Blog

Diseño Web, Sistemas, Soporte, Webs

Migrar una web a https. Problemas que pueden surgir y cómo evitarlos.

David G. Smyth (SmythSys) / 13 febrero, 2017

Muchos habréis leído o oído comentar a alguien como Google está, poco a poco, forzando a que todas las páginas web vayan con certificado. Es decir, que la información entre y a ellas vaya cifrada. No nos parece mal, es una capa de seguridad extra. Cuando un gigante tecnológico como este se empeña en imponer (o suprimir) una tecnología, es cuestión de tiempo, más aún en el caso de Google, dueños del buscador que usa más del 90% de los usuarios (más del 97% en España). Así que son lentejas. ¿Cómo lo está forzando Google? Primero anunció que https contaría como positivo en el SEO (el posicionamiento web), al principio con poco peso pero irá subiendo. Y estoy seguro que dentro de un tiempo no tenerlo será negativo. Después empezó avisando en Chrome con una “i” que toda página que no está por https no es segura. Puedes comprobarlo en tu web ahora mismo por Chrome. Más tarde sacó un aviso en Chrome y mandó notificaciones a los dueños de páginas que estén preguntando por contraseñas (por ejemplo formularios de registro). El aviso dice que la página no es segura. Los avisos irán aumentando y también la “visibilidad” de los mismos. No tengo duda. Así que parece buena idea cambiar. ¿Qué pasos tienes que dar para la migración? Primero tienes que descargar un certificado, instalarlo en el servidor y configurarlo para tu web. Es decir instalar un certificado en tu web. Y configurar el servidor para que todo el tráfico vaya por https. Mañana publicaremos un artículo sobre ese servicio ya que es mejor que lo haga un técnico. Pero antes y después debemos estudiar y ser consciente de los impactos de dicha migración. Para poder minimizarlos. Después Google da unas recomendaciones y guía para la migración y unas prácticas recomendadas para el https. Recomiendo leerlas. En general: Lee bien toda la información antes de hacer la migración. Prepara el servidor e instala el certificado. Comprueba las url, puede ser un buen momento para hacer las que puedas relativas y no absolutas. Mira también las imágenes y enlaces manuales. Da de alta en Search Console (Webmaster Tools) la web en https. La considera diferente a la http y de hecho las estadísticas las verás ahí tras el cambio. Configura la redirección de todo el http a https. Hazlo por 301 porque (y lo dice Google):¿Perderé atribuciones de enlace si redirijo mis páginas a otras URL? No. Los redireccionamientos de tipo 301 o 302 no disminuyen el PageRank de las páginas. Manda el nuevo sitemap a Search Console. Ten uno diferente para https. Comprueba que robots.txt no esté bloqueando nada del https. Puedes usar explora como google. Comprueba que todo se ve bien. Hay páginas o servicios (externos por ejemplo) que pueden dar problemas por https. Podemos desactivar https en ellos, no hace falta hacer el traslado de toda la web. Cambia los enlaces de las redes sociales para que apunten al nuevo sitio. Si puedes contacta también con la gente que apunta hacia ti para que haga el cambio. ¿Hay algún efecto negativo en cambiar de http a https? Puede haberlo, depende de cómo esté hecha tu web (por ejemplo si tus enlaces son absolutos o relativos), el SEO que tengas (si tu página es nueva el impacto no es importante) y cómo se haga la migración. Lo hagas como lo hagas, Google dice que: Si migras tu sitio web de HTTP a HTTPS, Google gestionará el cambio como un traslado de sitio web con un cambio de URL, lo que puede afectar de forma temporal a algunas cifras relacionadas con el tráfico del sitio. Los sitios web HTTPS pueden obtener una clasificación ligeramente mejor, pero no esperes un cambio muy significativo. Google utiliza el protocolo HTTPS como señal positiva para la clasificación. Es una señal entre muchas otras y actualmente conlleva un peso menor que un contenido de alta calidad en el sitio. A corto plazo, no obtendrás ventajas considerables en el proceso de SEO al trasladar un sitio web a HTTPS. A largo plazo, es posible que Google incentive más el uso del protocolo HTTPS. Así que afectar afectará, pero podemos minimizar el impacto, y (por lo que se ha visto en webs migradas) los beneficios luego son mayores. Conclusión. -Migrar implica dos servicios: instalación del certificado en el servidor y redirección de toda la web a https. – El cambio se puede hacer “a lo bestia”, pero recomendamos estudiar e intentar minimizar el posible impacto inicial en el posicionamiento que va a haber (sí o sí). Tu método va a depender del SEO que tengas ahora. – ¿Puedes hacerlo tú? Dependiendo del conocimiento técnico. La instalación en el servidor es más difícil. El traslado no mucho. Pero siempre es recomendable que lo haga un técnico. – SmythSys facturará y ofrecerá los dos servicios a la gente que tenga la web tanto en sus servidores como en otros. Facturamos 45 min por la instalación del servidor y luego el tiempo dedicado en la redirección según se haga directamente o con los pasos previos recomendados. Podéis solicitarnos dicho servicio por los métodos de contacto habituales.

Sistemas, Soporte, Trucos

El ordenador entra en recuperación o no arranca tras una actualización de la BIOS

David G. Smyth (SmythSys) / 10 febrero, 2017

Ayer se me ocurrió actualizar la BIOS. Es algo que hago cuando puedo en todos los ordenadores, la BIOS es el “sistema operativo antes del sistema operativo”, y las nuevas versiones traen mejoras y arreglan fallos. En el ordenador, cuanto mejor vaya cada componente mejor será el resultado final. Y en principio, aunque teóricamente es un proceso “peligroso”, si mantienes el ordenador enchufado y no lo tocas ni apagas durante la actualización, nada debería fallar. Pero claro…ayer me falló. Actualicé la BIOS y arrancó en la partición de recuperación. Reinicio y vuelve a arrancar en la partición de recuperación, pidiéndome reinstalar. Sudores fríos, piel de gallina y pánico entrando cual tsunami. Además de “por qué !%$$$ se me ocurre actualizar esto”. Afortunadamente estaba Víctor, uno de nuestros técnicos y el encargado de servidores de SmythSys al lado y ya había tenido ese caso antes. La solución es sencilla. Solución. Entra en la BIOS y elige la opción de “Load default settings” (Cargar los valores por defecto). No podemos decir cómo porque en cada BIOS es diferente. Pero suele estar al final. Guarda la configuración y sal. Después de eso debería arrancar sin problemas. Sencillo…pero un gran alivio cuando funciona 😀

Servidores, Sistemas

ISPConfig: alternativa Opensource a CPanel y Plesk

David G. Smyth (SmythSys) / 9 febrero, 2017

Hace unos días hablamos de ISPConfig y nos hemos dado cuenta que no hemos explicado que es. Hoy lo evaluamos. Si tienes un servidor dedicado o virtual quieres poder gestionar varios dominios y servicios. Esto se puede hacer manualmente por configuración, pero es más sencillo usando un panel de gestión, un interfaz gráfico. Los más conocidos normalmente son CPanel y Plesk porque son lo que tienen la mayoría de los proveedores comerciales. Pero necesitas comprarlos. Si no quieres, y no hace falta, comprar una licencia de los anteriores, puedes usar las alternativas Opensource. Uno de ellos es Virtualmin (con Webmin). Sencillo gráficamente, un clásico, pero lo hemos usado y es muy funcional. Pero es poco agradable estéticamente, y quizás algo complicado para el usuario principiante. Hay muchos más como ZPanel, CentOS Web Panel, Sentora, Ajenti o Vesta. Otra alternativa es la de hoy: ISPConfig. Un panel que lleva tiempo desarrollándose y en uso. Es multilenguaje, permite gestionar uno o varios servidores, es muy estable, permite accesos de: administrador, vendedor, cliente o email, y gestiona todos estos servicios y demonios: Websites Email accounts FTP users MySQL databases Cron jobs Shell users DNS IPv4 support IPv6 support HTTP: Apache2 and nginx SMTP: Postfix POP3/IMAP: Courier and Dovecot FTP: PureFTPD DNS: Bind, PowerDNS, and MyDNS Database: MySQL Puedes ver las demos de los diferentes tipos de acceso aquí. Además dispone de varios add-ons con los que extender las funcionalidades. Desde algunos de pago muy interesantes como los de migración (para pasar de un servidor a otro) hasta el de facturación (para llevar la facturación de los dominios de clientes. Pero además hay otros módulos gratuitos de la comunidad de los que hablaremos otro día. Os recomendamos que, si gestionáis servidores, probéis este panel. Es muy sencillo y hace lo que debería hacer: quitarte trabajo.

Diseño Web, Gestores de contenidos, Información Tecnica, Noticias Informáticas

Cuidado con los pagos con tarjetas robadas en tiendas online

David G. Smyth (SmythSys) / 8 febrero, 2017

Como estamos en una “situación privilegiada” de contacto tanto con empresas como con clientes, nos enteramos muchas veces de casos como este. Y nos gusta avisar al resto de personas en situaciones similares y dar consejos para evitarlo. La información es la mejor defensa ante los timadores. Otro día a lo mejor os hablamos de otros timos más enrevesados que hemos visto en algún cliente, hoy tratamos el de los pagos con tarjeta. Esta semana un cliente ha tenido un caso de compras sospechosas en su tienda online, en su caso Prestashop (pero podía ser otro sistema) con pago por tarjeta de crédito. Las tarjetas eran aceptadas por el TPV del banco (en este caso Redsys), así que se saltaban ese método de seguridad que, como vemos hoy, no lo es tanto. Características del timo o por qué debemos sospechar. Eran pagos de más de 100€ pero menos de 400€. Se hacían pedidos repetidos de los mismos productos y las mismas cantidades (seguramente para no sobrepasar cierta cantidad que cree alarma). Si miras en el TPV eran desde la misma IP (genérica, de zona) y uno de los pedidos se intentó con varias tarjetas (hasta que una tragó). Los pedidos eran con tarjetas extranjeras (de varios países). Debe ser que en ciertos países la segunda identificación (el sms al móvil o similar) no es obligatorio. A mi personalmente me extrañó la facilidad con que tenían tarjetas que podían ser aceptadas por el TPV. No sabía que era “tan fácil” disponer de datos de tarjetas que suponemos robadas. El cliente preguntó en su banco y los pedidos ya mandados, al ser tienda segura (el TPV era, en teoría seguro), el seguro cubre las mercancías mandadas. Así que (siempre preguntadlo) en teoría no pierde dinero. Alguno se puede preguntar entonces, si están asegurados, por qué dejar que hagan pedidos. Si al final el comerciante no tiene la culpa que el TPV acepte las tarjetas. El gran problema es que, como siempre, los bancos y entidades similares no quieren perder. Y si detectan que estos pagos se hacen mucho en tu TPV te lo anularán. Si, no es tu culpa, y deberían tomar medidas para reducir la facilidad con la que entran esas tarjetas. Pero matando al enfermo se curan en salud. Así que al final, como siempre en España, es el comerciante el que tiene que tomar medidas. Consejos para reducir el riesgo de sufrir estos timos. Os dejamos algunos consejos que hemos descubierto o probado. Como las tarjetas son extranjeras, si puedes habla con tu banco o TPV para que no acepten tarjetas extranjeras si tus clientes son españoles. Esto no siempre puede hacerse y reduce tus clientes a nacionales…pero te quita de problemas. Si el TPV no hace dicha limitación, puedes poner una aviso en tus métodos de pago y en el pago de tu tienda que, por seguridad, no se aceptarán pagos con tarjetas extranjeras y se devolverán dichos pagos. Eso si, déjalo bien claro. Si tienes dudas, como en una tienda normal, pide una foto del DNI para que concuerde con los datos de la tarjeta. Cuidado: los de esta semana mandaban DNIs y tarjetas retocadas por Photoshop (y bien retocadas). Por eso mejor una foto para ver si se reflejan los mecanismos de seguridad. En caso de duda devuelve el pago y pide que hagan una transferencia o un pago en tienda. Retrasa los pedidos sospechosos y contacta con el cliente antes. De nuevo no es un método infalible porque algunos de estos clientes sí se ponen al teléfono y te confirman que todo bien. Poco más se puede hacer…porque insisto que el error es que el TPV (del que te fías) acepta las tarjetas. Si se os ocurren o conocéis otras ideas por favor ponedlas en los comentarios del artículo o de las redes sociales. Tener una tienda online abre el mercado a nuevos clientes y nuevas horas de apertura…pero también a los muchísimos timadores y ladrones de todos los tipos (cibercriminales o los más tradicionales). Y al final tienes que tomar tantas medidas como en la tienda física. Lo mejor, de nuevo, es conocer los riesgos para saber evitarlos (de ahí artículos como este).

Internet, Noticias SmythSys, Sistemas

Nuevo servicio: centralitas VOIP para PYMES

David G. Smyth (SmythSys) / 7 febrero, 2017

VOIP PARA PYMES Llevamos tiempo adquiriendo experiencia en este tema, y con ganas de anunciarlo. Ya hace unos años os hablamos de las centralitas Asterisk (o similares) con la que podéis usar la VOIP en la oficina. Después de trabajar con ellas podemos ya ofrecer el servicio a las empresas clientes que lo deseen. CONTACTO Instalación configuración y mantenimiento de centralitas VOIP en la oficina. ¿Qué necesitas? Una conexión de Internet suficientemente buena (la fibra es perfecta). Un ordenador en el que instalar la centralita VOIP. Programas en los ordenadores/móviles o teléfonos de VOIP (hay un gran rango de precios). Ventajas. Se pueden establecer muchísimas reglas de llamada. Movistar ya tiene tu número de teléfono sobre el que tienes la fibra asociado a VOIP. Así que puedes usar ese número. También puedes usar otros números asociándolos a VOIP con proveedores externos. Las llamadas se tarifican como si las estuvieses haciendo desde el fijo (con los descuentos o bonos que tengas). Ahorro de costes. Transferencia de llamadas. Llamadas en espera. Grabación de llamadas, multifonferencia… Fácil soporte. La centralita tiene puntos de backup y se restauración y se puede volver fácilmente a un estado anterior. Fácil escalabilidad. Mantenimiento barato (las incidencias son pocas y sencillas). Y como gran ventaja el coste de la instalación. Una centralita “clásica” es cara tanto en coste de equipo como en mantenimiento y ampliación.La centralita de VOIP es un programa informático que se instala en un equipo. El coste es la instalación y la configuración. Pídenos presupuesto sin compromiso. Puede llamar al teléfono de soporte 917141735 o mandar un correo a helpdesk@smythsys.es y los técnicos le atenderán, verificarán su problema y darán una posible solución. En caso de tener que reparar, limpiar, etc, le indicarán las tarifas y formas de pago. Si estáis interesados, podéis contactar con nuestros técnicos en info@smythsys.es o en el 917141735

Diseño Web, Gestores de contenidos, Trucos

Error en WordPress: programación perdida

David G. Smyth (SmythSys) / 6 febrero, 2017

Hoy vamos a intentar explicar un error de WordPress que surge en determinadas ocasiones, si se dan varios casos, y que puede resultar extraño. Caso: Hemos programado una publicación de WordPress, o una oferta de WooCommerce, esperamos que se publique como siempre pero no aparece. Cuando entramos en el backend de vuestra tienda, aparece la publicación con una aviso en rojo: Programación perdida. Causa: ¿Por qué sucede esto? Vamos a intentar explicarlo. Cuando programas una entrada en WordPress, lo que hace el sistema es usar un pseudo-cron llamado wp-cron.php. Como no puede modificar el cron del servidor, deja las tareas pendientes hasta que se cargue un script, hasta que se carga página (porque un cliente ha visitado la web). Es decir, si no se cargan las páginas no se ejecutan las tareas programadas. ¿En qué casos no se cargan las páginas? Si se dan algunas de estas condiciones: No ha habido visitas a tu página en ese periodo de tiempo. Pero tu página tiene que tener pocas visitas para eso. Tienes un sistema de caché en tu web (como W3 Total Cache) que tiene caché de objetos. En ese caso, cuando los clientes solicitan visitar tu página, el sistema les proporciona un html generado, no la página php que dispara el cron wp-cron.php. El cliente visita la página, pero, al ser cacheada no dispara la tarea programada. Soluciones: Tienes tres soluciones posibles. En teoría podemos desactivar en los sistemas de caché la caché de objetos. En W3 Total caché está en Rendimiento>Objet Cache. Pero nosotros lo teníamos desactivado y aún así no saltó el cron. Si pasa muy a menudo, y tienes acceso de gestión por ssh, o por panel al cron del servidor, puedes editar el cron del servidor para llamar (con fetch) cada cierto tiempo al wp-cron.php. (por la ruta http://www.tuweb.es/wp-cron.php?doing_wp_cron) . Con el tiempo que quieras, por ejemplo cada 15 minutos. Cómo hacerlo depende de cada servidor y el acceso que tengas. Con un plugin. Tienes plugins como Improved Cron, WP-Cron Control, o WP-Crontrol. Algunos lo gestionan ellos, otros puedes poner un hook y gestionar tu cuando quieres que se ejecute el código.

Grabadores, Gráficos y Fotografía, Software

ShareX: un capturador de pantalla con OCR y mucho más

David G. Smyth (SmythSys) / 3 febrero, 2017

Un cliente nos envía instrucciones que tenemos que poner en una web en imágenes. Y claro, ponte a escribir luego todo eso de nuevo. Así que buscamos y probamos un programa con OCR y encontramos este, que es curioso. ShareX es un programa para hacer pantallazos, es decir capturar la pantalla. Pero además tiene mucho más (yo no lo instalaría sólo por los pantallazos porque Recortes funciona bien. Por un lado permite crear Gifs animados de tus pantallazos. Algo que puedes pensar que no quieres usar, pero los que creamos tutoriales, a veces sólo queremos mostrar una indicación rápida, no hacer un vídeo. De este modo podemos hacerlo en pocos pasos. Y tiene OCR. Esta funcionalidad nos ha sorprendido. Si eliges la función de OCR y tienes una imagen en la pantalla, puedes seleccionar el área que quieres que lea, y lo enviará a ese conversor de imagen a texto. Así que puedes sacar rápidamente el texto de una imagen. Obviamente no con ese tipo de letra, sólo el contenido. Si, no muchos necesitáis sacar texto de imágenes, pero al que lo necesite le va a encantar ShareX. Y tiene mucho más, como dibujar, enviar ficheros a muchos sistemas, compartir ficheros, efectos de imágenes, combinar imágenes….. Es un poco navaja suiza de funciones muy diferentes. Probadlo

Información Tecnica, Noticias Informáticas, Seguridad, Sistemas

Guía del nuevo Reglamento europeo de Protección de Datos.

David G. Smyth (SmythSys) / 2 febrero, 2017

En mayo del 2016 entró en vigor el nuevo Reglamento europeo de Protección de Datos. Aunque no es de obligatorio cumplimiento hasta el 25 de mayo del 2018. Nos dejan a las empresas esos dos años para que conozcamos y nos adaptemos a esta nueva normativa que incluye algunas novedades respecto a la anterior. Y más trabajo para las empresas (como siempre). Para ello, la Agencia de Protección de Datos ha creado una guía que os dejamos aquí: Guía para los responsables de tratamiento. Podéis ver más guías, junto a algunas FAQ en el apartado de la web de la AGPD especialmente creado para este reglamento. Primeras Novedades. Esta normativa no se aplica sólo a las empresas en Europa, sino también a “responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión“. La normativa ha incluido también algo tan actual como “el derecho al olvido y el derecho a la portabilidad” de los datos. Introduce el concepto de responsabilidad activa. No podemos esperar a que haya una denuncia para cuidar los datos personales. Esto implica: – Protección de datos desde el diseño – Protección de datos por defecto – Medidas de seguridad – Mantenimiento de un registro de tratamientos – Realización de evaluaciones de impacto sobre la protección de datos – Nombramiento de un delegado de protección de datos – Notificación de violaciones de la seguridad de los datos – Promoción de códigos de conducta y esquemas de certificación. La AGPD recomienda revisar todos los avisos de privacidad, además de las políticas propias de cada empresa. Os recomendamos que vayáis informándoos, que vayáis mirando qué tenéis que adaptar, para no tener que hacerlo deprisa y corriendo el año que viene…o encontraros con una multa desagradable.

Seguridad, Sistemas

Entrada extraña virtualapp/didlogical en el Administrador de credenciales de Windows

David G. Smyth (SmythSys) / 1 febrero, 2017

Ayer nos pegamos un susto cuando estábamos mirando nuestro Administrador de Credenciales de Windows para eliminar una contraseña guardada de un servicio. Todos teníamos una entrada extraña con Dirección de red: virtualapp/didlogical Con un usuario muy sospechoso y una contraseña. Cuando estás trabajando en ordenadores te vienen alarmas de todo tipo al ver esto. Que si malware, un troyano, un hacker…. Lo extraño es que estaba en todos los ordenadores y con fecha diferente. Tras investigar hemos descubierto la causa. Parece ser que esta es una credencial que crea Microsoft cada vez que usa un servicio de Windows Live (o algún otro servicio de Windows que lo requiera). Es decir, no es un virus, es Microsoft… (sin comentarios). Aún así, teniendo en cuenta que yo tengo productos de Windows Live pero no los uso, la explicación sigue sin convencerme plenamente. Por más que la de Microsoft (o sus técnicos). Para el que no se fíe, o no le guste tenerlo ahí, se puede borrar sin peligro. Se volverá a crear si la necesita Microsoft.

Internet, Noticias Informáticas, Seguridad

Aviso de Google en páginas web y formularios que recopilen contraseñas

David G. Smyth (SmythSys) / 31 enero, 2017

Google ha estado empezado a mandar avisos a los dueños de páginas web que contienen páginas que recopilan contraseñas. Y es que ya avisaron en Septiembre del 2016 que lo harían. Como llevamos tiempo avisando, Google quiere forzar un Internet cuyas páginas web se vean siempre a través de certificados (https), una web cifrada. No es mala idea, y es el aumento en seguridad nos beneficia a todos. Si alguien puede hacerlo es Google. ¿Alguien se imagina ahora no tener el correo o Whatsapp cifrados? Pues hace “poco” no lo estaban. El primer paso fue poner una exclamación en Chrome en las web sin https. Al mismo tiempo los cambios de las reglas de SEO en Google empezaron a puntuar positivamente las páginas por https. Y ahora, Chrome, desde la versión 56, mostrará un aviso si una página te pide una contraseña (formularios de registro, formularios de acceso etc) y no son https. Por ahora el aviso es “No es seguro“, en la barra de url, como en la imagen (poco llamativo). Pero suponemos que irá a peor. Ahora mismo sólo en estas páginas. Pero, como dice Google, “Eventually, Chrome will show a Not Secure warning for all pages served over HTTP, regardless of whether or not the page contains sensitive input fields. Even if you adopt one of the more targeted resolutions above, you should plan to migrate your site to use HTTPS for all pages.“. Es decir…hay que poner certificado en las páginas web, tenéis que pedir a vuestro alojamiento que os instalen un certificado. Los hay de pago, pero ya los hay gratuitos (pueden cobraros la instalación y configuración como es lógico).