Blog

Diseño Web, Gestores de contenidos, Seguridad

Proteger la carpeta de administrador de Prestashop con una contraseña adicional por .htaccess y .htpasswd

/

Prestashop tiene unas medidas básicas de seguridad, como ponerle un nombre aleatorio a la carpeta de administrador (adminXXXX). Pero si quieres asegurar algo más tu tienda, puedes añadir otra capa de seguridad: una contraseña adicional.Con el método de este artículo, cuando un usuario intente entrar en la dirección https.//tudominio.com/adminXXX el navegador mostrará una ventana emergente pidiendo un usuario y contraseña que es independiente de la web, se configura en el servidor. Así que, aunque te hayan descubierto los datos de usuario y contraseña de la web (de alguna otra manera), no podrían entrar en tu backend. Cómo proteger la carpeta de administrador. El proceso es el siguiente: Creamos un fichero llamado .htpasswd en algún lugar de nuestro servidor (fuera de las carpetas de la web es mejor, para que no puedan descubrirlo hackeando la web. El contenido está encriptado, lo podemos crear con una web como esta (o esta). Sólo copiamos el contenido que nos da al final, tras poner el usuario, la contraseña y dar a Create .htpasswd file. Una vez generado el fichero, vamos a la carpeta de administrador del Prestashop y creamos un fichero llamado .htaccess con el siguiente contenido.AuthType Basic AuthName “Acceso restringido con contraseña” AuthUserFile /home/user/.htpasswds/public_html/wp-admin/.htpasswd require valid-user AuthUserFile tiene la ruta del fichero .htpasswd Es importante que el usuario web tiene que poder leer el fichero htpasswd. Comprueba los permisos de htacess y htpassd si tienes errores. Ahora cuando intentes entrar te pedirá una contraseña previa. Buen método para mejorar la seguridad de tu Prestashop. Cuando hagas esto puede dejar de funcionar alguna función de tu web dependiendo de si esta requiere un fichero en ese directorio (no debiera pero cada web es diferente). Si es así, sólo hay que excluirlo. También por .htaccess podemos limitar el acceso sólo a una IP (o denegar otras). Por ejemplo: order deny,allow allow from XXX.XXX.XXX.XXX (tu ip) deny from all

Linux, Sistemas, Trucos

Cómo mostrar en Linux las últimas conexiones e intentos de conexión de usuarios. Comando last.

/

Si tienes un ordenador o servidor Linux, es muy probable que te interesa saber quién se ha conectado y cuando, quién no se ha conectado y qué intentos fallidos de conexión has tenido. Hoy os vamos a enseñar a realizar todo eso. Comando last. El comando last muestra la lista de los últimos usuarios que han iniciado sesión, así como el sistema, y fecha y hora. Puedes paginar con |more o |less.Lo que hace realmente es leer el fichero /var/log/wtmp Opciones: last nombredeusuario muestra la lista sólo para ese usuario. last -n X muestra las X (un número) últimas líneas last -F Muestra las horas de inicio y fin de sesión last -f rutaynombredefichero muestra la información respecto a ese fichero en vez del fichero wtmp last -x muestra las entradas con cambios de apagado o cambios de niveles de ejecución. Para ver cuando se ha apagado y reiniciado. También last -x reboot o last-x shutdown last -s yesterday -t today Para ver desde (por ejemplo) ayer a hoy. last -t YYYYMMDDHHMMSS para ver quién estaba registrado a cierta hora. También podemos limitar esto por usuario. last pts/0 muestra sólo los inicios de sesión por pts/0. Pts es pseudo terminal y tty terminal. Comando lastb. El comando lastb permite ver los intentos de sesión fallidos. Obviamente aquí aparecerán muchos así que filtrad o paginar.También podéis poner lastb nombredeusuario . Este comando podemos usarlo para ver los ataques que recibimos, o los intentos fallidos de acceso de un usuario. Comando lastlog. El comando lastlog permite ver la última conexión por usuario. Así que podemos usarlo para ver cuando se conectó alguien por última vez, o que usuarios nunca se han conectado.Con lastlog -b numerodedias podemos ver quien no ha iniciado sesión en un número de días igual o superior a numerodedias. Recordad que con el comando who podemos ver quien está conectado en este momento.

Diseño Web, Gestores de contenidos

Simple Membership: excelente plugin de WordPress para gestión de miembros gratuitos y de pago.

/

Tras probar muchos, llevamos unos días usando este plugin gratuito de WordPress y, la verdad, estamos muy contentos con todas sus opciones. Simple Membership es el típico plugin para gestión de “membresías“. Es decir para crear contenido protegido para ciertos usuarios dependiendo de su nivel de suscripción. El plugin te permite crear “niveles de membresía” y gestionar que algunas sean gratuitas y otras de pago. Pero tiene muchísimas opciones adicionales como: Poder mandar correo de confirmación. Registro de usuarios en el propio plugin independiente (o sincronizable) de WordPress. Pagos recurrentes y únicos por Paypal o Stripe. Registro de pagos en el propio plugin. API para desarrolladores Widget para barras laterales. Shortcodes generales y para tipos de membresía. Caducidad de las membresías. Protección de contenido personalizable en cada entrada (incluso tipos custom), categoría o página. Pero también permite proteger por defecto todas las categorías, incluso aquellas que crean otros plugins. Registro en el panel del contenido protegido. Plugin gratuito para redirigir tras el login. Plugin de pago para configurar el formulario de registro. Muchos otros plugins gratis y de pago. Integración por plugin con MailChimp. WooCommerce, reCaptcha y mucho más. Una documentación útil con muchas soluciones que demandamos los usuarios. Muchas opciones de configuración de urls, redirecciones e e-mails a clientes. La verdad es que todos lo que hemos pedido de este plugin lo hemos podido solucionar sin desarrollos extra y, como mucho, adquiriendo plugins de pago (se lo merecen). Una gran opción si quieres un sitio con registro de usuarios y contenido restringido en varios niveles.

Diseño Web, Gestores de contenidos, Legalidad, Trucos

RGPD: guardar un registro de la aceptación de políticas para cada usuario con Contact Form 7 en WordPress.

/

Desde que salió la nueva RGPD, los expertos han ido variando los criterios que debemos implementar en los formularios de la web. Nosotros, nos guiamos por ellos y aquí vamos indicando cómo implementar sus indicaciones. En este caso hablamos de guardar el registro de las aceptaciones de la política de privacidad para cada usuario. Como técnicamente no se puede enviar el formulario sin aceptar dichas condiciones, al principio muchos no lo consideraban importante. Pero ahora muchos creen que sí. Y nosotros, ante la duda, preferimos cumplir todos los requisitos. Mejor prevenir que curar.Así que tenemos que guardar un registro de que el usuario haya aceptado la política de privacidad al enviar el correo. Os indicamos ´como hacerlo con Contact Form 7 (el más usado) en WordPress. Cómo guardar el registro del apartado de la casilla de aceptación con Contact Form 7. Hay dos maneras de realizar esto (se pueden implementar ambas). Opción 1. En Contact Form 7 podemos hacer fácilmente que el correo que nos llegue incluya el resultado de la casilla de aceptación.Esto implicaría guardar los correos como registro de aceptación en nuestro buzón, o en psts. Pero es una forma sencilla y para muchos muy cómoda. También indicado cuando el que va a recibir los e-mails es un departamento distinto del que gestiona la página web.Os indicamos cómo hacerlo en este vídeo. Opción 2. Para muchos es mejor guardar este registro en la base de datos, en el backend de WordPress y poder comprobarlo rápidamente ahí. Para ello lo mejor es instalar un plugin que te guarde un registro de los envíos de los formularios, junto a esa casilla de aceptación. Os recomendamos alguno, antes de elegir cual, comprobad hace cuando se ha actualizado y si es compatible con vuestra versión de WordPress. Tiene la ventaja de sencillez y poder exportar los resultados a un Excel. Contact Form 7 Database Addon. Muy usado desde hace años. En ocasiones ha tenido problemas con WordPress pero como todos los plugins veteranos. En estos momentos está activo y muy actualizado. Flamingo. Ya hablamos de él hace tiempo. El favorito de muchos, aunque en el momento de escribir este artículo, incomprensiblemente lleva 9 meses sin actualizar. Advanced Contact form 7 DB: lleva menos tiempo pero con buen número de descargas, actualizado y buena puntuación. Contact Form Submissions: durante mucho tiempo uno de los más usados. Pero lleva 1 año sin actualizar, si no se actualiza no recomiendo instalarlo.

Compartir, e-Learning, Sistemas, Trucos

Big Blue Button: problemas con la cámara en ciertos móviles. Error 2203: Server could not find an appropriate codec.

/

Llevamos un tiempo trabajando con Big Blue Button para las videoconferencias. Recientemente hemos descubierto un problema con ciertos móviles, específicamente con algunos (no todos) móviles chinos. Si intentas compartir la cámara, tras unos momentos da un error. Los errores pueden ser varios, pero se suelen referir a los codecs o a permisos. El más habitual: Error 2203: Server could not find an appropriate codec Hemos investigado el problema y encontrado una posible solución. Solución al error de la cámara en algunos móvies. La causa parece ser por el codec de video h264 , el que usa Big Blue Button por defecto para el vídeo. Este codec no es gratuito, tiene un pequeño coste. Algunos fabricantes chinos prefieren ahorrarse ese gasto por terminal y no incluir lo en sus teléfonos. Por eso ciertos Android chinos no pueden compartir la pantalla. Big Blue Button usa H264 porque iOS (iPhone etc) sólo admite este codec. Hay otro codec gratuito que se puede usar, VP8, pero entonces Big Blue Button tiene que “transcodear” cada emisión de vídeo de móviles Android con conexiones de móviles iOS (porque iOS no tiene VP8), y eso gasta CPU. Así que estamos ante una decisión, o no permitir ciertos móviles Android chinos (según hemos probado muchos, con marcas como Asus o Huawei), o activar VP8 y que a veces use más recursos del servidor. Como los recursos se pueden dimensionar, y no queremos problemas de compatibilidad, nosotros elegimos esta segunda opción. Cómo activar VP8 por defecto. La manera de activar VP8 la encontramos aquí, aunque es de una versión antigua y las rutas y lo que hay que comentar varía ahora. Os indicamos las nuevas.Activando VP8 lo que hacemos es que use este por defecto (con el posible gasto de CPU indicado arriba) si lo tiene, si no usará H264. Si se conectan móviles iOS, Big Blue Button tendrá que trascodear las conexiones VP8 de los Android. El fichero a editar es /usr/local/bigbluebutton/bbb-webrtc-sfu/config/default.yml Ahí buscamos unas líneas que ponen: codec_video_main: H264codec_video_content: H264 Y cambiarlas por codec_video_main: ANYcodec_video_content: ANY Después activamos esta nueva configuración en BBB con sudo bbb-conf –restart Con esto ya nos funciona el vídeo en todos los dispositivos.

Diseño Web, Gestores de contenidos, Trucos

Ocultar o modificar elementos en WordPress, para usuarios registrados, o no registrados, mediante CSS

/

La semana pasada descubrimos este truco muy útil para los que hacemos páginas web. Se pueden ocultar elementos, o modificarlos, para usuarios registrados mediante CSS. Esto permite que añadamos capas o avisos sólo para usuarios no registrados, cambiar el color de ciertos elementos para usuarios que están “logados” y una infinidad de aplicaciones y personalizaciones. ¿Cómo? Muy sencillo, WordPress añade una clase a todos los elementos, al principio del contenido cuando se ha iniciado sesión en una página. Así que sólo tenemos que poner esa clase delante de la clase que queremos afectar. Por ejemplo si tenemos una capa con clase avisoregistro, podemos ocultarla para usuarios registrados así: .logged-in .avisoregistro {display:none;} Obviamente si es un id se puede hacer igual. Nosotros lo hemos usado para, por ejemplo, ocultar pop ups de registro para usuario que han iniciado sesión. Para hacer lo contrario, es decir ocultar cosas si no ha iniciado sesión, podemos poner: boddy:not(.logged-in) .avisoregistro {display:none;} Es decir, si el cuerpo no tiene la clase logged-in, no muestres esa clase de avisoregistro.

Información Tecnica, Seguridad, Sistemas

3-D Secure (3DS) qué es y que tienes que hacer en tu tienda online para implementarlo.

/

Este año se activa la nueva directiva de servicios de pago en la Comunidad Europea, la PSD2 (Segunda Directiva de Servicios de Pago ). Todas las empresas en la Unión Europea deben cumplir con los estándares de regulación a partir del 14 de Septiembre del 2019. Aunque muchos emisores de tarjetas ya están implementando dicho servicio a partir de este mes de abril. Hoy queremos explicar cómo te afecta si tienes una tienda online o desarrollas páginas web, y cómo puedes cumplir dichos requisitos. Algunos términos a conocer: PSD2: Segunda Directiva de Servicios de Pago que entra en vigor el 14 de Septiembre del 2019. SCA (Strong customer authentication): Autenticación reforzada del cliente. La Directiva PSD2 incluye requisitos de seguridad que se deben cumplir. Entre ellos este SCA que obliga al menos a tener autentificación de doble factor. 3-D Secure (3DS) : Es la solución más usada por la industria para implementar el factor de doble autenticación. Cómo te afectan estos cambios si tienes una tienda online o las construyes. Básicamente, a partir de abril sería buena idea que se empezara a implementar el 3-D Secure en tus pagos con tarjeta. A partir de Septiembre será obligatorio. En otras palabras, a partir de Septiembre, si no tienes un sistema compatible con 3DS, no podrás cobrar con tarjeta (ni Paypal con tarjeta). En la práctica la mayoría de los sistemas que se usan en las tiendas en España son a través de terceros, y ya son ellos los que se encargan de habilitar 3DSecure. Todavía no tenemos sistemas que accedan directamente a las cuentas de cliente. Así que no tendrás que hacer nada. En concreto. Dependiendo de qué sistema tengas para cobrar con tarjeta. TPV del banco. Entiendo que entonces ellos se encargan del 3DSecure directamente. Paypal: En España los pagos se hacen a través de Paypal y ya se encargan ellos de gestionar el 3DS. No tienes que hacer nada.Fuera de España existe el PayPal Pro Direct, para realizar pagos directamente al cliente. En ese caso necesitan una integración con un cliente de CardinalCommerce .Pero debes actualizar tu módulo que use Paypal a las últimas versiones. Stripe o similar: las últimas versiones ya incluyen la opción de 3DS. Debes actualizar tus módulos. ¿Qué ventajas tiene para el comprador? Básicamente es seguridad del uso de tarjeta ante un fraude. Si te roban la tarjeta o tus datos, necesitarán la doble autenticación para usarla. ¿Que ventajas tiene para el vendedor? Aquí es muy interesante. El fraude de tarjetas debería disminuir, y por lo tanto la cantidad de pagos falsos que recibimos.Además ” los vendedores no deben esperar un aumento de las devoluciones de cargo. Esto se debe al hecho de que, con 3D-Secure, el banco emisor de la tarjeta asumirá la responsabilidad de las transacciones no autorizadas seleccionadas para pasar este control de seguridad. Es posible que también haya clientes que hayan olvidado el código de identificación o la contraseña de su tarjeta y abandonen el proceso de pago. Lo más importante es que el sistema 3D-Secure frustrará a los defraudadores.  “

SEO, Trucos, Webs

Herramienta para el rastreo y análisis SEO de una web: Screaming Frog SEO Spider

/

Cuando quieres saber en en detalle los datos de tu página web, o de otra, desde el punto de vista SEO, así como la estructura, enlaces etc, esta herramienta es una de las grandes aliadas. Uno de los software más conocidos y usados. Si te piden una auditoría de una web, seguramente uses esta herramienta para obtener muchos datos automáticamente. Screaming Frog SEO Spider es una “araña” que navega la página web destino, url por url, y obtiene un mapa tanto de contenidos como de los elementos importantes para el SEO. Entre otras muchas cosas obtiene: Enlaces rotos Análisis de títulos y metadatos Contenido duplicado Robots y directivas Genera sitemaps xml Rastrea contenido de Javascript Visualiza la estructura de la página Se integra con Google Analitics Elementos útiles de cada entrada como números de palabras, enlaces entrantes, respuestas del servidor, información sobre imágenes etc. El programa tiene una versión de pago y una gratuita. La versión gratuita, además de otras limitaciones, sólo rastrea 500 URLs. Tienes una guía de uso en inglés aquí. Todos los resultados son fácilmente exportables para su análisis posterior en Excel o similar. Como veis muy completo y, lo más importante, GRATIS.

Diseño Web, Gestores de contenidos

Filtros de productos en WooCommerce

/

Cuando implementas una tienda online, una de las cosas que la gente quiere es un filtro de productos. Es algo que queda muy bien, y da mucha usabilidad a la página.Los clientes pueden filtrar por precio, tipo de producto, color etc. Esto, en las nuevas versiones de Prestashop, es de pago. Pero, afortunadamente, en WooCommerce hay plugins gratuitos. Os dejamos unos cuantos (y así los tenemos nosotros de referencia para nuestros proyectos). WOOF – Products Filter for WooCommerce. Buen plugin que permite filtrar por categorías, atributos, etiquetas de productos, taxonomías personalizadas y precio. Tiene una API, puedes usar shortcodes en Widgets y ver una demo aquí. YITH WooCommerce Ajax Product Filter : YITH dispone de varios plugins gratuitos para WooCommerce muy útiles e interesantes. Este es uno de ellos. Podéis ver una demo aquí y la documentación aquí. Premmerce Product Filter for WooCommerce: Otra buena opción. Aquí tienes la demo. Advanced AJAX Product Filters: La demo aquí. Con estos plugins tenéis varios para probar y diseñar un buen filtro de productos.

Compartir, Diseño Web, Sistemas

Repl.it : programa online en más de 40 lenguajes de programación.

/

Hoy os dejamos una página web muy útil tanto para los profesores y alumnos de programación, como para aquellos que programamos en varios lenguajes. Repl.it te permite programar y ejecutar códigos (obviamente no extremádamente complejos) en más de 40 lenguajes de programación, entre los que están Python, Ruby, HTML+CSS+JS, C++, Java, C#, Django…. Lo interesante es que no es necesario configurar ni instalar nada, sólo seleccionar el lenguaje y ponerse a probar código. Otra de las grandes funcionalidades que tiene es que puedes volver a tu código cuando quieras, y compartir con otra gente. Nosotros lo vemos muy útil para: Profesores y alumnos: porque permite mandar códigos, probarlos y revisarlos entre varias personas. Programadores: para probar soluciones en varios lenguajes y ver qué solución es más óptima. Programadores: para probar fragmentos de código en varios lenguajes o conseguir corregir online fragmentos de código.

Scroll al inicio