Seguimos viendo a la gente (clientes, lectores y gente que comenta en grupos de Facebook) guardar las contraseñas en el navegador. Algo que nos sorprende mucho.
Ante la pregunta de “dónde guardas tus contraseñas” muchos responden “en el navegador”. Y si, es muy cómodo, pero creemos que no se dan cuenta de lo fácil que es sacar esas contraseñas.
Es muy inseguro, y sólo debería hacerse en casos en los que la web no tiene importancia. Nunca en sitios web con información importantes (correo, redes sociales, medios de pago …).
Y como la mejor muestra de esto es una demostración, os hemos grabado un vídeo de cómo se puede sacar la contraseña que está guardada en un navegador (cualquiera, Chrome, Firefox, el que sea…).
He cronometrado y tardamos algo menos de 10 segundos en sacar una contraseña con este método. Y lo peor es que no necesitamos saber el usuario, ya nos lo da el navegador.
Os podéis ir un segundo de vuestro puesto de trabajo u ordenador, y alguien que quiera la contraseña puede descubrirla, y volver a dejar todo como estaba sin que te des cuenta.
Conclusión: No guardéis contraseñas mínimamente importantes en el navegador.
Os presentamos otra página web que acabamos de hacer para un cliente habitual: Komorebi.tv.
Es una página para poder adquirir y ver cursos online, algo muy demandado hoy en día por el distanzamiento social y las medidas de confinamiento. Muchos profesionales, dado que no pueden dar clase presencial como querrían, están optando por subir sus conocimientos a medios digitales y compartirlos. Además, los usuarios tienen más tiempo para poder dedicarlo a formarse, y ya están acostumbrados a la formación online (antes, en España, la gente era bastante reacia).
Así que cada día más clientes nos están pidiendo:
Tiendas online.
LMS (gestores de aprendizaje). Es decir webs para gestionar cursos y alumnos.
En este caso Komorebi es una plataforma de formación online para contratar y gestionar cursos de toda índole. Entrenamiento personal, artes marciales, salud o hábitos saludables.
Y os preguntaréis, como nosotros, ¿qué es Komorebi? Os dejamos la explicación del cliente que aparece en la web.
Komorebi es un término japonés sin traducción literal. La lengua nipona tiene una larga tradición de estas palabras simples con profundo significado. Una sola palabra que describe muchas cosas a la vez. Komorebi es el efecto producido por los rayos del sol al pasar entre las hojas de los árboles. Genera un efecto de luces y sombras de inigualable belleza. Casi siempre pasa inadvertido para las personas que viven rápido y no prestan nada de atención a lo que nos rodea. Pero si somos capaces de prestar atención a estas pequeñas cosas, todo en nuestra vida cambia. Komorebi es definitivamente un concepto maravilloso.
Este verano, aprovechando el problema de los ERES, los pagos de la Seguridad Social etc se han estado propagando nuevos timos de la modalidad vishing. En este caso usando la plataforma de pagos Bizum y “supuestos” pagos de la Seguridad Social. Como la gente necesita dinero, y está desesperada, es el caldo de cultivo perfecto para estas estafas.
Bizum es un método de pago por el que se puede asociar la cuenta bancaria a un numero de teléfono y hacer un pago a ese número, a otra persona, a través de la aplicación. Se está volviendo muy común entre particulares (muchos bancos no permiten a las empresas que los usen).
Aprovechando esto, los “maleantes” han aprovechado esta aplicación y los ERTEs. El timo era el siguiente:
Una persona, normalmente afectada por ERTE o con problemas con la Seguridad Social, recibe un mensaje de una supuesta trabajadora de la SS, indicando que está pendiente un pago, y que se va a usar la aplicación Bizum.
Para poder recibir el pago, tienen que darse de alto en esta aplicación.
Más tarde, reciben otro mensaje para realizar una transferencia de “confirmación” de la aplicación. Cuando la persona pincha en el enlace, se hace un pago a los estafadores.
En verano se detuvieron a personas que estaban realizando estas estafas, pero este timo lleva ya tiempo realizándose, con diferentes excusas:
🚨#GDTAlerta🚨Oleada de #ciberestafas mediante apps para pagos desde el móvil. Contactan mediante whatsapp, e-mail o llamada alegando una devolución pendiente de la Seguridad Social. Realmente intentarán realizarnos un cobro. Ninguna entidad pública hace reintegros por este medio pic.twitter.com/WMhU4nbmvF
Hace unos días salieron otros casos sobre “supuestas” ayudas a las tasas escolares.
Cómo prevenir estos timos.
Daros cuenta que las instituciones como la seguridad social no usan métodos de pago como Bizum. Es obvio..son inseguros (como véis) y además, ni vana poner un móvil asociado a una cuenta.
En caso de duda, primero investigad. En seguida se ven timos como este con sólo “googlear”.
Bloquead el número, no respondáis ni deis ninguna información.
Recordad que, si habéis sido objeto de este timo, es que seguramente alguien ha visto que estabais en una situación económica necesitada. Han estado haciendo “ingeniería social”. No compartas esa información en Internet.
Algo muy común en los gestores de contenidos es tener que regenerar las miniaturas. Esto significa volver a crear las miniaturas a partir de la única imagen que solemos subir. Ya sea porque alguna tiene error, o porque hemos cambiado los tamaños.
En Prestashop también existe esta opción, y se puede hacer “de golpe” (si tienes muy pocas), o por tipos (categoría, productos etc). Aún así, en cuanto tienes un buen número de productos, es muy común que te salga el error “Solamente una parte de las imágenes han sido regeneradas. La conexión con el servidor se interrumpió antes de finalizar.“
La razón es que los servidores tienen un tiempo que dejan que los procesos se ejecuten sin recibir respuesta. A partir de dicho tiempo ocurre lo que llamamos un “timeout” y el proceso se da por “colgado“. Esto ocurre para evitar tener procesos abiertos indefinidamente que bloqueen el servidor.
Puedes intentar subir los parámetros de php que regulan este timeout, los max_execution_time y max_input_time. Pero ya te digo que, en un alojamiento compartido, si tienes suficientes productos, es difícil que esto te resuelva el problema.
Es por ello que este plugin que recomendamos hoy es tan útil. Lo que hace es ir regenerando miniaturas por Ajax, donde el proceso es cada miniatura (o conjunto de ellas) y no todas. Consigue así evitar el error, y además otras cosas útiles como a) ver el estado de la regeneración b) pausarla y reanudarla cuando quieras.
Plugin gratuito para regenerar miniaturas: imageRegeneratorPrestashop.
Esta es una de las maravillas de tener una comunidad que aporte al gestor de contenidos. Este autor ha creado un módulo totalmente gratuito, válido para Prestashop 1.6 y 1.7 (1.6 en adelante). Y funciona muy bien.
Es muy sencillo de usar: instálalo, actívalo y tienes un botón con las opciones de regeneración. Además, como os dije, podéis pausarlo y ver su proceso. Muy fácil, muy sencillo y muy eficaz.
Cuando empiezas un proyecto digital, una de las cosas más importantes que necesitas es un dominio. Es lo que escribe la gente cuando va a ir a tu página web, y el final de tus direcciones de correo electrónico. Y suele coincidir con tu marca comercial.
En demasiadas ocasiones nos encontramos que los clientes, cuando empezaron sus proyectos, dejaron que su proveedor informático, su amigo o su cuñado compraran el dominio. Por ignorancia o por prisas. Es decir, no está a su nombre.
Y en casi el 100% de esos casos, llega un momento en que el amigo, el proveedor o lo que fuera, deja de estar accesible, interesado o en buenos términos con el cliente. Tenemos un problema.
No es fácil recuperar la gestión de ese dominio. Aunque la otra parte colabore, al menos es tedioso.
Por eso SIEMPRE aconsejamos a los clientes que compren ellos los dominios de sus proyectos digitales. Con asesoramiento nuestro si hace falta. Pero a su nombre. Luego pueden ceder la gestión del mismo a terceros, pero siempre debe estar a nombre del dueño verdadero.
El coste es mínimo, son unos 15€ al año, y ahorra muchos problemas futuros.
Al fin y al cabo, es vuestra marca, no deis vuestra marca a nadie.
Hace unos días un cliente nos ha contactado porque la empresa que les gestionaba la web no les había configurado una copia de seguridad. Y querían una solución. Les contamos lo que vamos a contaros hoy aquí.
Las copias de seguridad de una web en WordPress puedes tenerlas de dos maneras:
Si tienes control de tu servidor (un servidor dedicado) puedes tener sistemas de copia de seguridad externos, con copias incrementales, con gestores de copias etc. Por ejemplo nosotros tenemos un servidor dedicado a las copias de seguridad, con un programa que gestiona las mismas, así como sus recuperaciones. Es más cómodo, más seguro y es independiente de WordPress. Funciona aunque éste no funcione o esté dañado, y permite recuperar las páginas de nuevo independientemente de tu CRM.
Lo más normal es que no cumplas el punto 1, porque estés usando un alojamiento (hosting) compartido. En ese caso, puedes usar plugins de backup (copia de seguridad). De hecho, siempre recomendamos hacerlo aunque dispongas del punto 1. Porque nunca hace daño tener dos sistemas de respaldo. Y porque los propios usuarios pueden usar este sistema y, muchas veces, recuperar la web, o hacer copias antes de un cambio, sin tener que llamar a los técnicos.
La copia de seguridad que se configure en el plugin puede ser externa (mejor) o interna (en los propios directorios del alojamiento). La segunda opción es peor…pero a veces no queda más remedio.
Hoy os hablamos de los plugins de copia de seguridad que más usamos en diferentes proyectos para que podáis tenerlos como referencia rápida.
Plugins de backup para WordPress.
BackWPup: Es el plugin que más usamos, y más tiempo llevamos usando, sin duda. Te permite crear diferentes tareas perfectamente configurables. Por ejemplo puedes crear una tarea mensual, una semanal, una completa, una sólo de base de datos… las opciones son enormes. Puedes elegir de qué hacer la copia (ficheros o base de datos), dónde (en el alojamiento o en sistemas externos), cada cuanto, excluir ficheros o directorios y mucho más. Además, puedes crear alertas que te avisen cuando haya errores. Restaurar: te permite descargar la copia de seguridad y subirla manualmente. Algo que para la mayoría de los usuarios puede ser peor…pero a los desarrolladores nos gusta.
Updraft Plus: nuestra segunda opción. Cuando el anterior no funciona porque la tarea se queda colgada, usamos este. Está pensado para usar servicios externos pero también permite hacer copias de seguridad locales. Si quieres uno sencillo de usar puede ser una buena opción porque permite crear respaldos, y restaurar, con un sólo clic. Y luego también te deja personalizarlos al máximo. Rápido, fácil y sencillo. Por eso tiene tanto éxito. Restaurar: puedes restaurara ficheros o base de datos de manera conjunta o independientemente y desde la interfaz del plugin.
BackupGuard: el plugin permite hacer copias de seguridad locales y en la nube, y restaurarlas de manera sencilla. Con muchas opciones de respaldo.
Vaultpress: sistema de copia de seguridad de Jetpack. Es de pago pero permite copias de seguridad a tiempo real o diarias y puede ser interesante para webs críticas.
Estos son de los que más nos fiamos y hemos probado. Si, en el futuro, probamos más, los incluiremos aquí.
Hace ya muchos años que escribimos este blog, tanto para que nos conocieran, y para guardar soluciones técnicas para referencia futura. Primero fue sólo texto, luego abrimos el canal de Youtube de SmythSys.
Y no nos va nada mal la verdad. Consume bastante tiempo escribir artículos y grabar y editar vídeos, pero conseguimos una pequeña compensación económica ocasional por anuncios y por contenido subvencionado. Y además nosotros usamos mucho nuestros propios artículos cuando damos soporte o explicamos cosas a los clientes.
Sois muchos los que nos agradecéis las soluciones que aquí mostramos (gracias a vosotros por leernos). Otros que nos mandan consultas (lo siento, no tenemos tiempo para atender consultas por el blog). Y otros que se confunden y creen o que somos de Microsoft, o que somos las empresas de las que hablamos.
Obviamente, este contenido se referencia y clona en algún otro sitio de la red. En ciertas ocasiones con las referencias requeridas (de nuevo gracias), y así lo hacemos nosotros cuando usamos contenido de otros. En otros casos obviamente sin seguir las reglas de decoro mínimas en la red (que se le va a hacer).
Lo que no nos había pasado nunca es que nos copiaran los vídeos de Internet. Descaradamente.
Así que hoy, nos hemos visto sorprendidos al tener un aviso de Youtube indicando que podía haber contenido nuestro en otros canales y podía incumplir las reglas de copyright. Y cito:
The first rule of copyright
Creators should only upload videos that they have made or that they’re authorised to use. That means that they should not upload videos that they didn’t make, or use content in their videos that someone else owns the copyright to, such as music tracks, snippets of copyrighted programmes or videos made by other users, without necessary authorisations.
Hemos entrado en los vídeos que nos indicaba la herramienta y la sorpresa ha sido enorme. Los vídeos eran de gente que había dado al play a nuestros vídeos de Youtube, y los habían grabado y subido en sus canales. Con nuestras imágenes, nuestra voz (bueno…uno la tapó con música) y todo. Sin nada de reparo…pones el vídeo de otro y lo subes a tu canal….
Chicos…así no. Si queréis subir vídeos, tenéis que “currároslos” vosotros. No se clona el esfuerzo de los demás.
Mirad algunas de las imágenes (destacamos la ortografía horrible del título en rojo..¡madre mía!)
Obviamente hemos reclamado el contenido. Nos lleva mucho tiempo preparar estos vídeos, editarlos y subirlos, para que luego otros los usen sin consentimiento.
Pero lo tomamos como un halago, porque…
¿No dicen que la copia es el mayor halago que hay?
Hace unos días escribimos cómo crear una regla anti spoofing de dominio para correos de Office 365. Spoofing de dominio es el caso en que suplantan una dirección de tu organización, de algún dominio que te pertenezca. La dirección que aparece en el remitente es una dirección aparentemente tuya. Es el más típico y peligroso (porque para identificarlo hay que leer las cabeceras del correo).
Pero existe otro tipo de spoofing que también es dañino en las organizaciones por “culpa” de Outlook: el spoofing de nombres(Display Name Spoofing). En este caso el correo llega de una dirección externa y, debería ser fácil de identificar. PERO Outlook oculta la dirección de correo del remitente y muestra sólo el nombre. Lo que aparece en el campo FROM. Los usuarios sólo ven el nombre, a menos que pinchen en él.
Y lo malo es que tu puedes crear una cuenta de correo cualquiera y ponerte el nombre que te de la gana. Es decir, que tu dirección puede ser Pepito@gmail.com y en tu campo De: (From) puedes poner que eres Bill Gates, o Donald Trump. No requiere el más mínimo conocimiento.
Si este cambio lo haces con el nombre del director de una empresa, y la persona que lo recibe no comprueba la dirección de e-mail, podemos tener un disgusto. No confiemos en la suerte y automaticemos estas alertas para reducir riesgos.
Cómo crear la regla anti spoofing de nombres.
Va a ser muy similar a las que creamos en el artículo anterior:
Vamos al Centro de Administración de Office 365->Mostrar Todo-> Exchange
En la barra de la izquierda pincha en Flujo de Correo.
En reglas pincha en el signo más para crear una nueva y en Crear una nueva regla.
Pincha en Más opciones debajo de las condiciones.
Ponle el nombre que quieras (anti spoofing o similar).
En *Aplicar esta regla si… escoge “El remitente” -> “Es externo o interno” -> “Fuera de la organización” y dale a Aceptar.
Pincha en “Agregar condición“.
Escoge “Un encabezado de mensaje”->”Incluye cualquier de estas palabras” . Ponemos en el campo (“El encabezado”) From (tiene que estar en inglés porque viene así en el encabezado) y en “Incluye” ponemos el nombre de la gente que pueden ser impersonalizadas (los directivos por ejemplo). Pon todos porque se va a mirar si es uno O el otro (no a la vez).
Pincha en “Agregar condición“.
Escoge “El destinatario”->”Es externo o interno”->”Dentro de la organización”.
Ya tenemos las reglas para identificar el spoofing (un correo que viene de fuera, simula el nombre de un directivo de la empresa y se envía a alguien de nuestra organización).
Ahora vamos a ver lo que hacemos con esos correos. En *Hacer lo siguiente… escogemos “Anteponer al asunto del mensaje” y ponemos el prefijo que queramos (por ejemplo [POSIBLE SPOOFING]).
Pinchamos en “Agregar Acción“.
Escogemos “Aplicar una declinación de responsabilidad al mensaje”-> Anteponer una renuncia de responsabilidad“.
En Escribir texto ponemos el aviso que queramos. Os dejamos un ejemplo:
<p><div style=”background-color:#FFEB9C; width:100%; border-style: solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:’Calibri’; color:Black; text-align: left;”><span style=”color:#9C6500″; font-weight:bold;>PRECAUCIÓN:</span> Este correo se ha enviado desde servidores externos a la empresa. No abra enlaces ni adjuntos a menos que esté seguro que es legítimo. En caso de duda borre el mensaje.</div><br></
En “Seleccionar uno” escoger “Encapsular”.
Hecho…ya tenemos una protección ante el spoofing de nombres.
Los plugins de caché son muy útiles para mejorar el rendimiento de nuestra página en WordPress. Pero, cuando dan problemas, se pueden poner muy pesados. Tanto, que no sea posible quitarlos desde el backend y sea necesario desinstalarlos de manera manual.
Ya escribimos cómo hacer esto con WC Total Caché, hoy os dejamos el proceso para otro muy conocido WP Rocket.
Cómo desinstalar WP Rocket de manera manual.
Tienes que:
Eliminar la carpeta del plugin de /wp-content/plugins/
Borra la carpeta /wp-content/cache/
Borrar la carpeta /wp-content/wp-rocket-config/
Borra el fichero /wp-content/advanced-cache.php
Edita el fichero htaccess y borra cualquier cosa entre #BEGIN WP ROCKET y #END WP ROCKET
Edita el fichero wp-config.php de la raíz de tu web y cambia el campo define(‘WP_CACHE’, true) a define(‘WP_CACHE’, false)
Borra la entrada wp_rocket_settings y la entrada transients and cronjob en la tabla Options de tu base de datos.
Con eso ya debería estar todo borrado. Más información aquí.
Ya hemos tenido varios casos de clientes que reciben un correo de spoofing, enviado desde un alto directivo de la empresa a una persona encargada de finanzas, indicando que haga una transferencia a una cuenta. El problema es que (deben hacer bastante ingeniería social), las personas son las indicadas, y los correos tienen bastante aspecto de ser reales. Están cada vez mejor conseguidos.
Evidentemente es peligroso. Si alguien comete un error, podemos tener un disgusto.
Para evitarlo hoy os enseñamos a crear una sencilla regla en el administrador de Office 365 para identificar estos correos de spoofing para el caso del dominio. Es decir suplantan el correo con el dominio incluído. Hay otros tipos y los trataremos otro día. Esto no quita que deberíais siempre revisar la configuración del correo, especialmente los registros SPF, DKIM y DMARC.
Para crear una regla anti spoofing en Office 365 vamos a hacer lo siguiente:
Vamos al Centro de Administración de Office 365->Mostrar Todo-> Exchange
En la barra de la izquierda pincha en Flujo de Correo.
En reglas pincha en el signo más para crear una nueva y en Crear una nueva regla.
Pincha en Más opciones debajo de las condiciones.
Ponle el nombre que quieras (anti spoofing o similar).
En *Aplicar esta regla si… escoge “El remitente” -> “Es externo o interno” -> “Fuera de la organización” y dale a Aceptar.
Pincha en “Agregar condición“.
Escoge “El remitente”->”Tiene un dominio que es”-> Y pon el o los dominios de tu organización (para que vea si se ha hecho spoofing).
Pincha en “Agregar condición“.
Escoge “El destinatario”->”Es externo o interno”->”Dentro de la organización”.
Ya tenemos las reglas para identificar el spoofing (un correo que viene de fuera, simula tener nuestro dominio y se envía a alguien de nuestra organización).
Ahora vamos a ver lo que hacemos con esos correos. En *Hacer lo siguiente… escogemos “Anteponer al asunto del mensaje” y ponemos el prefijo que queramos (por ejemplo [POSIBLE SPOOFING]).
Pinchamos en “Agregar Acción“.
Escogemos “Aplicar una declinación de responsabilidad al mensaje”-> Anteponer una renuncia de responsabilidad“.
En Escribir texto ponemos el aviso que queramos. Os dejamos un ejemplo:
<p><div style=”background-color:#FFEB9C; width:100%; border-style: solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:’Calibri’; color:Black; text-align: left;”><span style=”color:#9C6500″; font-weight:bold;>PRECAUCIÓN:</span> Este correo se ha enviado desde servidores externos a la empresa. No abra enlaces ni adjuntos a menos que esté seguro que es legítimo. En caso de duda borre el mensaje.</div><br></
En “Seleccionar uno” escoger “Encapsular”.
Ya lo tenemos, puedes poner la prioridad que quieras a la regla y pinchar en aceptar.
Con esto puedes comprobar que funciona, pero tienes una regla bastante segura que, cuando llega un correo que cumple esas condiciones (externo imitando que es interno) modifica el asunto con [POSIBLE SPOOFING] delante y pone, encima del texto del correo, una aviso alertando que puede ser spoofing e indicando a los usuarios qué pueden hacer.
Este sitio Web utiliza cookies propias y de terceros para mejorar su experiencia de navegación, realizar tareas de análisis y ofrecer un mejor servicio. Al pulsar el botón Aceptar nos da su consentimiento a nuestra política de cookies. Rechazar hará que no se carguen las cookies esenciales, pero puede afectar a su experiencia de navegación. Puede también configurar las opciones de cookies.
Cookies necesarias para que la web funcione correctamente. Esta categoría incluye cookies que permiten las funciones básicas de la web, así como los servicios de seguridad. Estas cookies no recogen información personal.
Estas son cookies que no son necesarias para que las web funciones correctamente y se usan principalmente para recoger datos de usuario para su posterior análisis, o para anuncios, contenido incrustado. Es obligatorio proporcionar consentimiento por parte del usuario para ejecutar dichas cookies en su web.
