+54 11 5258-8400
Login

Archivo de la etiqueta: Seguridad

Facebook rediseña su apartado de seguridad para evitar confusiones

La red social quiere que sean más claras sus opciones de seguridad.

Facebook ha tomado nota del hecho de que todo el mundo piensa que su configuración de seguridad es confusa. Para solucionarlo ha lanzado un rediseño para brindar claridad a su página de seguridad.

Algunos de los cambios incluyen el reposicionamiento de herramientas importantes, como contactos de confianza y autenticación de dos factores, a la parte superior de la página de seguridad y de inicio de sesión en una nueva sección “recomendada” personalizada según la configuración actual del usuario. También ha agrupado herramientas similares en un solo encabezado y han simplificado la sección “Donde has iniciado sesión”, por lo que es mucho más fácil ver dónde, cuándo y en qué dispositivos se estuvo por última vez en Facebook.

En general, los cambios facilitan la navegación a través de todas las opciones de seguridad de Facebook, sin importar el nivel de conocimientos tecnológicos del usuario. Esto sirve como complemento de la actualización de la sección de Bases de Privacidad la red social en enero pasado, que agregó más guías interactivas para ayudar a adaptar sus ajustes. Para acceder a la sección de seguridad renovada, hay que hacer clic en la pequeña flecha situada en la parte superior derecha de la pantalla, seleccionar Configuración y luego Seguridad + Inicio de sesión en el menú de la izquierda.La red social quiere que sean más claras sus opciones de seguridad.

Facebook ha tomado nota del hecho de que todo el mundo piensa que su configuración de seguridad es confusa. Para solucionarlo ha lanzado un rediseño para brindar claridad a su página de seguridad.

Algunos de los cambios incluyen el reposicionamiento de herramientas importantes, como contactos de confianza y autenticación de dos factores, a la parte superior de la página de seguridad y de inicio de sesión en una nueva sección “recomendada” personalizada según la configuración actual del usuario. También ha agrupado herramientas similares en un solo encabezado y han simplificado la sección “Donde has iniciado sesión”, por lo que es mucho más fácil ver dónde, cuándo y en qué dispositivos se estuvo por última vez en Facebook.

En general, los cambios facilitan la navegación a través de todas las opciones de seguridad de Facebook, sin importar el nivel de conocimientos tecnológicos del usuario. Esto sirve como complemento de la actualización de la sección de Bases de Privacidad la red social en enero pasado, que agregó más guías interactivas para ayudar a adaptar sus ajustes. Para acceder a la sección de seguridad renovada, hay que hacer clic en la pequeña flecha situada en la parte superior derecha de la pantalla, seleccionar Configuración y luego Seguridad + Inicio de sesión en el menú de la izquierda.
La red social quiere que sean más claras sus opciones de seguridad.

Facebook ha tomado nota del hecho de que todo el mundo piensa que su configuración de seguridad es confusa. Para solucionarlo ha lanzado un rediseño para brindar claridad a su página de seguridad.

Algunos de los cambios incluyen el reposicionamiento de herramientas importantes, como contactos de confianza y autenticación de dos factores, a la parte superior de la página de seguridad y de inicio de sesión en una nueva sección “recomendada” personalizada según la configuración actual del usuario. También ha agrupado herramientas similares en un solo encabezado y han simplificado la sección “Donde has iniciado sesión”, por lo que es mucho más fácil ver dónde, cuándo y en qué dispositivos se estuvo por última vez en Facebook.

En general, los cambios facilitan la navegación a través de todas las opciones de seguridad de Facebook, sin importar el nivel de conocimientos tecnológicos del usuario. Esto sirve como complemento de la actualización de la sección de Bases de Privacidad la red social en enero pasado, que agregó más guías interactivas para ayudar a adaptar sus ajustes. Para acceder a la sección de seguridad renovada, hay que hacer clic en la pequeña flecha situada en la parte superior derecha de la pantalla, seleccionar Configuración y luego Seguridad + Inicio de sesión en el menú de la izquierda.
La red social quiere que sean más claras sus opciones de seguridad.

Facebook ha tomado nota del hecho de que todo el mundo piensa que su configuración de seguridad es confusa. Para solucionarlo ha lanzado un rediseño para brindar claridad a su página de seguridad.

Algunos de los cambios incluyen el reposicionamiento de herramientas importantes, como contactos de confianza y autenticación de dos factores, a la parte superior de la página de seguridad y de inicio de sesión en una nueva sección “recomendada” personalizada según la configuración actual del usuario. También ha agrupado herramientas similares en un solo encabezado y han simplificado la sección “Donde has iniciado sesión”, por lo que es mucho más fácil ver dónde, cuándo y en qué dispositivos se estuvo por última vez en Facebook.

En general, los cambios facilitan la navegación a través de todas las opciones de seguridad de Facebook, sin importar el nivel de conocimientos tecnológicos del usuario. Esto sirve como complemento de la actualización de la sección de Bases de Privacidad la red social en enero pasado, que agregó más guías interactivas para ayudar a adaptar sus ajustes. Para acceder a la sección de seguridad renovada, hay que hacer clic en la pequeña flecha situada en la parte superior derecha de la pantalla, seleccionar Configuración y luego Seguridad + Inicio de sesión en el menú de la izquierda.

Google refuerza su seguridad para proteger a los usuarios de Gmail del phishing y el malware

La compañía reveló nuevas funciones para detectar de forma más rápida mensajes maliciosos.

Google reveló nuevas funciones de seguridad para proteger a los usuarios de Gmail de mensajes de spam y de phishing.

Aunque no lo confirmaron, las mejoras en la protección de los usuarios probablemente sean en respuesta a una estafa de phishing que se dio a conocer este mes. El ataque utiliza un falso archivo de Documentos de Google para obtener acceso a las cuentas de Gmail de los usuarios.
Leer más

Revelan que hackers accedieron a 32 millones de cuentas de Yahoo! manipulando cookies

La compañía brindó detalles adicionales sobre los robos de datos que sufrió en los últimos años.

En una presentación regulatoria, Yahoo! reveló algunos detalles adicionales sobre las brechas de seguridad que han afectado a más de mil millones de cuentas. Entre esa información está la noticia de que los hackers que obtuvieron el código de Yahoo! fueron capaces de crear sus propias cookies con las que accedieron a 32 millones de cuentas entre 2015 y 2016. Además, la declaración proporcionada aclara que Yahoo! notificó a 26 personas y consultó con especialistas legales después de enterarse que los piratas informáticos habían entrado a sus sistemas

Yahoo! reveló públicamente el alcance de estos ataques en diciembre pasado, pero admitió en el informe que en 2014 “ciertos altos ejecutivos no comprendieron o investigaron apropiadamente y por lo tanto no actuaron adecuadamente respecto a lo conocido internamente por el departamento de seguridad de la compañía”.

Como resultado de la investigación, la junta directiva ha decidido que la CEO Marissa Mayer no recibirá un bono en efectivo por su labor en 2016, mientras que el consejero general Ronald S. Bell ha presentado su renuncia. Además, vale destacar que como resultado de las revelaciones relacionadas al robo de datos de los usuarios, de los cuales Mayer asegura haber sido notificado recién en septiembre del año pasado, Verizon recortó US$ 350 millones de su oferta global para adquirir Yahoo!La compañía brindó detalles adicionales sobre los robos de datos que sufrió en los últimos años.

En una presentación regulatoria, Yahoo! reveló algunos detalles adicionales sobre las brechas de seguridad que han afectado a más de mil millones de cuentas. Entre esa información está la noticia de que los hackers que obtuvieron el código de Yahoo! fueron capaces de crear sus propias cookies con las que accedieron a 32 millones de cuentas entre 2015 y 2016. Además, la declaración proporcionada aclara que Yahoo! notificó a 26 personas y consultó con especialistas legales después de enterarse que los piratas informáticos habían entrado a sus sistemas

Yahoo! reveló públicamente el alcance de estos ataques en diciembre pasado, pero admitió en el informe que en 2014 “ciertos altos ejecutivos no comprendieron o investigaron apropiadamente y por lo tanto no actuaron adecuadamente respecto a lo conocido internamente por el departamento de seguridad de la compañía”.

Como resultado de la investigación, la junta directiva ha decidido que la CEO Marissa Mayer no recibirá un bono en efectivo por su labor en 2016, mientras que el consejero general Ronald S. Bell ha presentado su renuncia. Además, vale destacar que como resultado de las revelaciones relacionadas al robo de datos de los usuarios, de los cuales Mayer asegura haber sido notificado recién en septiembre del año pasado, Verizon recortó US$ 350 millones de su oferta global para adquirir Yahoo!
La compañía brindó detalles adicionales sobre los robos de datos que sufrió en los últimos años.

En una presentación regulatoria, Yahoo! reveló algunos detalles adicionales sobre las brechas de seguridad que han afectado a más de mil millones de cuentas. Entre esa información está la noticia de que los hackers que obtuvieron el código de Yahoo! fueron capaces de crear sus propias cookies con las que accedieron a 32 millones de cuentas entre 2015 y 2016. Además, la declaración proporcionada aclara que Yahoo! notificó a 26 personas y consultó con especialistas legales después de enterarse que los piratas informáticos habían entrado a sus sistemas

Yahoo! reveló públicamente el alcance de estos ataques en diciembre pasado, pero admitió en el informe que en 2014 “ciertos altos ejecutivos no comprendieron o investigaron apropiadamente y por lo tanto no actuaron adecuadamente respecto a lo conocido internamente por el departamento de seguridad de la compañía”.

Como resultado de la investigación, la junta directiva ha decidido que la CEO Marissa Mayer no recibirá un bono en efectivo por su labor en 2016, mientras que el consejero general Ronald S. Bell ha presentado su renuncia. Además, vale destacar que como resultado de las revelaciones relacionadas al robo de datos de los usuarios, de los cuales Mayer asegura haber sido notificado recién en septiembre del año pasado, Verizon recortó US$ 350 millones de su oferta global para adquirir Yahoo!
La compañía brindó detalles adicionales sobre los robos de datos que sufrió en los últimos años.

En una presentación regulatoria, Yahoo! reveló algunos detalles adicionales sobre las brechas de seguridad que han afectado a más de mil millones de cuentas. Entre esa información está la noticia de que los hackers que obtuvieron el código de Yahoo! fueron capaces de crear sus propias cookies con las que accedieron a 32 millones de cuentas entre 2015 y 2016. Además, la declaración proporcionada aclara que Yahoo! notificó a 26 personas y consultó con especialistas legales después de enterarse que los piratas informáticos habían entrado a sus sistemas

Yahoo! reveló públicamente el alcance de estos ataques en diciembre pasado, pero admitió en el informe que en 2014 “ciertos altos ejecutivos no comprendieron o investigaron apropiadamente y por lo tanto no actuaron adecuadamente respecto a lo conocido internamente por el departamento de seguridad de la compañía”.

Como resultado de la investigación, la junta directiva ha decidido que la CEO Marissa Mayer no recibirá un bono en efectivo por su labor en 2016, mientras que el consejero general Ronald S. Bell ha presentado su renuncia. Además, vale destacar que como resultado de las revelaciones relacionadas al robo de datos de los usuarios, de los cuales Mayer asegura haber sido notificado recién en septiembre del año pasado, Verizon recortó US$ 350 millones de su oferta global para adquirir Yahoo!

ACTUALIZACIÓN DE SEGURIDAD WORDPRESS

NextGen PLUGIN

Un plugin de WordPress instalado en más de un millón de sitios acaba de corregir una grave vulnerabilidad de inyección de SQL que puede permitir a los atacantes robar datos de la base de datos de un sitio web.

El nombre del plugin vulnerable es NextGEN Gallery, un plugin tan exitoso que tiene su propio conjunto de plugins.

Dos opciones de configuración del plugin de Galería NextGEN dejan al descubierto nuestro WordPress a posibles ataques.

Primer escenario de ataque

Según la empresa de seguridad web Sucuri, quien descubrió los problemas de seguridad de NextGEN Gallery, el primer escenario de ataque puede ocurrir si un propietario de WordPress activa la opción NextGEN Basic TagCloud Gallery en su sitio.

Esta característica permite a los propietarios de sitios mostrar galerías de imágenes que los usuarios pueden navegar a través de etiquetas. Al hacer click en una de estas etiquetas, se modifica la URL del sitio a medida que el usuario navega por las fotos.

Sucuri dice que un ataque puede modificar los parámetros de enlace e insertar consultas SQL que serán ejecutadas por el plugin cuando el atacante cargue la URL malformada.

Segundo escenario de ataque

El segundo escenario puede ocurrir si los propietarios de sitios web abren su sitio para posteos de blogs. Debido a que los atacantes pueden crear cuentas en el sitio y enviar una publicación o un artículo para su revisión, también pueden insertar los shortcodes malformados de NextGEN Gallery.

El experto de Sucuri, Slavco Mihajloski, dice que un código corto como el siguiente puede usarse para atacar sitios.

[Querycode1] [any_text1]% 1 $% s [any_text2] [querycode2]

El problema radica en cómo las funciones de complemento interno manejan este código. Por ejemplo, % s se convertirá en ‘% s’ y romperá eficazmente la consulta SQL en la que se inserta esta cadena.

Esto permite al atacante agregar código SQL malicioso después de este bloque de caracteres y hacer que se ejecute dentro del backend del sitio. Dependiendo del nivel de habilidad del atacante, esto puede permitirle volcar la base de datos del sitio y robar registros personales del usuario.

Sucuri dio a esta vulnerabilidad una puntuación de 9 de 10, principalmente debido a lo fácil que era para explotar el defecto, incluso para los atacantes no técnicos.

Sucuri dice que los autores del plugin arreglaron esta falla en NextGEN Gallery 2.1.79. Al leer el changelog del plugin por su cuenta, será muy difícil detectar que la versión 2.1.79 solucionó una falla de seguridad severa.

En el momento de escribir esto, el archivo de cambios de NextGEN Gallery en el repositorio de plugins de WordPress sólo dice “Cambiado: Ajuste de la visualización de etiquetas”.

Si sos usuario de este plugin y contás con una versión anterior a 2.1.79, tu sitio es vulnerable, por lo que no dejes de actualizar NetxGen plugin:

https://wordpress.org/plugins/nextgen-gallery/

SpamAssassin: Deshaciéndonos del SPAM

Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

¿Qué es SpamAssassin?

Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

Que es SpamAssassin?

Es un software open-source que funciona a nivel de servidor y utiliza una extensa serie de test o reglas tanto a nivel local como de red para identificar firmas de spam en los correos electrónicos.

Es relativamente fácil de configurar y extender con nuevas reglas. Además dispone de una API abstracta que le permite ser integrado en cualquier punto del flujo de mails y puede ser usada por una amplia variedad de sistemas de mailing, entre los que se incluyen procmail, sendmail, Postfix, qmail y muchos otros.

Cómo funciona?

SpamAssassin es una herramienta de reconocimiento automático de spam, analiza los correos entrantes y, siguiendo ciertas reglas definidas en su configuración, decide cuáles tienen aspecto de spam marcándolos para que luego puedan ser procesados según corresponda. El usuario puede actuar con los correos marcados como le resulte más conveniente, por ejemplo: borrándolos sin mirar, archivándolos en una carpeta específica para luego ser analizados o incluso reenviarlos a otra cuenta de correo.

SpamAssassin funciona en modo texto: toma el mensaje de correo (cabeceras, cuerpo, todo) y busca determinados patrones. Por cada patrón que encuentra suma una determinada cantidad de puntos (score). Cuando los puntos superan un umbral el correo se marca como spam.

Tanto el umbral, como los patrones y el valor asignado a cada patrón son configurables por cada usuario, además de poder añadir nuevos patrones a buscar. Los patrones existentes, que son muchos, van
desde comprobar si el remitente tiene una dirección que empieza con un número hasta buscar frases específicas en el cuerpo del mensaje, además de métodos de detección basados en DNS blacklists y DNS whitelists, comprobaciones basadas en checksums, validaciones SPF y DKIM, entre otras cosas. Incorporando también filtros bayesianos para reforzar sus propias reglas de detección.

Por defecto, para que un correo sea marcado como spam debe sumar 5 puntos. Si este umbral resulta muy pequeño (es decir, si demasiados correos son marcados como spam) o muy grande (mucho spam llega sin marcar) se puede modificar para adaptarse a las necesidades de filtro que se requieran.

Si SpamAssassin considera un mensaje como spam puede incluso modificarlo. En la configuración por defecto, el contenido del mail detectado como spam es agregado como un MIME Attachment, junto con un breve resúmen en el cuerpo del mensaje y una descripción de los tests que ocasionaron que dicho mail sea considerado como spam.

Si el puntaje (score) es menor que el umbral definido por configuración, la información de los tests superados y el puntaje total se agrega a los headers del mail y puede ser post-procesada y utilizada para tomar acciones menos severas, tales como etiquetar el mensaje como “sospechoso”.

Todas estas características hacen de SpamAssassin una herramienta dinámica y completamente configurable, permitiendo una enorme versatilidad para diferentes aplicaciones de filtrado y detección de contenidos en los mensajes.

Spam checkers basados en SpamAssassin

Existen diversos sitios online que ofrecen chequeos de spam utilizando esta herramienta. Entre los más destacados se encuentran:

Email Spam Test

Es el más sencillo de usar de los spam checkers, sin embargo también es el que tiene las reglas de comprobación menos estrictas. Sólo requiere que se indique el asunto con el que se enviará el mensaje, su contenido HTML y opcionalmente el contenido de texto plano o, en su defecto, se puede pegar el mensaje en formato crudo (raw). Analiza el asunto, el contenido y los links del mensaje devolviendo un informe de los problemas encontrados en cada una de esas secciones.

Spam Check Services

Este servicio permite componer directamente el mensaje en el formulario de la aplicación o simplemente pegar el mensaje en formato crudo (raw) y tiene una serie de reglas. es una versión demo que sólo permite chequear mensajes que no superen los 2000 caracteres de longitud.

Postmark Spam Checker

Este es el más estricto de los spam checkers mencionados. Requiere que se indique el mensaje en formato crudo (raw) para poder analizarlo y sus reglas de validación son mucho más rígidas que las de los anteriores. Dispone de una JSON API para poder integrarlo con tu sitio web o aplicación.

Para aquellos que deseen investigar un poco más sobre esta potente herramienta o simplemente quieran instalarla y probarla personalmente, pueden encontrarla en el sitio web de sus desarrolladores:

http://spamassassin.apache.org/
Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

Que es SpamAssassin?

Es un software open-source que funciona a nivel de servidor y utiliza una extensa serie de test o reglas tanto a nivel local como de red para identificar firmas de spam en los correos electrónicos.

Es relativamente fácil de configurar y extender con nuevas reglas. Además dispone de una API abstracta que le permite ser integrado en cualquier punto del flujo de mails y puede ser usada por una amplia variedad de sistemas de mailing, entre los que se incluyen procmail, sendmail, Postfix, qmail y muchos otros.

Cómo funciona?

SpamAssassin es una herramienta de reconocimiento automático de spam, analiza los correos entrantes y, siguiendo ciertas reglas definidas en su configuración, decide cuáles tienen aspecto de spam marcándolos para que luego puedan ser procesados según corresponda. El usuario puede actuar con los correos marcados como le resulte más conveniente, por ejemplo: borrándolos sin mirar, archivándolos en una carpeta específica para luego ser analizados o incluso reenviarlos a otra cuenta de correo.

SpamAssassin funciona en modo texto: toma el mensaje de correo (cabeceras, cuerpo, todo) y busca determinados patrones. Por cada patrón que encuentra suma una determinada cantidad de puntos (score). Cuando los puntos superan un umbral el correo se marca como spam.

Tanto el umbral, como los patrones y el valor asignado a cada patrón son configurables por cada usuario, además de poder añadir nuevos patrones a buscar. Los patrones existentes, que son muchos, van
desde comprobar si el remitente tiene una dirección que empieza con un número hasta buscar frases específicas en el cuerpo del mensaje, además de métodos de detección basados en DNS blacklists y DNS whitelists, comprobaciones basadas en checksums, validaciones SPF y DKIM, entre otras cosas. Incorporando también filtros bayesianos para reforzar sus propias reglas de detección.

Por defecto, para que un correo sea marcado como spam debe sumar 5 puntos. Si este umbral resulta muy pequeño (es decir, si demasiados correos son marcados como spam) o muy grande (mucho spam llega sin marcar) se puede modificar para adaptarse a las necesidades de filtro que se requieran.

Si SpamAssassin considera un mensaje como spam puede incluso modificarlo. En la configuración por defecto, el contenido del mail detectado como spam es agregado como un MIME Attachment, junto con un breve resúmen en el cuerpo del mensaje y una descripción de los tests que ocasionaron que dicho mail sea considerado como spam.

Si el puntaje (score) es menor que el umbral definido por configuración, la información de los tests superados y el puntaje total se agrega a los headers del mail y puede ser post-procesada y utilizada para tomar acciones menos severas, tales como etiquetar el mensaje como “sospechoso”.

Todas estas características hacen de SpamAssassin una herramienta dinámica y completamente configurable, permitiendo una enorme versatilidad para diferentes aplicaciones de filtrado y detección de contenidos en los mensajes.

Spam checkers basados en SpamAssassin

Existen diversos sitios online que ofrecen chequeos de spam utilizando esta herramienta. Entre los más destacados se encuentran:

Email Spam Test

Es el más sencillo de usar de los spam checkers, sin embargo también es el que tiene las reglas de comprobación menos estrictas. Sólo requiere que se indique el asunto con el que se enviará el mensaje, su contenido HTML y opcionalmente el contenido de texto plano o, en su defecto, se puede pegar el mensaje en formato crudo (raw). Analiza el asunto, el contenido y los links del mensaje devolviendo un informe de los problemas encontrados en cada una de esas secciones.

Spam Check Services

Este servicio permite componer directamente el mensaje en el formulario de la aplicación o simplemente pegar el mensaje en formato crudo (raw) y tiene una serie de reglas. es una versión demo que sólo permite chequear mensajes que no superen los 2000 caracteres de longitud.

Postmark Spam Checker

Este es el más estricto de los spam checkers mencionados. Requiere que se indique el mensaje en formato crudo (raw) para poder analizarlo y sus reglas de validación son mucho más rígidas que las de los anteriores. Dispone de una JSON API para poder integrarlo con tu sitio web o aplicación.

Para aquellos que deseen investigar un poco más sobre esta potente herramienta o simplemente quieran instalarla y probarla personalmente, pueden encontrarla en el sitio web de sus desarrolladores:

http://spamassassin.apache.org/
Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

Que es SpamAssassin?

Es un software open-source que funciona a nivel de servidor y utiliza una extensa serie de test o reglas tanto a nivel local como de red para identificar firmas de spam en los correos electrónicos.

Es relativamente fácil de configurar y extender con nuevas reglas. Además dispone de una API abstracta que le permite ser integrado en cualquier punto del flujo de mails y puede ser usada por una amplia variedad de sistemas de mailing, entre los que se incluyen procmail, sendmail, Postfix, qmail y muchos otros.

Cómo funciona?

SpamAssassin es una herramienta de reconocimiento automático de spam, analiza los correos entrantes y, siguiendo ciertas reglas definidas en su configuración, decide cuáles tienen aspecto de spam marcándolos para que luego puedan ser procesados según corresponda. El usuario puede actuar con los correos marcados como le resulte más conveniente, por ejemplo: borrándolos sin mirar, archivándolos en una carpeta específica para luego ser analizados o incluso reenviarlos a otra cuenta de correo.

SpamAssassin funciona en modo texto: toma el mensaje de correo (cabeceras, cuerpo, todo) y busca determinados patrones. Por cada patrón que encuentra suma una determinada cantidad de puntos (score). Cuando los puntos superan un umbral el correo se marca como spam.

Tanto el umbral, como los patrones y el valor asignado a cada patrón son configurables por cada usuario, además de poder añadir nuevos patrones a buscar. Los patrones existentes, que son muchos, van
desde comprobar si el remitente tiene una dirección que empieza con un número hasta buscar frases específicas en el cuerpo del mensaje, además de métodos de detección basados en DNS blacklists y DNS whitelists, comprobaciones basadas en checksums, validaciones SPF y DKIM, entre otras cosas. Incorporando también filtros bayesianos para reforzar sus propias reglas de detección.

Por defecto, para que un correo sea marcado como spam debe sumar 5 puntos. Si este umbral resulta muy pequeño (es decir, si demasiados correos son marcados como spam) o muy grande (mucho spam llega sin marcar) se puede modificar para adaptarse a las necesidades de filtro que se requieran.

Si SpamAssassin considera un mensaje como spam puede incluso modificarlo. En la configuración por defecto, el contenido del mail detectado como spam es agregado como un MIME Attachment, junto con un breve resúmen en el cuerpo del mensaje y una descripción de los tests que ocasionaron que dicho mail sea considerado como spam.

Si el puntaje (score) es menor que el umbral definido por configuración, la información de los tests superados y el puntaje total se agrega a los headers del mail y puede ser post-procesada y utilizada para tomar acciones menos severas, tales como etiquetar el mensaje como “sospechoso”.

Todas estas características hacen de SpamAssassin una herramienta dinámica y completamente configurable, permitiendo una enorme versatilidad para diferentes aplicaciones de filtrado y detección de contenidos en los mensajes.

Spam checkers basados en SpamAssassin

Existen diversos sitios online que ofrecen chequeos de spam utilizando esta herramienta. Entre los más destacados se encuentran:

Email Spam Test

Es el más sencillo de usar de los spam checkers, sin embargo también es el que tiene las reglas de comprobación menos estrictas. Sólo requiere que se indique el asunto con el que se enviará el mensaje, su contenido HTML y opcionalmente el contenido de texto plano o, en su defecto, se puede pegar el mensaje en formato crudo (raw). Analiza el asunto, el contenido y los links del mensaje devolviendo un informe de los problemas encontrados en cada una de esas secciones.

Spam Check Services

Este servicio permite componer directamente el mensaje en el formulario de la aplicación o simplemente pegar el mensaje en formato crudo (raw) y tiene una serie de reglas. es una versión demo que sólo permite chequear mensajes que no superen los 2000 caracteres de longitud.

Postmark Spam Checker

Este es el más estricto de los spam checkers mencionados. Requiere que se indique el mensaje en formato crudo (raw) para poder analizarlo y sus reglas de validación son mucho más rígidas que las de los anteriores. Dispone de una JSON API para poder integrarlo con tu sitio web o aplicación.

Para aquellos que deseen investigar un poco más sobre esta potente herramienta o simplemente quieran instalarla y probarla personalmente, pueden encontrarla en el sitio web de sus desarrolladores:

http://spamassassin.apache.org/
Leer más

Cómo asegurar tu sitio WordPress (2da parte)


Wordpress

¿Quién dijo que las segundas partes no son buenas? ¡Esta es súper interesante y completa! Luego de una primera entrega donde repasamos algunos conceptos de seguridad básicos, se va la segunda con muchos más tips.

Limitar la cantidad de intentos de acceso

Para evitar los ataques de acceso por fuerza bruta es recomendable restringir la cantidad de intentos que realiza un usuario para ingresar al panel administrativo y bloquearlos temporalmente luego de una determinada cantidad de intentos fallidos. Esto ayuda a prevenir que alguien descubra nuestra contraseña por prueba y error.

Esto se puede hacer fácil y rápidamente con plugins como Login LockDown y Simple Login Lockdown que se ocupará del control de acceso de tu sitio WordPress permitiendo, entre otras cosas, configurar cuantos intentos de accesos se admitirán y el tiempo de espera antes de permitir un nuevo intento.

Ocultar los errores de acceso

Cuando intentás ingresar a tu sitio WordPress con un usuario o contraseña incorrecta, el formulario de acceso muestra un mensaje de error indicando cual de los datos es el erróneo. Esto brinda información a los usuarios malintencionados sobre que nombres de usuarios son correctos para ingresar al sitio. Se recomienda reemplazar esos mensajes de error por uno genérico y así ocultar dicha información.

Para esto hay que agregar el siguiente código en el archivo functions.php del theme de tu sitio:

add_filter('login_errors', create_function('$a',
"return 'Los datos de acceso son incorrectos.';")
);

Reemplazando el text “Los datos de acceso son incorrectos” por el mensaje que desees mostrar.

Utilizar el modo seguro para ingreso de usuarios

Desde WordPress es posible definir que los accesos de usuarios se realicen en Modo Seguro utilizando el protocolo SSL únicamente para que los datos de acceso viajen encriptados entre el navegador y tu sitio. Es decir que sólo se podrá ingresar con un usuario si utilizando una dirección que comienza con https://.
Para habilitar esta opción simplemente debes agregar en tu archivo wp-config.php la siguiente línea de código:

define('FORCE_SSL_LOGIN', true);

Si además de forzar que los ingresos sean seguros se desea forzar la navegación segura con SSL en toda la sección del panel administrativo, se puede hacer agregando el siguiente código:

define('FORCE_SSL_ADMIN', true);

Para que tengan efecto estos códigos deben ser agregados al archivo de configuración antes de la siguiente línea:

require_once(ABSPATH . 'wp-settings.php');

También debes tener en cuenta que el acceso con modo SSL hace más lenta la navegación en el sitio. Además, si bien ELSERVER.COM lo permite, algunos servidores y planes de hosting no tienen habilitado el acceso a través de SSL, con lo cual asegúrate de tener habilitada esa opción en tu servicio de hosting antes de realizar este paso o contratá hoy mismo un plan con nosotros.

Configurar las claves secretas de autenticación

Estas claves se encuentran definidas en el archivo wp-config.php y se utilizan para encriptar de forma más segura tu contraseña y los datos que se transmiten entre el sitio y tu navegador lo que hace más difícil que alguien pueda adivinarlos o acceder a ellos.

Para definir estas claves secretas debes editar las líneas del archivo wp-config.php en donde figura lo siguiente:

define('AUTH_KEY', 'Frase de seguridad');
define('SECURE_AUTH_KEY', 'Frase de seguridad');
define('LOGGED_IN_KEY', 'Frase de seguridad');
define('NONCE_KEY', 'Frase de seguridad');
define('AUTH_SALT', 'Frase de seguridad');
define('SECURE_AUTH_SALT', 'Frase de seguridad');
define('LOGGED_IN_SALT', 'Frase de seguridad');
define('NONCE_SALT', 'Frase de seguridad');

Donde dice “Frase de seguridad” debes colocar la frase o clave que quieras utilizar, se recomienda que sean claves aleatorias de tal forma que no puedan ser adivinadas fácilmente.

Puedes generar las claves aleatorias utilizando el WordPress Key Generator. Simplemente copia las claves que genera y reemplazalas en tu archivo wp-config.php.

Cambiar la ubicación del archivo wp-config.php

En las últimas versiones de WordPress, más específicamente a partir de la versión 2.6, es posible reubicar el archivo wp-config.php un nivel más arriba del directorio donde se haya creado la instalación para que no sea accedido públicamente.

Por ejemplo, si nuestra instalación está ubicada en /public_html/misitioweb/, entónces el archivo wp-config.php podría moverse de esa carpeta a /public_html/ y WordPress autodetectará en cual de las dos se ubica. Pero por más que se lo coloque en cualquier otra ubicación, WordPress no lo detectará.

Cabe aclarar que el archivo de configuración sólo se puede reubicar en la carpeta superior al raíz de la instalación WordPress y NO en cualquier directorio como se menciona en algunos artículos.

Si lo colocas en cualquier otra ubicación, WordPress no lo detectará e intentará crear uno nuevo a través del asistente de instalación. Esto genera una falla de seguridad más grave ya que quien ingrese primero al sitio web podrá generar una nueva instalación.

Prevenir la inyección de código malicioso

Dependiendo de cómo esté configurado el servidor de hosting, existe la posibilidad de que alguien intente sobreescribir las variables globales de PHP a través de la URL de acceso a algunas de las páginas del sitio. Para evitar esto se pueden filtrar los parámetros de las URL a través del módulo rewrite, agregando la siguiente configuración en el archivo .htaccess del directorio raíz:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Eliminar los plugins innecesarios

Existen muchos plugins que no se encuentran debidamente probados o que no reciben mantenimiento y actualización para las nuevas versiones de WordPress. Estos pueden generar errores, agujeros o filtraciones de seguridad que pueden ser aprovechados por quienes deseen hacer daño y perjudicarán el funcionamiento del sitio.

Si tienes plugins instalados en tu sitio que no estas utilizando o de los cuales no sabes qué riesgos de seguridad pueden presentar, la mejor opción es desactivarlos y desinstalarlos completamente desde el menú de gestión de Plugins. Asegurate de que se hayan eliminado todos los archivos de esos plugins en la carpeta /wp-plugins de tu instalación para evitar cualquier filtración posible.

Hasta aquí llega el alcance de la seguridad básica que podría implementar cualquier propietario de un sitio WordPress. En la próxima nota veremos otros tips para restricción de permisos en los archivos, modificación de configuraciones predefinidas durante la instalación y como agregar más seguridad al panel administrativo.

Cómo asegurar tu sitio WordPress (1ra parte)

Wordpress

Nos interesa mucho tu seguridad, por lo que seguimos acercándote las mejores sugerencias para tu sitio. En esta oportunidad te vamos a contar, en dos notas, qué acciones podes tomar para aplicar en tu sitio WordPress.

Uno de las principales desventajas de utilizar WordPress para tener un blog o sitio propio reside en que es una herramienta pública. Es decir, todo el mundo tiene acceso al código fuente de la misma y, por ende, puede saber o analizar como funciona. Esto implica que cualquiera con un mínimo conocimiento en programación y desarrollo de sitios web pueda encontrar errores o vulnerabilidades que aún no hayan sido corregidas, o siquiera detectadas, de las cuales aprovecharse para dañar el sitio o robar información.

Leer más

Actualizando y asegurando Joomla!

Muchos de nuestros clientes eligen el popular (y gratuito) CMS Joomla! para sus proyectos. Si bien en los últimos años ha perdido terreno frente a otros competidores tales como WordPress, es una opción vigente por su capacidad para añadir fácilmente características extra al sitio. Esto se realiza a través de extensiones tales como componentes y plugins (alrededor de 8600 extensiones oficiales), que proveen diversas funcionalidades tales como encuestas, sistema de suscripción y envío de newsletters, carrito de compras, foros, galerías, etc. En este enlace podés encontrar un listado de las extensiones más populares. Pero bueno, no estamos acá para hablar de plugins. De hecho, el abuso de este tipo de extensiones genera una notoria pérdida de performance del sitio de acuerdo a que cada componente que agregamos al sitio tiene su propia lógica, consultas a la base de datos, etc.

Este artículo pretende ser una guía para actualizar Joomla! a su versión más reciente e implementar algunas medidas de seguridad dado que, de acuerdo a nuestra estadística no oficial (fuente:soporte@elserver.com), Joomla! es también uno de los CMS más vulnerados.

Al momento de escribir este post, la última versión estable de Joomla! es la 2.5. Si bien se ha avanzado en la rama 3.0, se recomienda su instalación solo para sitios nuevos dado que no es compatible con muchas extensiones y plugins existentes.

Joomla! 1.5.x ha dejado de ser soportada en Abril del 2012. Esto significa que la comunidad que trabaja en el desarrollo y mantenimiento de este paquete no se encuentra activamente corrigiendo bugs y agujeros de seguridad para esta rama. Actualizar a una versión más reciente, es fundamental para mantener la seguridad en el sitio.

Migrando a Joomla! 2.5 desde 1.5.x (dificultad: intermedia)

Como siempre, antes de realizar cualquier upgrade de versión realizamos manualmente un backup del directorio FTP y base de datos. Si bien ELSERVER.COM mantiene 10 copias de tu sitio siempre, lo recomendable es tener una copia del momento exacto anterior a realizar un cambio tan drástico. Podés usar el componente Akeeba Backup a tal fin.

El paso dos es asegurarnos de haber actualizado a la última versión disponible de la rama 1.5 (1.5.26). Para actualizar a Joomla! 1.5.26, por favor siga las instrucciones de este enlace http://joomlacode.org/gf/project/spanish/frs/?action=FrsReleaseView&release_id=16897

Paso 3: Preparar la migración. Vamos a usar un componente que se encarga de la mayoría de las tareas. Este componente es jUpgrade. Procedemos a instalar el componente y luego a reflexionar acerca de las siguientes preguntas:

  • ¿Está actualizada mi versión de Joomla! 1.5? (asumiendo que seguiste los pasos, sí)
  • ¿Modificaste algún archivo o tabla mysql del core de Joomla!? (en caso afirmativo, estos cambios se pierden post migración)
  • ¿Son las extensiones de tu sitio compatibles con Joomla! 2.5? (podés usar el buscador avanzado del directorio oficial de extensiones Joomla! para comprobarlo)
  • ¿Existe una versión Joomla! 2.5 de tu template actual?

Una vez resueltas todas estas dudas e instalado el componente, estamos listos para la operatoria. Recordamos que es fundamental contar con un backup de acuerdo a lo mencionado anteriormente (nunca se sabe si algo puede salir mal). Vamos al paso a paso (imágenes al final del artículo):

  1. Descargar e instalar la extensión jUpgrade.
  2. Chequear que la extensión “Mootools Upgrade” esté activa. Para esto ingresar a Extensions > Plugin Manager.
  3. Configurar el componente a través de la opción “Parameters” del mismo. Ver captura de pantalla para el seteo de opciones recomendadas.
  4. Una vez configurados los parámetros, click en “Start Upgrade”.

Finalizada la migración, el componente nos mostrará sendos accesos al front y back-end de la nueva instalación. Ingresamos a ambos para chequear que todo haya quedado en orden, una vez hecho esto tenemos que mover los nuevos archivos para dar por finalizada la migración.

Teniendo en cuenta (una vez más por las dudas) que disponés de un backup de directorio y base de datos:

  1. Eliminamos del directorio de instalación original todos los directorios y carpetas, a excepción de la carpeta ‘jUpgrade’ en donde se encuentra el directorio de la nueva instalación.
  2. Usando un cliente FTP, movemos todos los archivos de la carpeta ‘jUpgrade’ directamente en el directorio principal. Por ejemplo:
    Origen ‘/nombrecuenta/htdocs/jUpgrade/’
    Destino ‘/nombrecuenta/htdocs/jUpgrade/’
  3. Solo nos resta actualizar la ruta en el configuration.php de la nueva instalación para comenzar a usar la versión de Joomla! 2.5.

Desde ya, por cualquier inconveniente en este proceso contactanos por cualquiera de los canales habituales: chat, mail o a alguno de los teléfonos de tu ciudad.

Hemos dado un gran paso para asegurar y optimizar nuestra instalación Joomla!. En el próximo post vamos a revisar algunas medidas de seguridad para evitar hackeos e infecciones.

Hasta la próxima!

JUpgrade_Page_3_-_Parameters_screen

JUpgrade_Page_1_-_jUpgrade_logo

JUpgrade_Page_4_-_Step_9_panelMuchos de nuestros clientes eligen el popular (y gratuito) CMS Joomla! para sus proyectos. Si bien en los últimos años ha perdido terreno frente a otros competidores tales como WordPress, es una opción vigente por su capacidad para añadir fácilmente características extra al sitio. Esto se realiza a través de extensiones tales como componentes y plugins (alrededor de 8600 extensiones oficiales), que proveen diversas funcionalidades tales como encuestas, sistema de suscripción y envío de newsletters, carrito de compras, foros, galerías, etc. En este enlace podés encontrar un listado de las extensiones más populares. Pero bueno, no estamos acá para hablar de plugins. De hecho, el abuso de este tipo de extensiones genera una notoria pérdida de performance del sitio de acuerdo a que cada componente que agregamos al sitio tiene su propia lógica, consultas a la base de datos, etc.

Este artículo pretende ser una guía para actualizar Joomla! a su versión más reciente e implementar algunas medidas de seguridad dado que, de acuerdo a nuestra estadística no oficial (fuente:soporte@elserver.com), Joomla! es también uno de los CMS más vulnerados.

Al momento de escribir este post, la última versión estable de Joomla! es la 2.5. Si bien se ha avanzado en la rama 3.0, se recomienda su instalación solo para sitios nuevos dado que no es compatible con muchas extensiones y plugins existentes.

Joomla! 1.5.x ha dejado de ser soportada en Abril del 2012. Esto significa que la comunidad que trabaja en el desarrollo y mantenimiento de este paquete no se encuentra activamente corrigiendo bugs y agujeros de seguridad para esta rama. Actualizar a una versión más reciente, es fundamental para mantener la seguridad en el sitio.

Migrando a Joomla! 2.5 desde 1.5.x (dificultad: intermedia)

Como siempre, antes de realizar cualquier upgrade de versión realizamos manualmente un backup del directorio FTP y base de datos. Si bien ELSERVER.COM mantiene 10 copias de tu sitio siempre, lo recomendable es tener una copia del momento exacto anterior a realizar un cambio tan drástico. Podés usar el componente Akeeba Backup a tal fin.

El paso dos es asegurarnos de haber actualizado a la última versión disponible de la rama 1.5 (1.5.26). Para actualizar a Joomla! 1.5.26, por favor siga las instrucciones de este enlace http://joomlacode.org/gf/project/spanish/frs/?action=FrsReleaseView&release_id=16897

Paso 3: Preparar la migración. Vamos a usar un componente que se encarga de la mayoría de las tareas. Este componente es jUpgrade. Procedemos a instalar el componente y luego a reflexionar acerca de las siguientes preguntas:

  • ¿Está actualizada mi versión de Joomla! 1.5? (asumiendo que seguiste los pasos, sí)
  • ¿Modificaste algún archivo o tabla mysql del core de Joomla!? (en caso afirmativo, estos cambios se pierden post migración)
  • ¿Son las extensiones de tu sitio compatibles con Joomla! 2.5? (podés usar el buscador avanzado del directorio oficial de extensiones Joomla! para comprobarlo)
  • ¿Existe una versión Joomla! 2.5 de tu template actual?

Una vez resueltas todas estas dudas e instalado el componente, estamos listos para la operatoria. Recordamos que es fundamental contar con un backup de acuerdo a lo mencionado anteriormente (nunca se sabe si algo puede salir mal). Vamos al paso a paso (imágenes al final del artículo):

  1. Descargar e instalar la extensión jUpgrade.
  2. Chequear que la extensión “Mootools Upgrade” esté activa. Para esto ingresar a Extensions > Plugin Manager.
  3. Configurar el componente a través de la opción “Parameters” del mismo. Ver captura de pantalla para el seteo de opciones recomendadas.
  4. Una vez configurados los parámetros, click en “Start Upgrade”.

Finalizada la migración, el componente nos mostrará sendos accesos al front y back-end de la nueva instalación. Ingresamos a ambos para chequear que todo haya quedado en orden, una vez hecho esto tenemos que mover los nuevos archivos para dar por finalizada la migración.

Teniendo en cuenta (una vez más por las dudas) que disponés de un backup de directorio y base de datos:

  1. Eliminamos del directorio de instalación original todos los directorios y carpetas, a excepción de la carpeta ‘jUpgrade’ en donde se encuentra el directorio de la nueva instalación.
  2. Usando un cliente FTP, movemos todos los archivos de la carpeta ‘jUpgrade’ directamente en el directorio principal. Por ejemplo:
    Origen ‘/nombrecuenta/htdocs/jUpgrade/’
    Destino ‘/nombrecuenta/htdocs/jUpgrade/’
  3. Solo nos resta actualizar la ruta en el configuration.php de la nueva instalación para comenzar a usar la versión de Joomla! 2.5.

Desde ya, por cualquier inconveniente en este proceso contactanos por cualquiera de los canales habituales: chatmail o a alguno de los teléfonos de tu ciudad.

Hemos dado un gran paso para asegurar y optimizar nuestra instalación Joomla!. En el próximo post vamos a revisar algunas medidas de seguridad para evitar hackeos e infecciones.

Hasta la próxima!

JUpgrade_Page_3_-_Parameters_screen

JUpgrade_Page_1_-_jUpgrade_logo

JUpgrade_Page_4_-_Step_9_panelMuchos de nuestros clientes eligen el popular (y gratuito) CMS Joomla! para sus proyectos. Si bien en los últimos años ha perdido terreno frente a otros competidores tales como WordPress, es una opción vigente por su capacidad para añadir fácilmente características extra al sitio. Esto se realiza a través de extensiones tales como componentes y plugins (alrededor de 8600 extensiones oficiales), que proveen diversas funcionalidades tales como encuestas, sistema de suscripción y envío de newsletters, carrito de compras, foros, galerías, etc. En este enlace podés encontrar un listado de las extensiones más populares. Pero bueno, no estamos acá para hablar de plugins. De hecho, el abuso de este tipo de extensiones genera una notoria pérdida de performance del sitio de acuerdo a que cada componente que agregamos al sitio tiene su propia lógica, consultas a la base de datos, etc.

Este artículo pretende ser una guía para actualizar Joomla! a su versión más reciente e implementar algunas medidas de seguridad dado que, de acuerdo a nuestra estadística no oficial (fuente:soporte@elserver.com), Joomla! es también uno de los CMS más vulnerados.

Al momento de escribir este post, la última versión estable de Joomla! es la 2.5. Si bien se ha avanzado en la rama 3.0, se recomienda su instalación solo para sitios nuevos dado que no es compatible con muchas extensiones y plugins existentes.

Joomla! 1.5.x ha dejado de ser soportada en Abril del 2012. Esto significa que la comunidad que trabaja en el desarrollo y mantenimiento de este paquete no se encuentra activamente corrigiendo bugs y agujeros de seguridad para esta rama. Actualizar a una versión más reciente, es fundamental para mantener la seguridad en el sitio.

Migrando a Joomla! 2.5 desde 1.5.x (dificultad: intermedia)

Como siempre, antes de realizar cualquier upgrade de versión realizamos manualmente un backup del directorio FTP y base de datos. Si bien ELSERVER.COM mantiene 10 copias de tu sitio siempre, lo recomendable es tener una copia del momento exacto anterior a realizar un cambio tan drástico. Podés usar el componente Akeeba Backup a tal fin.

El paso dos es asegurarnos de haber actualizado a la última versión disponible de la rama 1.5 (1.5.26). Para actualizar a Joomla! 1.5.26, por favor siga las instrucciones de este enlace http://joomlacode.org/gf/project/spanish/frs/?action=FrsReleaseView&release_id=16897

Paso 3: Preparar la migración. Vamos a usar un componente que se encarga de la mayoría de las tareas. Este componente es jUpgrade. Procedemos a instalar el componente y luego a reflexionar acerca de las siguientes preguntas:

  • ¿Está actualizada mi versión de Joomla! 1.5? (asumiendo que seguiste los pasos, sí)
  • ¿Modificaste algún archivo o tabla mysql del core de Joomla!? (en caso afirmativo, estos cambios se pierden post migración)
  • ¿Son las extensiones de tu sitio compatibles con Joomla! 2.5? (podés usar el buscador avanzado del directorio oficial de extensiones Joomla! para comprobarlo)
  • ¿Existe una versión Joomla! 2.5 de tu template actual?

Una vez resueltas todas estas dudas e instalado el componente, estamos listos para la operatoria. Recordamos que es fundamental contar con un backup de acuerdo a lo mencionado anteriormente (nunca se sabe si algo puede salir mal). Vamos al paso a paso (imágenes al final del artículo):

  1. Descargar e instalar la extensión jUpgrade.
  2. Chequear que la extensión “Mootools Upgrade” esté activa. Para esto ingresar a Extensions > Plugin Manager.
  3. Configurar el componente a través de la opción “Parameters” del mismo. Ver captura de pantalla para el seteo de opciones recomendadas.
  4. Una vez configurados los parámetros, click en “Start Upgrade”.

Finalizada la migración, el componente nos mostrará sendos accesos al front y back-end de la nueva instalación. Ingresamos a ambos para chequear que todo haya quedado en orden, una vez hecho esto tenemos que mover los nuevos archivos para dar por finalizada la migración.

Teniendo en cuenta (una vez más por las dudas) que disponés de un backup de directorio y base de datos:

  1. Eliminamos del directorio de instalación original todos los directorios y carpetas, a excepción de la carpeta ‘jUpgrade’ en donde se encuentra el directorio de la nueva instalación.
  2. Usando un cliente FTP, movemos todos los archivos de la carpeta ‘jUpgrade’ directamente en el directorio principal. Por ejemplo:
    Origen ‘/nombrecuenta/htdocs/jUpgrade/’
    Destino ‘/nombrecuenta/htdocs/jUpgrade/’
  3. Solo nos resta actualizar la ruta en el configuration.php de la nueva instalación para comenzar a usar la versión de Joomla! 2.5.

Desde ya, por cualquier inconveniente en este proceso contactanos por cualquiera de los canales habituales: chatmail o a alguno de los teléfonos de tu ciudad.

Hemos dado un gran paso para asegurar y optimizar nuestra instalación Joomla!. En el próximo post vamos a revisar algunas medidas de seguridad para evitar hackeos e infecciones.

Hasta la próxima!

JUpgrade_Page_3_-_Parameters_screen

JUpgrade_Page_1_-_jUpgrade_logo

JUpgrade_Page_4_-_Step_9_panelMuchos de nuestros clientes eligen el popular (y gratuito) CMS Joomla! para sus proyectos. Si bien en los últimos años ha perdido terreno frente a otros competidores tales como WordPress, es una opción vigente por su capacidad para añadir fácilmente características extra al sitio. Esto se realiza a través de extensiones tales como componentes y plugins (alrededor de 8600 extensiones oficiales), que proveen diversas funcionalidades tales como encuestas, sistema de suscripción y envío de newsletters, carrito de compras, foros, galerías, etc. En este enlace podés encontrar un listado de las extensiones más populares. Pero bueno, no estamos acá para hablar de plugins. De hecho, el abuso de este tipo de extensiones genera una notoria pérdida de performance del sitio de acuerdo a que cada componente que agregamos al sitio tiene su propia lógica, consultas a la base de datos, etc.

Este artículo pretende ser una guía para actualizar Joomla! a su versión más reciente e implementar algunas medidas de seguridad dado que, de acuerdo a nuestra estadística no oficial (fuente:soporte@elserver.com), Joomla! es también uno de los CMS más vulnerados.

Al momento de escribir este post, la última versión estable de Joomla! es la 2.5. Si bien se ha avanzado en la rama 3.0, se recomienda su instalación solo para sitios nuevos dado que no es compatible con muchas extensiones y plugins existentes.

Joomla! 1.5.x ha dejado de ser soportada en Abril del 2012. Esto significa que la comunidad que trabaja en el desarrollo y mantenimiento de este paquete no se encuentra activamente corrigiendo bugs y agujeros de seguridad para esta rama. Actualizar a una versión más reciente, es fundamental para mantener la seguridad en el sitio.

Migrando a Joomla! 2.5 desde 1.5.x (dificultad: intermedia)

Como siempre, antes de realizar cualquier upgrade de versión realizamos manualmente un backup del directorio FTP y base de datos. Si bien ELSERVER.COM mantiene 10 copias de tu sitio siempre, lo recomendable es tener una copia del momento exacto anterior a realizar un cambio tan drástico. Podés usar el componente Akeeba Backup a tal fin.

El paso dos es asegurarnos de haber actualizado a la última versión disponible de la rama 1.5 (1.5.26). Para actualizar a Joomla! 1.5.26, por favor siga las instrucciones de este enlace http://joomlacode.org/gf/project/spanish/frs/?action=FrsReleaseView&release_id=16897

Paso 3: Preparar la migración. Vamos a usar un componente que se encarga de la mayoría de las tareas. Este componente es jUpgrade. Procedemos a instalar el componente y luego a reflexionar acerca de las siguientes preguntas:

  • ¿Está actualizada mi versión de Joomla! 1.5? (asumiendo que seguiste los pasos, sí)
  • ¿Modificaste algún archivo o tabla mysql del core de Joomla!? (en caso afirmativo, estos cambios se pierden post migración)
  • ¿Son las extensiones de tu sitio compatibles con Joomla! 2.5? (podés usar el buscador avanzado del directorio oficial de extensiones Joomla! para comprobarlo)
  • ¿Existe una versión Joomla! 2.5 de tu template actual?

Una vez resueltas todas estas dudas e instalado el componente, estamos listos para la operatoria. Recordamos que es fundamental contar con un backup de acuerdo a lo mencionado anteriormente (nunca se sabe si algo puede salir mal). Vamos al paso a paso (imágenes al final del artículo):

  1. Descargar e instalar la extensión jUpgrade.
  2. Chequear que la extensión “Mootools Upgrade” esté activa. Para esto ingresar a Extensions > Plugin Manager.
  3. Configurar el componente a través de la opción “Parameters” del mismo. Ver captura de pantalla para el seteo de opciones recomendadas.
  4. Una vez configurados los parámetros, click en “Start Upgrade”.

Finalizada la migración, el componente nos mostrará sendos accesos al front y back-end de la nueva instalación. Ingresamos a ambos para chequear que todo haya quedado en orden, una vez hecho esto tenemos que mover los nuevos archivos para dar por finalizada la migración.

Teniendo en cuenta (una vez más por las dudas) que disponés de un backup de directorio y base de datos:

  1. Eliminamos del directorio de instalación original todos los directorios y carpetas, a excepción de la carpeta ‘jUpgrade’ en donde se encuentra el directorio de la nueva instalación.
  2. Usando un cliente FTP, movemos todos los archivos de la carpeta ‘jUpgrade’ directamente en el directorio principal. Por ejemplo:
    Origen ‘/nombrecuenta/htdocs/jUpgrade/’
    Destino ‘/nombrecuenta/htdocs/jUpgrade/’
  3. Solo nos resta actualizar la ruta en el configuration.php de la nueva instalación para comenzar a usar la versión de Joomla! 2.5.

Desde ya, por cualquier inconveniente en este proceso contactanos por cualquiera de los canales habituales: chatmail o a alguno de los teléfonos de tu ciudad.

Hemos dado un gran paso para asegurar y optimizar nuestra instalación Joomla!. En el próximo post vamos a revisar algunas medidas de seguridad para evitar hackeos e infecciones.

Hasta la próxima!

JUpgrade_Page_3_-_Parameters_screen

JUpgrade_Page_1_-_jUpgrade_logo

JUpgrade_Page_4_-_Step_9_panel

¿Qué es el protocolo SSL?

Seguridad con SSLLa seguridad es, cada vez más, una condición para desarrollar tu negocio en internet.

Carritos de compra, sitios de registraciones y hasta las aplicaciones para Facebook, la red social más importante del mundo, hoy exigen tener un certificado Secure Sockets Layer (SSL).

¿Pero qué es finalmente el SSL y por qué es tan importante?

SSL es un protocolo criptográfico que hace que los intercambios en Internet requieran una autenticación, lo cual otorga seguridad y privacidad a las comunicaciones.

Su función es cumplir tres simples pasos:

  1. Negociar entre las partes el algoritmo que usará para comunicarse, y poner a disposición el certificado
  2. Identificar mediante certificados digitales al portador
  3. Cifrar el tráfico de la información involucrada en la transacción

Si el certificado es aprobado comienza el intercambio de la información privada y crítica requerida en la transacción pero de manera segura, completamente encriptada. Que la información está encriptada significa que se utilizó un algoritmo de cifrado con una clave para transformar un mensaje en una combinación incomprensible para cualquiera que no tenga la claves secreta de descifrado del algoritmo.

Nuestros certificados SSL utilizan uno de los algortimos de cifrado más habituales, 128 bits: si quisieran vulnerarlo significaría un trabajo de un billón de años para el atacante que quisiera entrar a una sesión protegida.

Contratá ahora tu certificado SSL y empezá a trabajar en un entorno seguro y escalable, cumpliendo con las nuevas normas de Facebook. Vos ocupate de la creatividad, nosotros la hacemos correr.

¿Querés certificados más potentes? Contratalo acá

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE