles cambios en plugins, código de wordpress y temas (comparándoles con una base de datos que tiene). Puede analizar también partes del servidor que no son tu web, como otros directorios, imágenes, código tuyo etc). Cuidado aquí, usad la cabeza, porque si habéis cambiado vosotros el tema o algún plugin puede detectarlo. Este escaneo está programado y es periódico. En el panel de Wordfence te avisa enseguidad de fallos de seguridad como lo que no está actualizado (plugins y temas) o contraseñas débiles de usuarios. También tiene funciones de firewall, bloqueando amenazas tanto de usuarios como de ataques externos con reglas que tiene y que va cambiando en las actualizaciones según salen nuevas amenazas. A mi me avisó hace poco de una IP que intentaba entrar como administrador. Si yo no acepto, le rechaza.En este firewall también tienes informes de quien entra en tu web, quien son humanos y quien bots, los crawlers de los buscadores, quién y cuando te ataca y mucho más. Ips bloqueadas para acceder a la web, Ips bloqueadas para logarse como usuario…. y mucho más. Además también sirve para mejorar el rendimiento, con una función de caché con un motor propio (con dos opciones por si alguna no funciona bien) que puede mejorar hasta 50 veces la velocidad (dicen). Como bien dicen, en seguridad, “lo que no sabes SI que puede hacerte daño“, es muy recomendable instalar algo como esto en cuanto la web tiene un buen número de accesos. Podéis ver un gráfico de ataques diarios en la portada de su web. Better safe than sorry. Y todo esto es GRATIS. http://vimeo.com/70908504

Diseño Web, Gestores de contenidos

Activar un modo de mantenimiento en WordPress

David G. Smyth (SmythSys) / 24 noviembre, 2014

Esto es algo que no se por qué WordPress no tiene por defecto. Si tienes una página online activa, pero quieres hacer modificaciones que puedan llevar algo de tiempo, los clientes pueden seguir viendo esas modificaciones porque no se puede poner en modo mantenimiento. Hoy os dejamos un plugin para hacer justo esto: activas un modo en el que el usuario normal vea un mensaje del estilo “Estamos haciendo unas mejoras, pronto volveremos online” pero los administradores podrán “logarse”, hacer y ver todos los cambios necesarios. El plugin es WP Maintenance Mode (sorpresa), y la instalación es sencilla. Instala el plugin desde el repositorio de plugins o subiéndo la descarga del mismo a tu web. Después actívalo y vete a la configuración. Ahí podrás activar el modo mantenimiento y varias otras opciones muy útiles como el tiempo que va a estar activo, un contador, un formulario de contacto, una página de landing para llevarles a otro lado etc etc. Puedes poner iconos de redes sociales, cambiar los colores y el fondo y casi cualquier cosa que puedas imaginar. Además en la parte de administración tienes un mensaje constante recordándote que está activado el modo mantenimiento. MUY completo aunque nosotros usamos sólo las opciones básicas. Os lo recomiendo para vuestras páginas de wordpress, instaladlo, dejadlo desactivado y activadlo cuando lo necesitéis. Una manera muy útil de decir al cliente “déjame un rato que tengo que trabajar” jejejeje.

Diseño Web, Webs

FontFaceNinja: encuentra la fuente que usa una web

David G. Smyth (SmythSys) / 29 octubre, 2014

Muchas veces nos llegan clientes diciendo “quiero usar para mi web o para mis documentos la fuente de esta web”. Eso si lo que no te dicen (y a veces es su propia web) es que fuente es, que tamaño, dónde conseguirla etc etc. FontFaceNinja es una solución para encontrar la fuente. Es una extensión para Chrome y para Safari que te permite simplemente pasar por encima de un texto en una página y te da los detalles. Esto se puede hacer también con botón derecho “Inspeccionar elemento” pero obviamente el usuario medio no entenderá esto. La extensión es más sencilla de usar. Además te permite usar esa fuente para escribir el texto que quieras, lo que te permite ver cómo quedaría tu texto con esa fuente. http://fontface.ninja/media/browser.webm

Diseño Web, Gestores de contenidos, Seguridad, Sistemas

Protege tu WordPress de ataques XML-RPC

David G. Smyth (SmythSys) / 20 octubre, 2014

El viernes hablaba con un cliente contándole que WordPress es una de las soluciones más usadas para los blogs y Webs por su facilidad de uso y su buen funcionamiento. Sin embargo, esto también lo conocen los hackers….y es una de las plataformas más atacadas. Por lo tanto deberías tener tanto el WordPress como los plugins lo más actualizado posible, y si tu web tiene bastante tráfico (por lo tanto también atrae bastantes hackers) seguramente tendrás que añadir ciertas medidas extra como esta que explicamos hoy (y que nosotros usamos en un cliente hace unos meses). En unos días también os explicaremos algunos de los plugins más usados para reforzar la seguridad de tu web con WordPress, hoy nos dedicaremos a los ataques Xml-RPC, un ataque muy conocido pero que aún así seguro que a algún lector le viene bien. Es un protocolo que usan algunos servicios y que WordPress hizo bien en activar….hasta que lo usaron para atacar. La solución más sencilla es añadir a tu fichero .htaccess un código para desactivar xml-rpc. Si tu web es simple esto debería valer. Te pongo el código: <FilesMatch “^(xmlrpc\.php)”> Order Deny, Allow Deny from all </ FilesMatch> Si no os atrevéis con editar el fichero htaccess podéis añadir un plugin que lo haga por vosotros como este. El problema de este código es que podrías necesitar xmlrpc para algún servicio, ciertas cosas podrían dejar de funcionar dependiendo de la complejidad de tu web. Puedes probar estas variantes: Esta mira de dónde viene el ataque: <IfModule mod_setenvif.c> <Files xmlrpc.php> BrowserMatch “Poster” allowed BrowserMatch “WordPress” allowed BrowserMatch “Windows Live Writer” allowed BrowserMatch “wp-iphone” allowed BrowserMatch “wp-android” allowed BrowserMatch “wp-windowsphone” allowed Order Deny,Allow Deny from All Allow from env=allowed </Files> </IfModule> Si usas JetPack deberías añadir estas modificaciones. : <FilesMatch “^(xmlrpc\.php)”> Order Deny,Allow # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 Allow from 209.15.0.0/16 Allow from 66.155.0.0/17 Deny from all </FilesMatch> Hay quien recomienda alguna IP más para Jetpack…experimentad con cuidado. Podéis añadir a este código anterior nombres de dominio también para el Allow. Un mejor código, según lo indicado en esta página, para evitar otro tipo de ataque también sería: <FilesMatch “^(xmlrpc\.php|wp-trackback\.php)”> Order Deny,Allow # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 Allow from 209.15.0.0/16 Allow from 66.155.0.0/17 Deny from all </FilesMatch> Con esto deberías estar bastante protegido contra este ataque. Si administras tu propio servidor puedes también usar Fail2Ban, un plugin con muchas opciones al que puede que le dediquemos un artículo pronto. Una configuración para este ataque con fail2ban como solución la puedes ver aquí.

Diseño Web, Gestores de contenidos, Soporte

Prestashop: módulo gratis para no mostrar artículos sin stock

David G. Smyth (SmythSys) / 17 octubre, 2014

Hace poco un cliente nos pidió que los productos sin stock en su tienda de Prestashop no aparecieran en venta al público. No le gustaba mostrar productos con cero de stock. Una petición bastante razonable…pero que no se puede configurar en Prestashop por defecto. Es un gestor impresionante pero que le faltan ciertas cosas obvias a veces. Buscando encontramos este gran módulo gratuito desarrollado por la comunidad y nos ha funcionado de maravilla. Nota: El módulo ahora es de pago y se puede descargar aquí. En el blog podéis ver cómo hacer lo mismo por triggers en la base de datos. El módulo se puede configurar con unas opciones básicas pero de manera sencilla lo que hace es no mostrar los productos que no tienen stock. En los productos con combinaciones, si la combinación por defecto no tiene unidades muestra la siguiente. Además permite seleccionar en la página del producto los que quieras mostrar aunque no tengan stock. Funciona también con categorías. Está disponible para todas las versiones de Prestashop activas hasta ahora.

Diseño Web, Gestores de contenidos

Módulo de cookies para Prestashop

David G. Smyth (SmythSys) / 23 septiembre, 2014

Uno de los posts más seguidos últimamente en el blog es el plugin asesor de cookies para WordPress. Es lógico porque ahora la ley obliga a poner este aviso (que me parece ridículo por cierto….pero son lentejas). Hoy os dejamos uno para Prestashop, también gratuito. El plugin European Union Cookie Law es de mypresta.eu, una página con bastantes módulos útiles y gratuitos y algunos de pago muy interesantes. El módulo es sencillo, es un editor de html en el backend donde tenemos que poner el texto que queramos, te deja elegir los colores de fondo y sombra de la caja de aviso y si la quieres poner en la parte superior o inferior de la página.

Diseño Web, Gestores de contenidos

Mqtranslate como alternativa a qtranslate en WordPress

David G. Smyth (SmythSys) / 17 septiembre, 2014

Uno de los mejores plugins multilenguaje (quitando gustos) que existían para WordPress era qtranslate. Y digo era porque después de unos años trabajando en el proyecto el desarrollador no parece poner más versiones de este plugin. Esto ha hecho que al actualizar WordPress no funcione la parte del backend y no sea fácil escribir en varios idiomas (si el frontend….pero ¿cuanto tiempo?). Buscando soluciones descubrimos que, cuando el proyeto qtranslate estaba vigente surgió un “fork”, un proyecto alternativo basado en el mismo pero con modificaciones: mqtranslate. Hemos probado este plugin y es totalmente compatible y, según sus desarrolladores intentarán mantener su continuidad en el tiempo. Podéis ver aquí en inglés los pasos de migrar de qtranslate a mtranslate pero os indicamos un resumen. 1) Instalar el plugin mqtranslate (no activar) 2) Deshabilitar el plugin qtranslate 3) Habilitar mqtranslate 4) Pinchando en Settings de mqtranslate en el menú de plugins, en”Languages” habilitar los que necesitamos. 5) Ir a settings – languages 6) Abrir “Advance Settings” (haciendo clic en show) 7) Ir a “Settings Migration” y seleccionar “Import Settings from qTranslate” 8) Salvar 9) Comprobar arriba del todo que el idioma por defecto es el que queremos y el orden. 10) Activar el widget de mqtraslate

Diseño Web, Información Tecnica, Sistemas

Acelerar PHP con APC: Alternative PHP Cache

David G. Smyth (SmythSys) / 3 septiembre, 2014

Si tienes un servidor web dedicado, virtual o cloud que puedes gestionar y sirves contenido PHP este truco puede ayudarte. Puedes instalar APC para acelerar las páginas con PHP. APC es un plugin gratuito que ofrece un caché para que scripts en PHP que ya se hayan corrido en el servidor no tengan que ejecutarse de nuevo, ahorrando así tiempo y recursos. Otro sistema de cache es Memcached y la diferencia es que Memcached es más genérico y no sólo para PHP, mientras que APC es ideal cuando tienes contenido específico con scripts de PHP que se ejecutan muchas veces. Nosotros lo ponemos en ciertas páginas que vemos que pueden ir más rápidas por esta razón. Para activarlo primero tendréis que instalar APC, aquí os indica bien cómo hacerlo. Una vez instales el APC y veas con phpinfo que lo tienes activo es bueno que sepas ver y limpiar la caché. Como cualquier caché, si se llena puede empezar a hacer cosas raras como no servir más páginas o que veas contenido antiguo. Para ver el contenido del caché, estadísticas etc, copia el fichero apc.php del directorio de APC a la raíz de la web. Si vas a www.tudominio.es/apc.php podrás entrar en las estadísticas de APC. Limpiar el caché de APC crea el fichero apc_limpiar.php con el contenido siguiente y ponlo en la raíz de tu web: <?php if (in_array(@$_SERVER[‘REMOTE_ADDR’], array(‘127.0.0.1’, ‘::1’, ‘tuiplocal’))) { apc_clear_cache(); apc_clear_cache(‘user’); apc_clear_cache(‘opcode’); echo json_encode(array(‘success’ => true)); } else { die(‘No valid IP’); } ?> Entonces sólo tienes que ir a www.tudominio.es/apc_limpiar.php . También puedes ponerlo en cron si quieres.

Diseño Web, Sistemas

Load Impact: simula tráfico en una web

David G. Smyth (SmythSys) / 28 agosto, 2014

Para los que tenemos servidores o trabajamos con páginas web, a veces es interesante como se comportarían ambas bajo condiciones de muchos usuarios accediendo a la vez. ¿Se me ralentizará el servidor? ¿Se me caerá? ¿Aguantará? Una herramienta muy sencilla de usar para eso es http://loadimpact.com/. Aunque la versión gratuita tiene ciertas restricciones obvias (en este momento hasta 250 usuarios virtuales a la vez, 5 minutos y 5 pruebas al mes), suele ser suficiente para hacerse una idea de cómo responde el servidor. La web simula entradas a tu sitio desde varios países y produce reportes de los resultados. Reportes que son muy útiles para poder presentar luego a los clientes. También permite probar aplicaciones móviles. Sencillo y seguramente no para el usuario medio, pero para aquellos que tengáis servidores es muy interesante: