Gestores de contenidos

Diseño Web, Gestores de contenidos, Información Tecnica

Lista de cookies que usa WordPress por defecto.

/

Con la RGPD, la tendencia ya no es sólo poner un aviso de Cookies clásico, del tipo “si sigues navegando, y le das a aceptar, aceptas nuestra política de cookies, si no estás de acuerdo abandona el sitio” . Las reglas han cambiado. Ahora es necesario especificar que cookies usa tu página web, y dar la opción de desactivar las no esenciales para el uso del sitio. Se debe: Detallar las cookies que usa la web y especificar para qué y si son necesarias o no. Bloquear todas las cookies no esenciales hasta que el usuario no consienta su uso. Guardar los consentimientos. Permitir a los usuarios deshabilitar las cookies no esenciales y aún así navegar. Permitir a los usuarios renunciar a la aprobación cuando quiera. Y cuidado, que las multas no son de risa. Aquí tenéis una sanción de 30.000€ de la AEPD a Vueling por no permitir seleccionar qué cookies instalar. En esta otra sentencia de la UE se sanciona a Planet49 por, entre otras cosas, premarcar el consentimiento de Cookies y no dejar al usuario escoger cuales activar o no. Así que hemos decidido hacer varios artículos, especificando las cookies por defecto de cada sistema, y el tipo que son. Así lo tenemos (y vosotros) para referencias futuras. En este caso para WordPress. Cookies que usa WordPress por defecto. Estas son las cookies de un WordPress sin instalar, limpio. Si tienes plugins seguramente tendrás más. Es importante hacer una auditoría de cookies para añadir todas las que usa tu sitio. Recordamos que: Cookies de Sesión. Son las cookies temporales que crea WordPress cuando alguien visita la web. Duran sólo una sesión (hasta que se cierra el navegador). Cookies persistentes. Cookies que se guardan en tu ordenador y se borran o cuando borras cookies, o cuando ha pasado su fecha de expiración (importante mostrar este tiempo). Las cookies de WordPress serían cookies propias porque son del propio sitio (vs cookies de terceros). Cookies en el front-end sin estar registrado. wordpress_test_cookie – en esta cookie WordPress comprueba y guarda si las cookies están activadas en el navegador. Técnica de sesión. Necesaria. Cookies cuando se inicia sesión. wordpress_[hash] – cookie restringida al área de administración (wp-admin). No se ve en el frontend incluso estando registrado. Guarda tus datos de acceso. Técnica de sesión. Necesaria. wordpress_sec_[hash] – lo mismo que la anterior (de hecho creo que la sustituye). Necesaria. wordpress_logged_in_[hash] – Guarda quien eres mientras estás registrado y lo usa WordPress para su interfaz. Técnica de sesión. Necesaria. wp-settings-{time}-[UID] – Guarda tus configuraciones de la zona de administración e incluso del frontend. UID es tu ID de usuario en WordPress. Técnica persistente. Tiempo por defecto 1 año. Necesaria. wp-settings-[UID] – como la anterior. Guarda tus configuraciones de la zona de administración e incluso del frontend. UID es tu ID de usuario. Técnica persistente. Tiempo por defecto 1 año. wp-postpass_[hash] – Cookie donde se guarda el acceso a páginas protegidas con contraseña. Técnica persistente. Tiempo por defecto 10 días. Cookies de Comentarios. Cookies que usa WordPress para que los usuarios dejen sus comentarios. Con los nuevos ajustes de la RGPD de WordPress ahora se puede activar la opción para que los usuarios las permitan o no. comment_author_[hash] – para recordar el nombre del que realiza el comentario. Técnica persistente. Duración 347 días. comment_author_email_[hash] – para recordar el email del que realiza el comentario. Técnica persistente. Duración 347 días. comment_author_url_[hash] – para recordar la url del que realiza el comentario. Técnica persistente. Duración 347 días. Asegúrate que está el aviso de cookies habilitado en los comentarios para que los usuarios puedan aceptarlo. Está en Ajustes-> Comentarios (marca la casilla ” Mostrar la casilla de verificación de aceptación de cookies en los comentarios, permitiendo que se establezcan las cookies de autor de comentarios ” si no lo está ya).

Gestores de contenidos, Soporte, Trucos

Qué hacer si un código de Code Snippets te ha bloqueado acceso al backend.

/

Si, nos ha pasado. Jejejeje. Así que os lo dejamos aquí para que no os pase a vosotros. Situación: creáis un Snippet a través del backend. Lo activáis…. y os echa del mismo. Ya no os deja entrar. ¿Cómo recuperáis acceso? siguiendo estos pasos (afortunadamente el plugin tiene un modo seguro). Entra por FTP Edita el fichero wp-config.php Añade esta línea. Por ejemplo encima de la línea que pone /* That’s all, stop editing! Happy blogging. */“ define(‘CODE_SNIPPETS_SAFE_MODE’, true); Salva el fichero. Vuelve a entrar en el backend de WordPress. Ya deberías poder. Desactiva o modifica el Snippet y luego quita (o comenta) la línea que has añadido en el fichero para volver a activar los Snippets. También puedes activar el “safe mode” poniendo esto ?snippets-safe-mode=true detrás de cada url. Pero tienes que hacerlo cada vez que refresque o pase de página. Solucionado. Así puedes desactivar Snippets cuando no funciona. Menudo susto 😀

Diseño Web, Gestores de contenidos, Trucos

Cómo reducir o eliminar el Spam en Contact Form 7

/

Contact Form 7 es, sin duda, junto a Ninja Forms, uno de los plugins de formulario de contacto más usados. Y, por lo tanto, una de las preguntas que más nos hacen, es cómo reducir o eliminar el spam con Contact Form 7.Hoy os dejamos algunos trucos. Lo ‘primero es decir que, como todas las “infecciones” o el malware en informática, no hay un sólo método ni nada 100% eficaz. La idea general en seguridad es crear diferentes capas que vayan filtrando, cada una con diferente eficacia hacia diferente tipos de infecciones, hasta dejar pasar sólo lo legítimo. Lo segundo es decir que, también como regla general, cuando más seguro algo sea informáticamente hablando, también es: a) más intrusivo y menos cómodo para el usuario. b) Más probabilidades hay que genere “falsos positivos” y bloquee contenido legítimo. Lo mejor es siempre hace un equilibrio entre “usabilidad” y seguridad. E ir probando varias soluciones en capas para ver cual nos da mejor resultado. Métodos para reducir el spam en formularios de Contact Form 7 en WordPress. Nosotros os recomendamos los siguientes métodos (nosotros solemos ponerlos en este orden…pero el orden no es realmente importante). Como hemos dicho antes, mejor “en capas”, y mejor realizar primero una, ver los resultados, luego otra, ver etc. Y detenerse cuando la cantidad de spam sea “aceptable”. Activar un Honeypot. Hace unos días os explicamos cómo activar un Honeypot para CF7. Este es un método “invisible” para los usuarios, porque añade un campo que estos no ven, pero que los robots si. Si el campo se rellena se considera que es un robot. Obviamente muchos programas ya tienen mecanismos para evitar este sistema, pero cortará a los que no. Quizzes. Son pequeñas preguntas que a un robot le resulte difícil de contestar. Preguntas como: – “¿De qué color es la leche” – “¿Cuantas patas tiene una vaca?” Etc… Puedes poner la que se te ocurra, pero que un robot no pueda calcular.Obviamente si usan IA pueden deducirlas mejor, pero de nuevo quitamos a todos los robots que no lo hagan.Pronto os enseñaremos cómo hacerlo con Contact Form 7. Captcha. Ya los conocéis, las típicas preguntas automáticas de seguridad. Parecido a lo anterior pero normalmente con un plugin o un servicio externo.CF7 ya no recomienda Really Simple Catcha y recomienda reCaptcha de Google. Podéis usar V2 o V3. Pronto os explicaremos que no es lo mismo, y no sirven para lo mismo.Nosotros solemos usar los Captcha como último recurso porque suelen ser bastante intrusivos y acaban cansando a los usuarios. Además, obviamente los que diseñan los robots estudian cómo romper estos sistemas continuamente, debido a su uso extendido. También podéis usar plugins especializados como Askimet…pero ya son métodos de pago. Así que probad, elegid y, como os recomendamos, no creáis que hay una solución perfecta, ni universal. Es añadir capas gradualmente hasta reducir la entrada de spam a algo “aceptable”.

Diseño Web, Gestores de contenidos

Añadir un recargo en métodos de pago de WooCommerce. Por ejemplo en Paypal.

/

Llevar una tienda online no es fácil. Muchos servicios conllevan unas comisiones que son difíciles de asumir por los pequeños márgenes de los que disponen los comerciantes. En ocasiones, estas comisiones hay que cargárselas al cliente. No queda más remedio (nadie quiere hacerlo per se).Hoy vamos a enseñaros a añadir un recargo en métodos de pagos en WooCommerce. Para ello vamos usar el ejemplo de Paypal. Paypal cobra actualmente 2,9% +0,35€ por transacción. Así que muchos comerciantes optan por añadir un recargo en este sistema de pagos. NOTA: en teoría esto está prohibido en las condiciones de pago de PayPal (punto 5.4, “No aplicará ningún recargo por el uso de PayPal“). Pero sigue siendo una práctica habitual.Obviamente…la responsabilidad de las penalizaciones de PayPal por activar este recargo no son responsabilidad nuestra (sólo enseñamos que es posible). Cómo añadir un recargo en PayPal. Vamos a usar el plugin WooCommerce Pay for Payment. Este plugin te permite añadir un recargo porcentual y/o un recargo fijo en cada uno de los métodos de pago. Calcula primero la parte porcentual y luego añade la parte fija. Para añadirlo en PayPal tenemos que: ir a WooCommerce->Ajustes->Pagos Veremos que ya tenemos una columna llamada Cargo Adicional. Pinchamos en Gestionar. Cerca de la mitad tenemos una sección llamada “Cargo Adicional“. Ahí tenemos que añadir: – El nombre que aparecerá cuando apliquemos el recargo. – El recargo fijo. – La parte proporcional. -Si incluye que impuestos y que tipo de impuesto. Con esto sólo tenéis que hacer pruebas y ver que aparece correctamente en todas las secciones de la tienda.

Diseño Web, Gestores de contenidos, Trucos

Plugin Honeypot para Contact Form 7. Reduce el spam.

/

Una de las maneras de reducir la cantidad de spam que llega a través del plugin Contact Form 7 es este plugin del que vamos a hablar hoy: Honeypot for Contact Form 7. Además, es una de las primeras cosas a probar, porque es invisible para los usuarios, y sólo intenta captar a los robots en su trampa. Honeypot for Contact Form 7. El funcionamiento del plugin es muy sencillo, añade un campo “trampa” que oculta a los usuarios normales. Los robots que no estén programados para identificar esta trampa (las cosas van avanzando), rellenan el campo, como harían con cualquier otro. El plugin identifica como spam y no manda, cualquier contacto que rellene este formulario (porque un “humano” no podría hacerlo). La instalación es como la de cualquier otro módulo, pero la configuración implica algo más. Cuando tengáis el plugin instalado, aparece el campo “honeypot” entre los campos disponibles para elegir. La manera de configurarlo es: Seleccionar el campo Honeypot. Conviene que lo pongáis en medio del formulario, no al principio ni al final. En las opciones, cambiad el nombre de la etiqueta (que por defecto es honeypot-xxx) para reducir las posibilidades que lo detecten. Lo demás no hay que tocarlo, él se encarga de ocultar ese campo. Si queremos podemos marcar la casilla de llevar el CSS al footer, para confundir todavía más a los robots (haciendo que la parte que oculta este campo no esté al lado del campo). En este vídeo mostramos cómo se instala y configura. ¿Es la panacea? No, seguramente te seguirá entrando spam por ese formulario. Pero es una primera “valla” que reducirá la entrada de correos no deseados. Y además: es INVISIBLE para el usuario. es fácil de instalar. se puede combinar con otras medidas anti-spam.

e-Learning, Gestores de contenidos, Soporte, Trucos

Dónde descargar versiones anteriores de Moodle

/

Es difícil tener Moodle actualizado a la ultimísima versión, porque la actualización no es “hacer un clic”. De hecho tampoco es recomendable porque los temas y addons no se actualizan tan rápido como el core, y porque pueden surgir problemas con la última versión. Así que cuando quieres actualizar Moodle te encuentras con que tienes que descargar versiones que no están en su página web. Aquí os dejamos los enlaces para descargar todas las versiones de Moodle. Versiones obsoletas sin soporte (legacy). Versiones sólo con soporte de actualizaciones de seguridad. Versiones con soporte. Versiones más recientes. Desde estos enlaces puedes encontrar la versión o versiones que necesitas y actualizar tu Moodle a la penúltima versión (no recomiendo la última).

Diseño Web, Gestores de contenidos, Sistemas, Trucos

Permisos de carpetas y archivos en WordPress

/

Una pregunta que nos hacen, y nos hacemos muy a menudo: ¿qué permisos necesita WordPress en el servidor para funcionar? Lo primero que hay que tener en cuenta es que esto depende mucho de la configuración del servidor web (Apache, Nginx…) el modo de funcionar etc. Es decir hay muchas configuraciones que pueden afectar a esto. Hablaremos de manera genérica. Nota: el cambio de permisos podéis hacerlos por ssh o por FTP. En breve haremos un vídeo sobre cómo cambiarlos por FTP. Permisos de que necesita WordPress en archivos y carpetas. En la mayoría de los casos: 755 para carpetas y 644 para archivos. En ciertos casos donde la configuración del hosting no está bien realizada, o donde varios usuarios suben ficheros por FTP los mejores permisos son 775 para carpetas y 664 para archivos. En ciertas ocasiones cambiar estos permisos no resuelve los problemas en WordPress porque hay problema de usuarios y grupos en la configuración del hosting. Normalmente el usuario de las carpetas no coincide con el usuario de Apache. Eso debe resolverlo el que gestione el servidor.

Diseño Web, Gestores de contenidos, Soporte, Trucos

WordPress no para de pedir usuario y contraseña de FTP.

/

Problema. En ocasiones nos hemos encontrado con este problema en algún cliente. Estás en el backend (administración), y para acceder algunos apartados pide usuario y contraseña de FTP. Además, cuando intentas instalar un plugin, no deja porque no tiene las credenciales de FTP. Causa y solución. La causa del problema es que los permisos están mal. configurados en este hosting. Pueden ser los permisos de las carpetas (deberían ser 755 directorios y 644 ficheros en la mayoría de los casos) o que el usuario en que se ejecuta la web no tiene permiso para escribir en el directorio. Obviamente ambos están relacionados, pero por temas de seguridad, no podemos dar cualquier permiso a WordPress. Lo primero a probar como solución sería cambiar los permisos por FTP. Grabaremos un vídeo sobre esto, pero es fácil asignar los que hemos dicho más arriba. Si aún así no funciona, lo que debemos hacer es que los administradores del alojamiento nos corrijan el usuario y grupo de los directorios de nuestra web. Deben ser los que corre Apache o el usuario web bajo los que corre Apache. Con este usuario, y los permisos adecuados, WordPress no da problemas. PERO, los administradores puede tardar un tiempo en solucionar este problema, y mientras tanto necesitamos actualizar o instalar componentes. En este caso os damos dos soluciones provisionales. Ambas deberían ser provisionales, y sólo mientras instalamos o actualizamos (luego las quitamos). Si no podemos tener problemas de seguridad. Añadir la siguiente línea a wp-config.phpdefine(‘FS_METHOD’,’direct’); Lo puedes poner debajo de DB_COLLATEPuedes ver más información aquí. Directo fuerza Direct File I/O  en php al transferir ficheros, y a guardarlos con el usuario de Apache,Pero puede abrir agujeros de seguridad si el servidor no está bien configurado.Así que ponemos esta línea, guardamos y deberíamos poder actualizar e instalar lo que queramos desde el backend.Cuando acabemos, quitamos la línea de nuevo. Configurar usuario y contraseña de FTP en wp-config.De nuevo esto crea riesgos de seguridad porque están los datos de FTP en un fichero al que pueden acceder los usuarios (si está mal configurado).Añadimos lo siguiente al fichero (sólo la parte en negrita): define(‘FTP_HOST’, ‘ftp.MIDOMINIO.com’);  > Servidor de FTPdefine(‘FTP_USER’, ‘USUARIO_FTP’);  > usuario FTPdefine(‘FTP_PASS’, ‘LA_CONTRASEÑA’);  >contraseña FTPdefine( ‘FTP_BASE’, ‘/httpdocs/wp/’ );  > Directorio donde tenemos instalado wordpressdefine(‘FTP_SSL’, false); > solo en el caso que tengamos SFTP De nuevo lo quitamos al acabar.

Diseño Web, Gestores de contenidos, Soporte

Las páginas protegidas con contraseña no funcionan en WordPress con caché (plugin, Cloudfront o Cloudflare).

/

Recientemente hemos estado peleando con esto, y os dejamos la solución. Problema. El problema detectado es que no te funcionan las páginas protegidas con contraseña en WordPress. En nuestro caso por más que ponías la contraseña correcta en algunas páginas te la volvía a preguntar. En otras páginas simplemente aparecía el texto sin poner la contraseña. Causa. Para entender lo que está pasando hay que comprender cómo funcionan las páginas protegidas por contraseña en WordPress. Cuando proteges una página, y el usuario pone la contraseña, el truco es que WordPress la comprueba, guarda la contraseña en una cookie llamada wp-postpass_COOKIEHASH donde COOKIEHASH es un número generado (un hash).Para ello va a la url wp-login.php?action=postpass Las causas del error pueden ser varias: Se ha modificado el wp-login.php (por ejemplo para cambiar el acceso de usuario) o alguna redirección o bloqueo no deja llegar a esa página. En tal caso no puede comprobar la contraseña y no funciona.Prueba a acceder a tudominio/wp-login.php para ver si funciona. Se está impidiendo acceder o guardar la cookie wp-postpass_*Esto suele ser por un CDN o caché, lo vemos más adelante. El caché está guardando esta cookie demasiado tiempo y la contraseña ha cambiado.Cambia los tiempos de expiración de las cookies (en concreto la que hemos dicho). La configuración del servidor o de la web está impidiendo que de la página vaya a wp-login y vuelva a la página. Esto está relacionado con los “HTTP referrers“. En estos casos dejando pasar estos en el firewall o quitando cosas como <meta name=”referrer” content=”no-referrer”> de la web se arregla. Obviamente hay alguna causa más pero esto son los principales. Solución si tienes CDN o caché tipo Cloudfront de Amazon o Cloudflare. Si estás trabajando con Cloudfront de Amazon o Cloudflare, la causa seguramente será la cookie. En este caso tienes que ir a la configuración de tu CDN y decir que deje pasar (whitelist) la cookie wp-postpass_*. En Amazon Cloudfront por ejemplo funciona así. Pero debería funcionar en cualquier CDN o plugin de caché. Comprueba también que los HTTP referrer no los está eliminando el CDN, es decir que los deje pasar como los manda el origen (muchos CDN eliminan los headers). Esperamos que con esto se os quiten muchos dolores de cabeza porque es un error de los “raros”.

Diseño Web, Gestores de contenidos

Los sliders no están permitiendo Videos con Autoplay con sonido por restricciones de los navegadores.

/

Hace unos días, en la web de un cliente, intentamos poner un vídeo para que se ejecutara automáticamente al cargar la página (Autoplay). Pero no conseguíamos que se escuchara el sonido. Después de darle unas cuantas vueltas, e investigar un poco, descubrimos la causa y os la dejamos aquí por si os pasa (o nos pasa de nuevo a nosotros). Parece ser que los plugins de slider más comunes, están deshabilitando el sonido en el Autoplay, por restricciones de los navegadores.Los navegadores están intentando “mejorar la experiencia del usuario”, y los usuarios encontraban molesto el que se cargaran las páginas con sonido. Así que han deshabilitado esta opción. Como podéis ver aquí, siempre se permitirá el Autoplay SIN sonido, pero con sonido sólo en ciertos casos muy concretos. Como dice Google “a los usuarios les va a encantar”. A los desarrolladores, y a los clientes, no tanto.

Scroll al inicio