Gestores de contenidos

Diseño Web, Gestores de contenidos, Seguridad, Trucos

Wordfence: un plugin de seguridad para WordPress muy recomendable

/

Como WordPress es uno de los sistemas más usados, y por lo tanto más atacado, en las páginas web, cada vez son más los clientes que se preocupan por la seguridad.  Hoy os recomendamos un gran plugin para cerrar vuestro WordPress y evitar “sorpresas”. Wordfence es un plugin de seguridad con un montón de funciones. Veamos algunas. Lo primero que hace al instalarlo es pedirte un correo de administrador. Lo recomiendo porque te avisará ahí si ha intentado entrar alguien y cualquier otro evento en tu web. Después analiza tu página (como un antivirus) para detectar Malware en el código y posibles cambios en plugins, código de wordpress y temas (comparándoles con una base de datos que tiene). Puede analizar también partes del servidor que no son tu web, como otros directorios, imágenes, código tuyo etc). Cuidado aquí, usad la cabeza, porque si habéis cambiado vosotros el tema o algún plugin puede detectarlo. Este escaneo está programado y es periódico. En el panel de Wordfence te avisa enseguidad de fallos de seguridad como lo que no está actualizado (plugins y temas) o contraseñas débiles de usuarios. También tiene funciones de firewall, bloqueando amenazas tanto de usuarios como de ataques externos con reglas que tiene y que va cambiando en las actualizaciones según salen nuevas amenazas.  A mi me avisó hace poco de una IP que intentaba entrar como administrador. Si yo no acepto, le rechaza.En este firewall también tienes informes de quien entra en tu web, quien son humanos y quien bots, los crawlers de los buscadores, quién y cuando te ataca y mucho más. Ips bloqueadas para acceder a la web, Ips bloqueadas para logarse como usuario…. y mucho más. Además también sirve para mejorar el rendimiento, con una función de caché con un motor propio (con dos opciones por si alguna no funciona bien) que puede mejorar hasta 50 veces la velocidad (dicen). Como bien dicen, en seguridad, “lo que no sabes SI que puede hacerte daño“, es muy recomendable instalar algo como esto en cuanto la web tiene un buen número de accesos. Podéis ver un gráfico de ataques diarios en la portada de su web. Better safe than sorry. Y todo esto es GRATIS. http://vimeo.com/70908504

Diseño Web, Gestores de contenidos

Activar un modo de mantenimiento en WordPress

/

Esto es algo que no se por qué WordPress no tiene por defecto. Si tienes una página online activa, pero quieres hacer modificaciones que puedan llevar algo de tiempo, los clientes pueden seguir viendo esas modificaciones porque no se puede poner en modo mantenimiento. Hoy os dejamos un plugin para hacer justo esto: activas un modo en el que el usuario normal vea un mensaje del estilo “Estamos haciendo unas mejoras, pronto volveremos online” pero los administradores podrán “logarse”, hacer y ver todos los cambios necesarios. El plugin es WP Maintenance Mode (sorpresa), y la instalación es sencilla. Instala el plugin desde el repositorio de plugins o subiéndo la descarga del mismo a tu web. Después actívalo y vete a la configuración. Ahí podrás activar el modo mantenimiento y varias otras opciones muy útiles como el tiempo que va a estar activo, un contador, un formulario de contacto, una página de landing para llevarles a otro lado etc etc. Puedes poner iconos de redes sociales, cambiar los colores y el fondo y casi cualquier cosa que puedas imaginar. Además en la parte de administración tienes un mensaje constante recordándote que está activado el modo mantenimiento. MUY completo aunque nosotros usamos sólo las opciones básicas. Os lo recomiendo para vuestras páginas de wordpress, instaladlo, dejadlo desactivado y activadlo cuando lo necesitéis. Una manera muy útil de decir al cliente “déjame un rato que tengo que trabajar” jejejeje.  

Compartir, Gestores de contenidos, Redes Sociales, Trucos

WordPress: problemas con las imágenes al compartir en Facebook

/

Hace unos días un cliente ha tenido problemas con este tema. En concreto que al postear los artículos de su blog o página de WordPress, la imagen mostrada en Facebook no era la del artículo. Por si os ocurre lo mismo os explico cómo solucionarlo. La razón, en su caso, era que las imágenes destacadas eran más pequeñas que las que requiere Facebook (en el momento de escribir este artículo mínimo 200 x 200 px). Puede haber muchas más razones, lo mejor es que lo comprobéis poniendo la url del enlace en el link que os dimos en este artículo para desarrolladores. Ahí os dirá exactamente los errores que encuentra. Cuando detecta un error se va a la imagen que el considere correcta más cercana (que puede ser de otro artículo o incluso de la portada de la web). El problema es que Facebook no está todo el rato mirando tu web, sino que guarda la miniatura en un “caché”. Y si pusiste una imagen no adecuada, por más que lo arregles sigue manteniendo la errónea. Solucionarlo manualmente: Para arreglar este problema vete al enlace de desarrollo una vez cambiada la imagen a una adecuada. Si le das a que relea el contenido verás que sigues con el problema. Dale dos veces al botón y, por alguna razón extraña, en el segundo toque aparecerá el enlace con la imagen correcta. Ten en cuenta que si no te vuelves a equivocar en el tamaño (o la razón que indicara) ya no tendrás problemas. Solucionarlo con un plugin: El plugin que hemos recomendado otras veces para SEO, WordPress SEO by YOAST, tiene una opción debajo de cada página y artículo para indicarle qué imagen quieres que aparezca en Facebook. Sólo tienes que cambiarla. Algo incómodo hacerlo en cada post, yo prefiero que lo coja bien automáticamente con la imagen destacada, pero si se resiste es una solución. En Facebook:  Al publicar el enlace Facebook te deja cambiar la imagen del post. Algo que vuelve a ser una lata si escribes mucho, y que no vale para publicaciones automáticas, pero lo pongo por si os sirve de solución momentánea. Eso si, aún haciéndolo así, al compartir vuelve a mostrar la imagen que le da la gana, así que recomiendo una de las anteriores. Espero que os ayude.

Diseño Web, Gestores de contenidos, Seguridad, Sistemas

Protege tu WordPress de ataques XML-RPC

/

El viernes hablaba con un cliente contándole que WordPress es una de las soluciones más usadas para los blogs y Webs por su facilidad de uso y su buen funcionamiento. Sin embargo, esto también lo conocen los hackers….y es una de las plataformas más atacadas. Por lo tanto deberías tener tanto el WordPress como los plugins lo más actualizado posible, y si tu web tiene bastante tráfico (por lo tanto también atrae bastantes hackers) seguramente tendrás que añadir ciertas medidas extra como esta que explicamos hoy (y que nosotros usamos en un cliente hace unos meses). En unos días también os explicaremos algunos de los plugins más usados para reforzar la seguridad de tu web con WordPress, hoy nos dedicaremos a los ataques Xml-RPC, un ataque muy conocido pero que aún así seguro que a algún lector le viene bien. Es un protocolo que usan algunos servicios y que WordPress hizo bien en activar….hasta que lo usaron para atacar. La solución más sencilla es añadir a tu fichero .htaccess un código para desactivar xml-rpc. Si tu web es simple esto debería valer. Te pongo el código: <FilesMatch “^(xmlrpc\.php)”> Order Deny, Allow Deny from all </ FilesMatch> Si no os atrevéis con editar el fichero htaccess podéis añadir un plugin que lo haga por vosotros como este. El problema de este código es que podrías necesitar xmlrpc para algún servicio, ciertas cosas podrían dejar de funcionar dependiendo de la complejidad de tu web. Puedes probar estas variantes:  Esta mira de dónde viene el ataque: <IfModule mod_setenvif.c> <Files xmlrpc.php> BrowserMatch “Poster” allowed BrowserMatch “WordPress” allowed BrowserMatch “Windows Live Writer” allowed BrowserMatch “wp-iphone” allowed BrowserMatch “wp-android” allowed BrowserMatch “wp-windowsphone” allowed   Order Deny,Allow Deny from All Allow from env=allowed </Files> </IfModule> Si usas JetPack deberías añadir estas modificaciones. : <FilesMatch “^(xmlrpc\.php)”> Order Deny,Allow # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 Allow from 209.15.0.0/16 Allow from 66.155.0.0/17 Deny from all </FilesMatch> Hay quien recomienda alguna IP más para Jetpack…experimentad con cuidado. Podéis añadir a este código anterior nombres de dominio también para el Allow. Un mejor código, según lo indicado en esta página, para evitar otro tipo de ataque también sería: <FilesMatch “^(xmlrpc\.php|wp-trackback\.php)”> Order Deny,Allow # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 Allow from 209.15.0.0/16 Allow from 66.155.0.0/17 Deny from all </FilesMatch> Con esto deberías estar bastante protegido contra este ataque. Si administras tu propio servidor puedes también usar Fail2Ban, un plugin con muchas opciones al que puede que le dediquemos un artículo pronto. Una configuración para este ataque con fail2ban como solución la puedes ver aquí.

Diseño Web, Gestores de contenidos, Soporte

Prestashop: módulo gratis para no mostrar artículos sin stock

/

Hace poco un cliente nos pidió que los productos sin stock en su tienda de Prestashop no aparecieran en venta al público. No le gustaba mostrar productos con cero de stock. Una petición bastante razonable…pero que no se puede configurar en Prestashop por defecto. Es un gestor impresionante pero que le faltan ciertas cosas obvias a veces. Buscando encontramos este gran módulo gratuito desarrollado por la comunidad y nos ha funcionado de maravilla. Nota: El módulo ahora es de pago y se puede descargar aquí. En el blog podéis ver cómo hacer lo mismo por triggers en la base de datos. El módulo se puede configurar con unas opciones básicas pero de manera sencilla lo que hace es no mostrar los productos que no tienen stock. En los productos con combinaciones, si la combinación por defecto no tiene unidades muestra la siguiente. Además permite seleccionar en la página del producto los que quieras mostrar aunque no tengan stock. Funciona también con categorías. Está disponible para todas las versiones de Prestashop activas hasta ahora.    

Diseño Web, Gestores de contenidos

Módulo de cookies para Prestashop

/

Uno de los posts más seguidos últimamente en el blog es el plugin asesor de cookies para WordPress. Es lógico porque ahora la ley obliga a poner este aviso (que me parece ridículo por cierto….pero son lentejas). Hoy os dejamos uno para Prestashop, también gratuito. El plugin European Union Cookie Law  es de mypresta.eu,  una página con bastantes módulos útiles y gratuitos y algunos de pago muy interesantes. El módulo es sencillo, es un editor de html en el backend donde tenemos que poner el texto que queramos, te deja elegir los colores de fondo y sombra de la caja de aviso y si la quieres poner en la parte superior o inferior de la página.  

Diseño Web, Gestores de contenidos

Mqtranslate como alternativa a qtranslate en WordPress

/

Uno de los mejores plugins multilenguaje (quitando gustos) que existían para WordPress era qtranslate. Y digo era porque después de unos años trabajando en el proyecto el desarrollador no parece poner más versiones de este plugin. Esto ha hecho que al actualizar WordPress no funcione la parte del backend y no sea fácil escribir en varios idiomas (si el frontend….pero ¿cuanto tiempo?). Buscando soluciones descubrimos que, cuando el proyeto qtranslate estaba vigente surgió un “fork”, un proyecto alternativo basado en el mismo pero con modificaciones: mqtranslate. Hemos probado este plugin y es totalmente compatible y, según sus desarrolladores intentarán mantener su continuidad en el tiempo. Podéis ver aquí en inglés los pasos de migrar de qtranslate a mtranslate pero os indicamos un resumen. 1) Instalar el plugin mqtranslate (no activar) 2) Deshabilitar el plugin qtranslate 3) Habilitar mqtranslate 4) Pinchando en Settings de mqtranslate en el menú de plugins, en”Languages” habilitar los que necesitamos. 5) Ir a settings – languages 6) Abrir “Advance Settings” (haciendo clic en show) 7) Ir a “Settings Migration” y seleccionar “Import Settings from qTranslate” 8) Salvar 9) Comprobar arriba del todo que el idioma por defecto es el que queremos y el orden. 10) Activar el widget de mqtraslate

Gestores de contenidos, Seguridad, Sistemas

Instalar Latch en varios sistemas

/

El otro día hablábamos sobre una de las soluciones de seguridad que más nos ha gustado últimamente: Latch. Una gran idea (aunque sigue sin gustarme la dependencia de los servidores de Elevenpaths). Hoy os quiero dejar algunos manuales para usarlo en vuestras cuentas online, en las que más uséis tipo WordPress, Prestashop, Windows etc. Eleven Paths ya ha creado unos manuales muy completos para la instalación en estos servicios. Además puedes descargar los plugins desde su cuenta de Github: https://github.com/ElevenPaths. Pero os dejo alguna experiencia de algún otro blog: WordPress: El plugin lo puedes descargar del repositorio de plugins de WordPress o de la cuenta de Github de Elevenpaths (enlace arriba).  La instalación es tan sencilla que es mejor usar el manual de Elevenpaths: SSH (VPS): Puedes seguir los pasos de este blog donde está muy bien explicado: http://blog.dmgweb.es/instalar-latch-en-un-vps-ssh/  FTP:  Otra buena explicación en este blog: http://www.securitybydefault.com/2013/12/configurar-latch-para-proteger-un.html  Windows: ¿Quieres proteger tu Windows con Latch para que nadie entre en tu ordenador cuando no lo usas? Aquí tienes explicado cómo descargar el plugin e instalarlo: http://blog.elevenpaths.com/2014/07/news-el-plugin-de-latch-para-windows-ya.html Aquí tienes también una versión compatible con Active Directory. Prestashop: Puedes seguir este manual en inglés o ver las instrucciones del manual de Eleven Paths: Todavía no hay más servicios que me interesen a mi, aunque curiosamente (no tengo) Tuenti ya lo ha activado. Ójala Twitter, Facebook etc lo activen algún día.

Diseño Web, Gestores de contenidos, Internet, Navegadores

Bloquear a la prensa asociada al AEDE

/

Uno de los instigadores de las nuevas modificaciones y el endurecimiento de la LPI es la AEDE (Asociación de Editores de Diarios Españoles). Gracias a estos medios asociados se han sacado unas leyes estúpidas que penaliza el tener enlaces en una red que consiste precisamente en eso….enlaces continuos. Como poco podemos hacer ante un gobierno que legisla a decretazo e ignora a todos, un método que se está proponiendo de protesta es bloquear a los medios asociados al AEDE. ¿Quieren penalizar los enlaces de nuestros blogs etc? Nosotros bloqueamos los enlaces a los suyos para que NI APAREZCAN. Ya veremos cómo se lo toman cuando el número de visitas a sus páginas decrezca. su SEO se vea afectada etc etc. Internet es de todos  Y SE HACE ENTRE TODOS. No a decretazo para sacar dinero. Para ello podemos usar varios métodos: CHROME/CHROMIUM y derivados. AEDE blocker: Extensión que bloquea las páginas asociadas en este navegador, sin tener que modificar nada. FIREFOX: Podemos usar Leechblock. Podéis ver cómo aquí Si además tienes un blog como este puedes hacer algo más…puedes instalar un plugin en WordPress que bloquee el acceso desde el blog, las url en los comentarios, los enlaces etc etc. https://wordpress.org/plugins/canon-aede/    

Diseño Web, Gestores de contenidos, Trucos

Listas negras de comentarios en WordPress para evitar spam

/

Si has movido tu página, y empiezas a recibir visitas, verás que el porcentaje de spam sube proporcionalmente. De hecho para mi es una medida del éxito de tu página: cuanto más spam, más visible y más accesible está tu página. PERO ES UNA LATA. Para evitar el spam siempre puedes usar módulos de pago como el famoso Askimet…pero yo no soy mucho de gastos no necesarios. Prefiero métodos gratuitos que además te permitan gestionarlos personalmente. Cuando un cliente empieza a tener spam en WordPress, normalmente en los comentarios, le recomiendo que ponga un plugin de Captcha. Esto suelo reducir bastante el número de comentarios de este tipo que entran. Pero últimamente, en nuestra propia página, el spam se estaba volviendo mucho más listo y estaba entrando muchísimo spam incluso con el captcha. Así que hemos empezado a usar la lista negra de WordPress con muy buenos resultados (sin casi spam). Para ir a la lista negra de comentarios en WordPress tenéis que ir a Ajustes>Comentarios y bajar hasta Lista de negra de comentarios. En ese recuadro podéis ir añadiendo palabras (una por línea) que queréis que si aparecen mande directamente el comentario a spam. Lo bueno es que esta plaga suele ir por modas, y cada cierto tiempo todo el spam repite 2,3 o 4 términos (gold, platinum, warhammer…). Así que según entren nuevo spam añades la palabra y lo mete diretamente en el apartado spam de comentarios. Probadlo es sencillo y muy eficaz. Aunque no lo recomiendo, también podéis prohibir direcciones de IP o URL. No recomiendo las direcciones de IP porque si son dinámicas podéis bloquear futuros comentarios reales. Nota: os recomiendo que todos los comentarios tengan que ser aprobados. Mucho spam intenta poner algo “lógico” para que lo apruebes y así tener vía libre luego. Para los que no quieran pasar tiempo en poniendo sus palabras existen plugins que automáticamente pone la IP del comentario que marcas como spam en la lista negra (este por ejemplo). También tienes esta lista que se actualiza cada cierto tiempo. Podéis verlo aquí.

Scroll al inicio