Guardar las contraseñas en el navegador con “recordar contraseña” no es seguro. Os lo mostramos.

Seguimos viendo a la gente (clientes, lectores y gente que comenta en grupos de Facebook) guardar las contraseñas en el navegador. Algo que nos sorprende mucho.

Ante la pregunta de “dónde guardas tus contraseñas” muchos responden “en el navegador”. Y si, es muy cómodo, pero creemos que no se dan cuenta de lo fácil que es sacar esas contraseñas.

Es muy inseguro, y sólo debería hacerse en casos en los que la web no tiene importancia. Nunca en sitios web con información importantes (correo, redes sociales, medios de pago …).

Y como la mejor muestra de esto es una demostración, os hemos grabado un vídeo de cómo se puede sacar la contraseña que está guardada en un navegador (cualquiera, Chrome, Firefox, el que sea…).

He cronometrado y tardamos algo menos de 10 segundos en sacar una contraseña con este método. Y lo peor es que no necesitamos saber el usuario, ya nos lo da el navegador.

Os podéis ir un segundo de vuestro puesto de trabajo u ordenador, y alguien que quiera la contraseña puede descubrirla, y volver a dejar todo como estaba sin que te des cuenta.

Conclusión: No guardéis contraseñas mínimamente importantes en el navegador.

Sencilla regla anti spoofing de dominio en Office 365

Ya hemos tenido varios casos de clientes que reciben un correo de spoofing, enviado desde un alto directivo de la empresa a una persona encargada de finanzas, indicando que haga una transferencia a una cuenta.
El problema es que (deben hacer bastante ingeniería social), las personas son las indicadas, y los correos tienen bastante aspecto de ser reales. Están cada vez mejor conseguidos.

Evidentemente es peligroso. Si alguien comete un error, podemos tener un disgusto.

Para evitarlo hoy os enseñamos a crear una sencilla regla en el administrador de Office 365 para identificar estos correos de spoofing para el caso del dominio. Es decir suplantan el correo con el dominio incluído. Hay otros tipos y los trataremos otro día. Esto no quita que deberíais siempre revisar la configuración del correo, especialmente los registros SPF, DKIM y DMARC.

Cómo crear una regla anti spoofing en Office 365.

Nota: en Office 365 existen unas políticas de spoofing en el apartado de Seguridad->Administración de Amenazas->Directivas. Pero son muy básicas. Se puede ajustar más como os enseñamos aquí.

Para crear una regla anti spoofing en Office 365 vamos a hacer lo siguiente:

  • Vamos al Centro de Administración de Office 365->Mostrar Todo-> Exchange
  • En la barra de la izquierda pincha en Flujo de Correo.
  • En reglas pincha en el signo más para crear una nueva y en Crear una nueva regla.
  • Pincha en Más opciones debajo de las condiciones.
  • Ponle el nombre que quieras (anti spoofing o similar).
  • En *Aplicar esta regla si… escoge “El remitente” -> “Es externo o interno” -> “Fuera de la organización” y dale a Aceptar.
  • Pincha en “Agregar condición“.
  • Escoge “El remitente”->”Tiene un dominio que es”-> Y pon el o los dominios de tu organización (para que vea si se ha hecho spoofing).
  • Pincha en “Agregar condición“.
  • Escoge “El destinatario”->”Es externo o interno”->”Dentro de la organización”.
  • Ya tenemos las reglas para identificar el spoofing (un correo que viene de fuera, simula tener nuestro dominio y se envía a alguien de nuestra organización).
  • Ahora vamos a ver lo que hacemos con esos correos. En *Hacer lo siguiente… escogemos “Anteponer al asunto del mensaje” y ponemos el prefijo que queramos (por ejemplo [POSIBLE SPOOFING]).
  • Pinchamos en “Agregar Acción“.
  • Escogemos “Aplicar una declinación de responsabilidad al mensaje”-> Anteponer una renuncia de responsabilidad“.
  • En Escribir texto ponemos el aviso que queramos. Os dejamos un ejemplo:
<p><div style=”background-color:#FFEB9C; width:100%; border-style: solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:’Calibri’; color:Black; text-align: left;”><span style=”color:#9C6500″; font-weight:bold;>PRECAUCIÓN:</span> Este correo se ha enviado desde servidores externos a la empresa. No abra enlaces ni adjuntos a menos que esté seguro que es legítimo. En caso de duda borre el mensaje.</div><br></
  • En “Seleccionar uno” escoger “Encapsular”.

Ya lo tenemos, puedes poner la prioridad que quieras a la regla y pinchar en aceptar.

Con esto puedes comprobar que funciona, pero tienes una regla bastante segura que, cuando llega un correo que cumple esas condiciones (externo imitando que es interno) modifica el asunto con [POSIBLE SPOOFING] delante y pone, encima del texto del correo, una aviso alertando que puede ser spoofing e indicando a los usuarios qué pueden hacer.

Comandos útiles para Magento 2

Llevamos un tiempo manejando Magento 2, y muchas de las acciones hay que hacerlas por línea de comandos. Así que, para referencia nuestra, y por si os viene bien a alguno, os dejamos un resumen de los comandos más útiles y usados.

Comandos más útiles en Magento 2.

Os dejamos los más usados (e iremos ampliando):

  • php bin/magento setup:upgrade : actualiza la configuración
    Si quieres conserva los ficheros estáticos puedes ejecutar: php bin/magento setup:upgrade –keep-generated
  • php bin/magento setup:di:compile : ejecuta el compilador
  • php bin/magento setup:static-content:deploy : deploy para el lenguaje por defecto (en_US).
    Si quieres forzarlo puedes poner: php bin/magento setup:static-content:deploy -f
    Puedes hacerlo para un tema concreto: php bin/magento setup:static-content:deploy –theme Magento/tema
  • php bin/magento setup:static-content:deploy es_ES : deploy para un idioma específico (puedes cambiar el idioma del final).
  • php bin/magento cache:clean : borra (purga) la cache por etiquetas.
    Puedes especificar el tipo de caché a vaciar poniendo php bin/magento cache:clean [type] …[type]
    Los tipos se separan con espacios y son los siguientes:

    Tipos: config, layout, block_html, collections, reflection, db_ddl, compiled_config, eav, customer_notification, config_integration, config_integration_api, full_page, config_webservice, translate
  • php bin/magento cache:flush : borra la caché completamente.
    Puedes especificar el tipo de caché a vaciar poniendo php bin/magento cache:flush [type] …[type]
    Los tipos se separan con espacios y son los mismos que en cache:clean (encima)
  • php bin/magento cache:enable : habilita la caché.
    También admite los type como en las dos opciones anteriores.
  • php bin/magento cache:disable : deshabilita la caché.
    También admite los type como en las opciones anteriores.

NOTA: Es muy normal que se ejecuten los siguientes comandos juntos tras un cambio en la configuración:

php bin/magento setup:upgrade
php bin/magento setup:di:compile
php bin/magento setup:static-content:deploy
php bin/magento cache:clean
php bin/magento cache:flush

  • php bin/magento indexer:status : ver el estado de los índices de búsqueda.
  • php bin/magento indexer:show-mode : muestra el estado de los índices.
  • Reindexar los índices (para las búsquedas):

    php bin/magento indexer:reset
    php bin/magento indexer:reindex
    php bin/magento cache:clean
    php bin/magento cache:flush
  • php bin/magento module:status : ver el estado de los módulos (cuáles están activos y cuáles no).
  • php bin/magento module:enable Namespace_Module : Habilitar un módulo. Namespace_Module es el nombre del mismo como aparece en module:status (encima).
  • php bin/magento module:disable Namespace_Module : Deshabilitar un módulo.
  • php bin/magento module:uninstall Namespace_Module : Desinstalar un módulo.
  • php bin/magento deploy:mode:show : Consulta el modo de funcionamiento de Magento activo.
  • php bin/magento deploy:mode:set developer : Activa el modo desarrollo.
  • php bin/magento deploy:mode:set production : Activa el modo producción.
  • php bin/magento maintenance:enable : Activa el modo mantenimiento.
    Si quieres sólo habilitarlo excepto para ciertas IPs ponlas así:
    php bin/magento maintenance:enable –ip=x.x.x.x –ip=y.y.y.y.
  • php bin/magento maintenance:disable : Desactiva el modo mantenimiento.
  • php bin/magento maintenance:status : Estado del modo mantenimiento.
  • php bin/magento admin:user:unlock adminusername : Desbloquear un usuario administrador.

Más información aquí.

Moodle muestra las imágenes corruptas tras una migración: solución.

Hace unos días migramos un Moodle de un alojamiento a otro. Estas migraciones las hacemos constantemente, y no suele haber problemas.
Sin embargo está si que los dio: en el nuevo alojamiento las imágenes aparecían pixeladas, y verdes. En definitiva corruptas. Os mostramos un ejemplo.

Se podía también ver porque si entrabas en el backend y activabas el modo debug salían unos errores de visualicación de imagen donde indicaban que la imagen estaba dañada.
Además, si intentabas descargar la imagen desde el backend, no podías reproducirla.

Solución.

Las imágenes en Moodle están cifradas con un hash SH1. Puedes ver más información aquí: https://docs.moodle.org/dev/File_API_internals#File_API_internals

Esto lo hacen para que una imagen sólo tenga que guardarse una vez aunque se referencie muchas veces en el sitio, incluso con distinto nombre. Como se hace en el control de versiones de git, por ejemplo. Además, quiere decir que, entre otras cosas, se puede comprobar si un fichero está dañado o no con el comando sha1sum de Linux.

Pero, para el caso que nos ocupa, también quiere decir que no puede haber ninguna modificación en la transferencia de los archivos por FTP. Esto quiere decir, a modo práctico, que tienes que forzar en tu programa de FTP, por ejemplo en Filezilla, que la transferencia sea en modo Binario y no en Ascii o Auto. Los dos modos anteriores puede corromper las imágenes.

Para hacerlo en Filezilla sólo tienes que ir a Edición > Opciones > Transferencias > FTP: Tipos de archivo y en Tipo de transferencia predeterminada ponerlo en Binario.
Luego tienes que volver a descargar todas las imágenes de nuevo (el directorio data de Moodle) e importarlas otra vez. Verás que al hacerlo tendrás las imágenes sin corromper en el nuevo site.

Copiar subdirectorios en Windows por terminal con xcopy

Hace unos días teníamos que rescatar la información de un disco duro dañado. Cada vez que intentábamos acceder por Windows se “colgaba”. Pero por línea de comandos, si se enfriaba antes el disco (truco de IT) conseguíamos que durara lo suficiente para transferir la información.

Para ello usamos xcopy por terminal con la opción de copiar subdirectorios. Os lo dejamos aquí por si tenéis que usarla vosotros.

Cómo copiar subdirectorios con xcopy.

El las opciones de xcopy que usamos para copiar subdirectorios y su contenido fueron:

xcopy origen destino /E /H /C /I

Explicamos las opciones.

  • /E : Copia directorios y subdirectorios incluidos los vacíos (/s sólo copia los que no están vacíos).
  • /H: copia también los archivos ocultos y de sistema.
  • /C: Sigue copiando incluso si ocurre un error (si ocurre pasa al siguiente archivo).
  • /I: si no tiene destino al copiar, asume que el destino es un directorio.

El comando anterior NO COPIA permisos de NTFS ni de compartición. Si quieres copiar los permisos usa:

xcopy origen destino /O /X /E /H /K

Los nuevos delimitadores son:

  • /O: Copia el dueño del archivo y la información ACL.
  • /K: copia los atributos del fichero (xcopy los resetea normalmente).
  • /X: copia la configuración de auditoría (implica /O).

Si lo que quieres es recrear una estructura de directorios, pero no copiar el contenido, se puede hacer con xcopy de la siguiente manera:

xcopy origen destino /T /E

Donde /T: copia los subdirectorios pero no los ficheros.

Cómo ver cuánto tiempo lleva un ordenador Windows encendido.

En ocasiones queremos ver cuánto tiempo lleva un ordenador Windows encendido. Ya sea por temas de control o auditoría, o para ver si le estamos exigiendo demasiado y debemos dejarlo descansar.

En Linux es muy sencillo, en Windows algo más complicado, os dejamos 2 métodos gráficos y dos métodos por comandos.

Modo gráfico.

  • Puedes verlo abriendo el Administrador de Tareas (botón derecho en la barra de Windows->Administrador de Tareas), si vas a Rendimiento y luego a CPU.
    Debajo pone el tiempo que lleva encendido la CPU.
  • También si vas a tu conexión de red y haces doble click, te dice el tiempo que lleva funcionando.

Por línea de comandos en CMD o Powershell.

Por línea de comandos puedes usar CMD o Powershell.

CMD

Por cmd (Inicio->Ejecutar->cmd) podéis ejecutar lo siguiente:

systeminfo | find "Tiempo de arranque del sistema"

POWERSHELL.

Tenéis dos opciones:

  • (get-date) – (gcim Win32_OperatingSystem).LastBootUpTime
  • Get-CimInstance -ClassName win32_operatingsystem | select csname, lastbootuptime

Lo explicamos en el siguiente vídeo.

WooCommerce: hacer que el estado del pago contrareembolso sea “En Espera” en vez de Procesando.

Hoy os vamos a dejar un pequeño código para cambiar el estado de los pedidos realizados en WooCommerce con el método de pago contrareembolso. No estamos arreglando un error, el sistema funciona correctamente. Es una modificación para ciertas tiendas que necesiten algo especial.
En la mayoría de los casos, cuando un pedido se hace contrareembolso, es normal que su estado sea Procesando porque el pedido debe enviarse. No tiene que esperar a nada. Se pagará al recibir el pedido.

Pero, en ciertos casos, se usa este método de pago como “pago en tienda” o “pago en mano”. En estos casos, especialmente si el pedido da acceso a descargas o productos virtuales, el pedido no debería ser Procesando (porque dicho estado da acceso al material online). Es mejor que se quede “En Espera” hasta que se procese el pago.

Estos días hemos tenido un caso parecido, y lo hemos arreglado generando un código (modificado de uno que encontramos en Internet) que afecta sólo a este tipo de pedidos. Os lo vamos a dejar por si os sirve (y porque no nos resultó fácil encontrar la solución).

Como siempre, el código debe insertarse en el functions.php del tema hijo, o en un plugin como Code Snippets.

Código para poner el pedidos pagados por contrareembolso como En Espera en WooCommerce.

El código es el siguiente:

function wooc_cod_status( $status ) {
return 'on-hold';
}
add_filter( 'woocommerce_cod_process_payment_order_status', 'wooc_cod_status', 15 );

Cuando lo apliquéis, haced una prueba con ese método de pago. Como veis usa un hook de WooCommerce woocommerce_cod_process_payment_order_status y, a fecha del artículo, está probado y funcionando.

Conectar un firewall Fortigate con Windows Active Directory.

Si has instalado en tu red un firewall de Fortigate (muy recomendable) y tienes un Windows Server, es interesante conectar ambos. De esta manera, por ejemplo, puedes crear usuarios de VPN que sean los de Active Directory, o poner reglas de bloqueo o de exclusión para grupos de AD. Te permite no tener duplicidad de cuentas, y gestionar las mismas desde el servidor.
Hoy os enseñamos a conectar ambos sistemas.

Cómo conectar un firewall Fortigate con Windows Active Directory.

Lo que tenemos que hacer es entrar en el Fortigate y:

  • Acceder a User & Device > LDAP Servers > Create New.
  • Poner el nombre, la IP del servidor y el puerto (389 por defecto).
  • En Common Name Identifier poned: sAMAccountName
  • En Distinguished Name poned: dc=dominio,dc=local
    Nota: supongo que es dominio.local tu dominio
  • Bind Type: Regular
  • Pon tu usuario en format Administrador@dominio.local
  • Pon la contraseña
  • Si le das a Test Connectivity o Test User Credentials debería dar un tic verde de Successful.
  • Con esto ya debería estar. Dale a Ok y lo guardas.

Nota: En teoría puedes poner en Common Name Identifier: cn (como viene por defecto), y entonces el username tiene que ser en formato DN (cn=Administrator,CN=Users,DC=empresa1,DC=dominio,DC=local), pero a mi me funcionó la configuración anterior mejor.

Una vez añadida la conectividad con el servidor de Active Directory, puedes ir a User & Device > User Groups para crear los grupos que necesites usando el active directory (por ejemplo usuarios de VPN, usuarios con permisos especiales etc). Cada grupo puede usar un CN del AD diferente.

Para más información de lo que puedes hacer con esta conexión con el AD puedes ver este enlace.

Traspasar la configuración de puntos de acceso Ubiquiti a otra persona en UniFi Controller.

Cuando quieres configurar un punto de acceso Ubiquiti, de los mejores del mercado, en un ordenador, tienes que usar el programa UniFi Controller.
En este software se configura un Site, con los AP que tengamos y la configuración que deseamos tener. Y se gestiona fácilmente.
Pero, ¿y si se lo estás configurando a otra persona? ¿Cómo traspasas tu configuración para que lo pueda gestionar él?

A nosotros nos ocurre mucho porque configuramos APs para clientes, y os vamos a enseñar cómo hacerlo para que la otra persona tenga la opción de gestionar sus puntos de acceso.

Cómo traspasar la configuración de UniFi Controller a otro ordenador.

La configuración se crea en tu UniFi Controller con tu usuario (local o de cloud, nosotros lo hacemos local) y tu contraseña. Este es el proceso para transferir la contraseña.

  • Haz una copia de tu sitio (Site). Para eso, en tu Unifi Controller ve a Settings (rueda dentada)->Backup y en Download Backup pincha en Download File.
  • Instala el UniFi Controller en el ordenador de la otra persona (cliente por ejemplo) con un usuario local o cloud. Al comenzar tiene una opción de “restore setup from backup”. Si eliges esa opción te cargará todo como estaba en tu ordenador.
  • Si el usuario tenía UniFi Controller ve a Settings->Backup y en Backup /Restore hay una opción de Restore Backup (Upload File).
    Nota: si ya tienes otros AP y no quieres mezclarlos, crea otro sitio.
  • Verás que reconoce tus APs y tienes la configuración guardada.
  • Como el otro usuario (cliente) no tiene que tener tu usuario y contraseña, ve arriba a la derecha, pincha en el desplegable, Edit Account y cambia el usuario y contraseña al que el cliente quiera.

Con esto el nuevo usuario ya tendrá gestión de sus APs para siempre en su controller y con su usuario.

¿Dónde descargar versiones anteriores de Dropbox?

Si usas Dropbox y, tras una actualización, el programa empieza a comportarse de modo extraño (pasa en las mejores familias alguna vez), puede que te interese “revertir” a una versión anterior. Una que funcione hasta que saquen el solucionen el problema.

El problema es que en la página oficial de Dropbox no puedes descargarte versiones anteriores. Y muchos dependen de Dropbox para trabajar.

Así que si os pasa lo mismo que a nosotros (en un cliente), os dejamos este enlace donde podéis bajar muchas versiones anteriores de este programa, tanto en versión estable como en versión beta.

Nota: recordad que los programas van cambiando su estructura y, si retrocedes demasiado de versión, puede que no puedas sincronizar archivos porque ya no sea compatible.

El enlace es oficial, porque es del foro de Dropbox. Por lo tanto las descargas también son correctas y fiables.