Cómo asegurar tu sitio WordPress (2da parte)


Wordpress

¿Quién dijo que las segundas partes no son buenas? ¡Esta es súper interesante y completa! Luego de una primera entrega donde repasamos algunos conceptos de seguridad básicos, se va la segunda con muchos más tips.

Limitar la cantidad de intentos de acceso

Para evitar los ataques de acceso por fuerza bruta es recomendable restringir la cantidad de intentos que realiza un usuario para ingresar al panel administrativo y bloquearlos temporalmente luego de una determinada cantidad de intentos fallidos. Esto ayuda a prevenir que alguien descubra nuestra contraseña por prueba y error.

Esto se puede hacer fácil y rápidamente con plugins como Login LockDown y Simple Login Lockdown que se ocupará del control de acceso de tu sitio WordPress permitiendo, entre otras cosas, configurar cuantos intentos de accesos se admitirán y el tiempo de espera antes de permitir un nuevo intento.

Ocultar los errores de acceso

Cuando intentás ingresar a tu sitio WordPress con un usuario o contraseña incorrecta, el formulario de acceso muestra un mensaje de error indicando cual de los datos es el erróneo. Esto brinda información a los usuarios malintencionados sobre que nombres de usuarios son correctos para ingresar al sitio. Se recomienda reemplazar esos mensajes de error por uno genérico y así ocultar dicha información.

Para esto hay que agregar el siguiente código en el archivo functions.php del theme de tu sitio:

add_filter('login_errors', create_function('$a',
"return 'Los datos de acceso son incorrectos.';")
);

Reemplazando el text «Los datos de acceso son incorrectos» por el mensaje que desees mostrar.

Utilizar el modo seguro para ingreso de usuarios

Desde WordPress es posible definir que los accesos de usuarios se realicen en Modo Seguro utilizando el protocolo SSL únicamente para que los datos de acceso viajen encriptados entre el navegador y tu sitio. Es decir que sólo se podrá ingresar con un usuario si utilizando una dirección que comienza con https://.
Para habilitar esta opción simplemente debes agregar en tu archivo wp-config.php la siguiente línea de código:

define('FORCE_SSL_LOGIN', true);

Si además de forzar que los ingresos sean seguros se desea forzar la navegación segura con SSL en toda la sección del panel administrativo, se puede hacer agregando el siguiente código:

define('FORCE_SSL_ADMIN', true);

Para que tengan efecto estos códigos deben ser agregados al archivo de configuración antes de la siguiente línea:

require_once(ABSPATH . 'wp-settings.php');

También debes tener en cuenta que el acceso con modo SSL hace más lenta la navegación en el sitio. Además, si bien ELSERVER.COM lo permite, algunos servidores y planes de hosting no tienen habilitado el acceso a través de SSL, con lo cual asegúrate de tener habilitada esa opción en tu servicio de hosting antes de realizar este paso o contratá hoy mismo un plan con nosotros.

Configurar las claves secretas de autenticación

Estas claves se encuentran definidas en el archivo wp-config.php y se utilizan para encriptar de forma más segura tu contraseña y los datos que se transmiten entre el sitio y tu navegador lo que hace más difícil que alguien pueda adivinarlos o acceder a ellos.

Para definir estas claves secretas debes editar las líneas del archivo wp-config.php en donde figura lo siguiente:

define('AUTH_KEY', 'Frase de seguridad');
define('SECURE_AUTH_KEY', 'Frase de seguridad');
define('LOGGED_IN_KEY', 'Frase de seguridad');
define('NONCE_KEY', 'Frase de seguridad');
define('AUTH_SALT', 'Frase de seguridad');
define('SECURE_AUTH_SALT', 'Frase de seguridad');
define('LOGGED_IN_SALT', 'Frase de seguridad');
define('NONCE_SALT', 'Frase de seguridad');

Donde dice «Frase de seguridad» debes colocar la frase o clave que quieras utilizar, se recomienda que sean claves aleatorias de tal forma que no puedan ser adivinadas fácilmente.

Puedes generar las claves aleatorias utilizando el WordPress Key Generator. Simplemente copia las claves que genera y reemplazalas en tu archivo wp-config.php.

Cambiar la ubicación del archivo wp-config.php

En las últimas versiones de WordPress, más específicamente a partir de la versión 2.6, es posible reubicar el archivo wp-config.php un nivel más arriba del directorio donde se haya creado la instalación para que no sea accedido públicamente.

Por ejemplo, si nuestra instalación está ubicada en /public_html/misitioweb/, entónces el archivo wp-config.php podría moverse de esa carpeta a /public_html/ y WordPress autodetectará en cual de las dos se ubica. Pero por más que se lo coloque en cualquier otra ubicación, WordPress no lo detectará.

Cabe aclarar que el archivo de configuración sólo se puede reubicar en la carpeta superior al raíz de la instalación WordPress y NO en cualquier directorio como se menciona en algunos artículos.

Si lo colocas en cualquier otra ubicación, WordPress no lo detectará e intentará crear uno nuevo a través del asistente de instalación. Esto genera una falla de seguridad más grave ya que quien ingrese primero al sitio web podrá generar una nueva instalación.

Prevenir la inyección de código malicioso

Dependiendo de cómo esté configurado el servidor de hosting, existe la posibilidad de que alguien intente sobreescribir las variables globales de PHP a través de la URL de acceso a algunas de las páginas del sitio. Para evitar esto se pueden filtrar los parámetros de las URL a través del módulo rewrite, agregando la siguiente configuración en el archivo .htaccess del directorio raíz:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Eliminar los plugins innecesarios

Existen muchos plugins que no se encuentran debidamente probados o que no reciben mantenimiento y actualización para las nuevas versiones de WordPress. Estos pueden generar errores, agujeros o filtraciones de seguridad que pueden ser aprovechados por quienes deseen hacer daño y perjudicarán el funcionamiento del sitio.

Si tienes plugins instalados en tu sitio que no estas utilizando o de los cuales no sabes qué riesgos de seguridad pueden presentar, la mejor opción es desactivarlos y desinstalarlos completamente desde el menú de gestión de Plugins. Asegurate de que se hayan eliminado todos los archivos de esos plugins en la carpeta /wp-plugins de tu instalación para evitar cualquier filtración posible.

Hasta aquí llega el alcance de la seguridad básica que podría implementar cualquier propietario de un sitio WordPress. En la próxima nota veremos otros tips para restricción de permisos en los archivos, modificación de configuraciones predefinidas durante la instalación y como agregar más seguridad al panel administrativo.

Cómo asegurar tu sitio WordPress (1ra parte)

Wordpress

Nos interesa mucho tu seguridad, por lo que seguimos acercándote las mejores sugerencias para tu sitio. En esta oportunidad te vamos a contar, en dos notas, qué acciones podes tomar para aplicar en tu sitio WordPress.

Uno de las principales desventajas de utilizar WordPress para tener un blog o sitio propio reside en que es una herramienta pública. Es decir, todo el mundo tiene acceso al código fuente de la misma y, por ende, puede saber o analizar como funciona. Esto implica que cualquiera con un mínimo conocimiento en programación y desarrollo de sitios web pueda encontrar errores o vulnerabilidades que aún no hayan sido corregidas, o siquiera detectadas, de las cuales aprovecharse para dañar el sitio o robar información.

Continuar leyendo «Cómo asegurar tu sitio WordPress (1ra parte)»

Se viene el nuevo Panel de Control

Estamos a unas semanas de cerrar la etapa de testeos de nuestro nuevo Panel de Control, ¿ya lo probaste?

A partir de Junio  de 2013 estaremos utilizando esta nueva interfaz, mucho más rápida, amigable e intuitiva. Con todas las funcionalidades que ya conocés pero con una performance muy superior.
Si querés saber más acerca de cómo es este nuevo Panel, no te pierdas esta nota!

Y si querés meterte en el Panel Beta, andá a panelbeta.elserver.com

¡Esperamos tus comentarios!

Nuevo panel: Frontstage y Backstage de creación de usuarios de mail

Uno de los aspectos más potentes del nuevo panel de control es la posibilidad de ejecutar cualquier acción a través de nuestro API. Es una de las características fundamentales de nuestra nueva aplicación, al punto tal que la UI (es decir la interfaz del usuario) está desarrollada íntegramente en JavaScript y todo el procesamiento se realiza mediante llamadas al API. Esto quiere decir que cualquier usuario de la plataforma, o que simplemente tengan un usuario SSO, puede crear un Panel de Control con exactamente las mismas funcionalidades.

En este artículo vamos a tomar como ejemplo una acción cotidiana como dar de alta un usuario de mail y ver que es lo que pasa detrás de escena.

Alta de un usuario de mail desde el Panel de Control

Para crear un usuario de mail los pasos son los siguientes:

1- Ingresar al panel de control (https://panelbeta.elserver.com/) con tu SSO.

2- Seleccionar desde la izquierda la cuenta a la que le querés crear un nuevo usuario de mail.

3- Una vez desplegado el menu de la cuenta, hacer click en Emails.

4- En esta sección hacer click en el botón de «Agregar email».

5- Completar los datos de Usuario y Contraseña del nuevo mail.

6- Hacer click en el botón de «Guardar Cambios».

Alta de un usuario de mail mediante el API

Para replicar esta misma funcionalidad pero directamente desde el API del Panel de Control, debemos:

1- Validarnos: Para ejecutar cualquier comando en el API debemos tener un Access Token. Para obtenerlo, debemos ejecutar un login en el módulo SSO, que se traduce a lo siguiente:

https://cloudapi.elserver.com/sso/login/?sso=miusuariosso@dominio.com&password=miclavedesso

El resultado será un json con 2 datos: access_token y sso. Almacenemos el primero porque lo necesitaremos para todas las llamadas que hagamos al API.

2- Ejecutar el alta: A diferencia de la UI, el API recibe directamente la cuenta sobre la que vamos a trabajar como un parámetro, no hace falta ejecutar ninguna instrucción de selección de cuenta. El namespace del módulo es /account/email/ y siguiendo los lineamientos de cualquier API REST debemos hacer un POST a esa dirección para agregar un elemento nuevo.

Para cualquier acción que no sea GET, podemos usar cualquier aplicación online o para facilitar las cosas el API soporta que le sobreescriban el método con un argumento del estilo method=POST. Esto último es lo que usaremos en esta oportunidad.

Ya tenemos nuestro access_token, y el namespace y método a donde debemos enviar nuestra información, solo resta elegir nuestro usuario y clave: cosmefulanito@midominio.com y clave eseperrotienelacolapeluda en nuestra cuenta midominio.com. La llamada completa quedaría así:

https://cloudapi.elserver.com/account/email/?account=midominio.com&user=cosmefulanito@midominio.com&password=eseperrotienelacolapeluda&method=POST&access_token=[ACCESS_TOKEN]

Si todo salió correctamente, deberíamos obtener un json con una respuestas {data: 1}. y listo, acabamos de emular la funcionalidad del Panel de Control pero directamente en el API.

Espero que les sirva como introducción al uso de nuestro API. En los próximos días profundizaremos más en los módulos que lo componen y en su utilización.

Te presentamos nuestro nuevo Panel de Control

Hace mucho tiempo en ELSERVER.COM venimos trabajando para brindarte una mejor experiencia en la aplicación por la que controlás toda la funcionalidad de tus cuentas: el Panel de Control. Por eso desarrollamos una nueva versión, más simple y mucho, mucho más rápida.

Esta nueva versión del Panel de Control desde hoy se encuentra en Beta pública, es decir: ¡podés probarla ahora mismo!

Durante todo el mes vamos a publicar notas y tutoriales sobre el nuevo Panel, para que lo vayas conociendo. Mientras tanto, tené en cuenta que:

  • Esta es una versión preeliminar disponible sólo para clientes directos de ELSERVER.COM, seguimos trabajando para mejorarlo hasta llegar a la versión definitiva que reemplazará al Grid Panel actual.
  • Todo lo que hagas en el Panel Beta es real, es decir: si modificás algo desde este nuevo panel lo verás reflejado en el viejo y viceversa.
  • Nos tomaremos todo Mayo para testear la aplicación con ustedes, los heavy users. Para la primera semana de Junio, una vez que todos nos hayamos familiarizado con la herramienta, haremos el relanzamiento oficial del nuevo Panel con nombre y URL nuevas 🙂

Ahora sí, repasemos las novedades.

Lo nuevo en el Panel Beta

Todas tus cuentas en un sólo lugar

Navegar por tus cuentas en el Panel actual es complicado, lo sabemos. Entrar a tu panel SSO, de ahí al panel de una cuenta, de ahí al panel de un cliente…

Por eso el Panel Beta presenta una nueva interfaz unificada en donde podrás encontrar todas tus cuentas en el sidebar, y cambiar de una a otra con un click. Al desplegar cada una, verás sus secciones y podrás llegar siempre rápido a lo que buscás.

Si sos revendedor, podés agregar tantos clientes como quieras a tu sidebar para acceder a ellos rápidamente.

¿Rápido? Mucho, mucho más rápido

Queremos que tardes el menor tiempo posible en acceder y modificar todos los elementos de tu cuenta. Por eso en esta versión pusimos el foco en la velocidad: el Panel Beta es una single page app. ¡Nunca se refresca la página completa! Sólo se actualizan los elementos necesarios.

Es mucho más fácil navegar entre los distintos elementos de un listado, al hacer click en uno verás el detalle en el panel derecho, listo para editar.

Al modificar o eliminar elementos, el pedido se ejecuta de fondo, así que podés seguir trabajando mientras la tarea se completa. Aún así, ¡sólo tarda un instante! El cartel de Cargando a veces no termina de aparecer y ya le decimos que tiene que ocultarse. Sí, nos odia.

Backups fáciles de navegar y restaurar

Una de las grandes novedades es la posibilidad de explorar los backups de tu web tal como recorrés las carpetas de tu disco.

En la sección backups encontrarás los respaldos completos de tu sitio, uno por hora en los últimos diez días. Es decir: 24 copias de 10 días, 240 copias completas de todo tu contenido web.

Al entrar a una de ellas, verás las carpetas y archivos de tu sitio tal como estaban en ese momento. Podés ingresar en las carpetas con un doble click, y restaurar o descargar cualquiera de los archivos.

Estadísticas renovadas

Renovamos por completo las estadísticas, para que puedas ver la información que buscás de una forma más simple y organizada. Podés ver datos completos sobre tus visitas, transferencia y hits; y conocer a través de qué fuentes llegan tus visitas, qué sitios te enlazaron y qué frases buscan para llegar a tu web.

Más fácil de adaptar a tus colores e imagen de marca

Si sos revendedor, el nuevo Panel Beta te permite crear skins con tus colores y logo en un instante. No tenés que preocuparte por subir archivos CSS, editar código que no comprendés o depender de un diseñador: el Panel Beta lo hace por vos.

English? Yes, sir

Porque pensamos en tus ventas y sabemos lo importante que es expandirse a todos los mercados, el nuevo Panel está disponible en múltiples idiomas. Las versiones en Español, Inglés e Italiano están completas, y hay muchas más traducciones por venir.

Impecable detrás de escena

El Panel Beta integra nuestro nuevo API REST, que permite llamadas Ajax cross-domain y alta de tareas asincrónicas. Este nuevo API está abierto a todos los desarrolladores que quieran integrar las funcionalidades del Panel Beta en sus propias aplicaciones.

Probá el Panel Beta en panelbeta.elserver.com

Primeros pasos en el Panel Beta

¿Dónde encuentro cada sección?

Las mudanzas suelen ser un dolor de cabeza. Pero queremos que esta sea la excepción. Por eso, hemos reordenado todas las secciones del Grid Panel en un sólo listado de secciones. Todo lo relativo a tu cuenta lo encontrarás al hacer click en su nombre. Se desplegará un menú con los siguientes ítems:

  • Inicio: un resumen del estado de tu cuenta.
  • Administradores: todos los usuarios SSO que tienen acceso a la cuenta.
  • Estadísticas: gráficos y reportes sobre tus visitas.
  • Sitios: todos los sitios de tu cuenta, lo que en el Grid Panel encontrabas como dominios.
  • Emails: todas las cuentas de correo, más la lista blanca y negra de remitentes.
  • Respaldos: los backups de tu cuenta, mostrados como carpetas navegables.
  • FTP – SSH: los usuarios FTP – SSH de tu cuenta, que antes encontrabas en el menú administración.
  • Bases de datos: tus bases MySQL con sus respectivos usuarios.
  • Servidores Virtuales: si tenés contratado un SPV de correo, aparecerá aquí.
  • Tareas programadas: los Cron que hayas programado.
  • Carpetas protegidas: las carpetas con acceso restringido de tu cuenta, con sus respectivos usuarios.
  • Importación de datos: las tareas de importación FTP
  • DNS: tus registros DNS, lo que antes figuraba como Gestión de Zonas.
  • Facturas: las facturas emitidas de tu cuenta, tus datos de facturación y servicios contratados.

Si sos reseller, adicionalmente tendrás disponible las siguientes secciones:

  • Clientes: el listado de cuentas de tus clientes, lo que antes figuraba como subcuentas.
  • Planes: los planes de hosting que vende tu cuenta.
  • Temas: la nueva sección de skins simples del Panel de Control.

Lo básico: crear, modificar y eliminar elementos

Como verás, al hacer click en una de esas secciones – por ejemplo, email – se accede a un listado: cada registro – cada email – está representado por un ícono, con el nombre que lo identifica debajo. Al hacer click sobre él, verás el detalle listo para editar a la derecha de tu pantalla: luego de cambiar los datos que quieras actualizar – por ejemplo, la contraseña de esa cuenta de email – hacé click en el botón Guardar cambios. ¡Listo!

Para eliminar un elemento, seleccionalo con un click y presioná el botón Eliminar.

En cada listado encontrarás la opción para crear un elemento – Crear email, por ejemplo – arriba del listado. Al hacer click en él, verás un formulario muy similar al anterior, pero obviamente, vacío: completalo con los datos que desees y hacé click en Guardar cambios.

¡Sí, sabemos que darte este paso a paso puede ser muy obvio! Ojalá así sea, significaría que hemos hecho la interfaz del nuevo Panel más intuitiva y fácil de usar.

Y ahora, tenés el control

Pero ahora, te cedemos la palabra: te invitamos a probar la Beta y contarnos qué te parece: esperamos todas tus dudas, críticas, pedidos y comentarios. Nos encantaría escuchar tu opinión.

En caso de que tengas algún inconveniente al usarlo, podés escribirnos a soporte@elserver.com. Y, como siempre, a través de Facebook y Twitter.

¡Hasta la próxima!

CloudFlare Railgun + ELSERVER.COM: ¿Cuánto más rápido es realmente?

Esta semana les contamos que actualmente somos el primer y único Optimized Hosting Partner de CloudFlare para Latinoamérica.

Esta alianza estratégica va a hacer que tu sitio funcione más rápido. Pero, ¿cuánto más rápido?

Un partnership para hacer sitios más rápidos
Para responder esto nos pusimos a hacer algunas pruebas.
Básicamente tomamos sitios alojados en nuestra red, medimos sus tiempos de carga utilizando Pingdom, y comparamos los resultados después de activar Railgun. Además, con el plugin Claire para Chrome podemos observar los porcentajes de compresión obtenidos.

Caso: jpcorti.com.ar

Antes

jpcorti.com.ar-plain

Después

jpcorti.com.ar-cf

Podemos notar 0.98s menos de tiempo de carga… o ¡casi un 37% más rápido!

Estamos notando resultados similares en casi todos los casos, o incluso con mayores mejorías.

¿Ya activaste CloudFlare para tu sitio? Si no lo hiciste, ¡hacelo ya y compartinos tus resultados!

Para verificar la diferencia de velocidad utilizando Pingdom usá la herramienta online en https://tools.pingdom.com. Antes de iniciar el test hacé click en el icono «Settings» y elegí cualquiera de los 3 test servers que tienen. Asegurate de elegir el mismo al hacer la prueba después de activar CloudFlare.

Dado que CloudFlare requiere un cambio a nivel DNS, te sugerimos esperar aproximadamente una hora entre pruebas de Pingdom, luego de activar el servicio desde tu Panel de Control.

 

Actualización de la Nota:

Nuestro cliente Ignacio Anduaga nos cuenta sobre su experiencia:

«Investigué hace tiempo atrás el servicio de CloudFlare, y francamente nunca terminé de entenderlo ni le pude dedicar el tiempo que debería haberle dedicado. Cuando me enteré que elserver.com iba a implementar el servicio para los sitios alojados en su servidor me puse muy contento, porque sabía que se acababan las complicaciones, y hoy hice la prueba con uno de mis clientes:https://www.laguiaclub.com
Dejo una captura de la comparación antes y despues de habilitar Railgun en este dominio. https://twitpic.com/cakm6q

La diferencia ES BESTIAL y fundamental para un sitio que brinda información muy necesaria para el turismo local. (San Pedro)
Sólo hizo falta loguearme, apretar un tilde y esperar a que efectuara la actualización.

Estoy muy contento con el resultado, y muy feliz de ver que la empresa que escogí para alojar el 95% de mis clientes no se queda quieta y busca siempre dar un mejor servicio.»

¡Gracias Ignacio por tus comentarios! 

Mejorando tu e-mail con DMARC: SPF y DKIM con esteroides

DMARC significa «Domain-based Message Authentication, Reporting & Conformance«, es una especificación técnica creada por un grupo de organizaciones destinado a reducir el potencial de abuso del correo electrónico, resolviendo deficiencias históricas de los servicios de correo.

DMARC.ORG

DMARC construye y mejora sobre SPF y DKIM, tecnologías – ya disponibles para nuestros clientes – que permiten autenticar los correos emitidos y garantizar que los mismos no sean modificados en tránsito por un tercero.

Con DMARC podemos, entre otras cosas, intercambiar información con proveedores acoplados a la norma (como Hotmail, Gmail, Yahoo, Twitter y más, sumándose día a día) sobre detecciones de abuso de correo, rebotes o rechazos, correos puestos en cuarentena, etc.

Nos complace anunciar que desde el día de hoy, todos nuestros clientes cuentan con soporte para DMARC en sus correos enviados. Esta es una herramienta más de protección, y de mejora de deliverability o entregabilidad de sus correos.

En las próximas semanas, iremos incorporando acceso a los reportes generados vía DMARC para que cada site-admin pueda ver la información que ha ido generando.

Algunas aclaraciones técnicas:

  • No es necesario que configures o modifiques nada para contar con DMARC!
  • Si tenés registros TXT o SPF agregados manualmente, DMARC no se va a habilitar de forma automática. Debes eliminar dichos registros, o dar de alta DMARC a mano.
  • Podés ver si tenés DMARC bien configurado ingresando a https://www.dmarcian.com/dmarc-inspector/
  • En MAAWG podés encontrar unos excelentes videos explicativos sobre la tecnología.

Exclusivo ELSERVER.COM para Latam: CloudFlare en tu sitio

host-optimized-badge-250px

Estamos muy felices de anunciar que somos el primer Optimized Hosting Partner de Latinoamérica de CloudFlare, empresa de rendimiento y seguridad web.

Como CloudFlare Optimized Partners, podemos acercarte la tecnología CloudFlare +CloudFlare Railgun™ de manera gratuita para todos nuestros clientes. Esta nueva funcionalidad se va a poder activar desde el Panel de Control a partir del 04 de marzo de 2013. Así funciona:

graf_post1

Railgun es la última tecnología en optimización de performance desarrollada por CloudFlare, la cual genera mejoras significativas en el tiempo de carga de los sitios.

Railgun se asegura que la conexión entre nuestra red y la red de CloudFlare sea lo más rápida posible. Railgun alcanza un ratio de compresión de  99.6% de los objetos web que hasta ahora no se podían cachear usando técnicas similares a las usadas para videos de alta calidad. Un sitio web promedio puede esperar una mejora en la performance de un 43%

graf_post2

Cuando se hace un pedido al servidor de CloudFlare para una web que no está en caché, CloudFlare hace una conexión HTTP al servidor de origen (nosotros) para pedir la página. Es esta conexión la que Railgun acelera y asegura.

Incluso, los sitios dinamicos sufren modificaciones muy lentamente.

Railgun trabaja reconociendo ese contenido web no cacheable que no cambia rápidamente. Por ejemplo, durante un experimento, la homepage de CNN.com fue capturada una vez y de nuevo después de 5 minutos y luego otra vez pasada una hora. El tamaño de la página era 92,516 bytes, cinco minutos después aún 92,516 bytes y una hora más tarde 93,727 bytes.

CNN fija el cacheo en esta página a 60 segundos. Luego de un minuto, es necesario bajar la página entera de nuevo. De todos modos, mirando al interior de la página, no mucho cambió. De hecho, el cambio entre versiones está en el orden de cientos de bytes de un total de miles. Acá mostramos una captura de pantalla de las diferencias, a nivel binario, entre las páginas de inicio de CNN, en intervalos de a 5 minutos. En amarillo están marcados los bytes que van cambiando.

graf_post3

Experimentos en CloudFlare revelaron cambios similares a lo largo de toda la web. Por ejemplo, reddit.com cambia aproximadamente un 2.15% cada 5 minutos, y un 3.16% en una hora. La página inicial del The New York Times cambia aproximadamente un 0.6% cada 5 minutos y un 3% cada hora. BBC News cambia 0.4% cada 5 minutos y 2% cada hora.

Si bien las páginas web dinámicas no son cacheables, tampoco cambian muy rápido. Eso quiere decir que de un momento a otro solamente hay una pequeña variación entre versiones de una página. CloudFlare Railgun usa este hecho para conseguir tasas de compresión extremadamente altas. Esto es muy similar a como funciona la compresión de video, buscando cambios entre fotograma y fotograma. Railgun busca cambios en una página entre descarga y descarga.

Tecnología Railgun
Railgun consiste de dos componentes: El emisor y el escucha. El emisor está instalado en cada data center de CloudFlare a lo largo del globo. El escucha es un componente de software que nosotros hemos instalado en elserver.com para nuestros clientes.

El emisor y el escucha establecen una conexión TCP permanente que está encriptada utilizando TLS. Esta conexión TCP es utilizada por el protocolo Railgun. Es un protocolo binario multiplexado que permite que múltiples pedidos HTTP puedan ser ejecutados en simultáneo y de forma asincrónica a lo largo del vínculo. En otras palabras, una conexión persistente es abierta entre nuestros centros de datos y los de CloudFlare y elimina el overhead de TCP.

Hemos hecho muy simple que nuestros clientes accedan a los benecifios de Railgun con un sólo click. Para información adicional sobre como hacerlo, quedate cerca de nuestro blog o buscá la opción de CloudFlare a partir del lunes 4 de Marzo!

¡Conocé nuestro Nuevo Webmail!

 

Hace unas semanas te invitamos a probar la Nueva Plataforma de Webmail.

Muchos de ustedes se pusieron a hacer pruebas y nos hicieron llegar sin numero de comentarios y ajustes: ¡A los colaboradores Muchas Gracias!
Luego de varios días de revisar el el feedback, mejoramos aún más la herramienta y hoy te presentamos el nuevo cliente de correos web de ELSERVER.COM. Entre las novedades que incluye la nueva herramienta encontrarás:

  • Nueva interfaz, mucho más amigable y práctica
  • Nuevo! Calendario
  • Contactos: nueva interfaz de administración, sumalos desde el correo
  • Notificaciones de escritorio para usuarios de Chrome y Firefox
  • Marcador de correo como SPAM (botón basura en la interfaz)
  • Configuración de autorrespuesta desde el webmail
  • Corrector ortográfico
  • Y mucho mas!

¿Aún no la probaste? Ingresá ahora. Para facilitar el acceso para vos y todos tus clientes definimos una Nueva URL de fácil recordación, ahora accedes a través de mail.elserver.com o mail.[tudominio.com]

Protección contra el virus Gumblar

Las últimas semanas un Malware/Virus de nombre «Gumblar» ha estado ganando inercia y generando infecciones mediante inyecciones de código malicioso en sitios Web.

Según ScanSafe han detectado incrementos de la cantidad de dominios infectados de un ~66% diario y hasta un ~180% entre semanas durante Mayo.

Qué hace este Virus ?

El código de Gumblar tiene como objetivo modificar las páginas de resultados de búsquedas en Google de los usuarios infectados, reemplazando los links por enlaces a más código malicioso.

Adicionalmente, roba los datos de usuario / clave FTP existentes en la pc para continuar propagando la infección, y abre una conexión de control contra un tercero que potencialmente da acceso a ciertos controles sobre la pc infectada sin conocimiento del usuario, para armado de Botnets.

Mi sitio está infectado / Google me marca como sitio con contenido Malicioso!

El virus no se propaga via XSS, sino modificando archivos via FTP a través de datos de usuario/clave obtenidos con el malware. Si tu PC o cualquier PC con acceso FTP a tu sitio está (o estuvo) infectada, estás en riesgo de sufrir una inyección de código.

Si tu sitio está infectado, podés limpiarlo de la siguiente forma:

1. Manualmente: Eliminar las etiquetas de <SCRIPT> … </SCRIPT> con el código malicioso de todos tus archivos .htm, .php, .asp, etc. Aquí hay indicaciones de como identificarlo en concreto (en inglés), aunque cualquier Webmaster con conocimientos de HTML puede detectarlo fácilmente con solo mirar el código HTML.

2. Automáticamente: Restaurar el sitio a una versión no infectada utilizando la herramienta de SnapShots del Panel de Control. Si el sitio fue infectado en los últimos 10 días, vas a tener una copia sana de tus datos.

3. Subir nuevamente el sitio: Desde una copia local del mismo. Pero ojo! Si el sitio está infectado es muy probable que sea tu misma pc (o la de tu diseñador) que infecte los archivos al subirlos.

Una vez actualizados los contenidos te recomendamos analizar el sitio con esta aplicación, para confirmar que no hay más infección a la vista.

También ejecutá un antivirus, lo más actualizado posible, sobre tu pc. Recomendamos utilizar el Malwarebytes que detecta este virus.

Y más importante aún, cambiar todas las claves de acceso FTP a tu sitio. Ya sea que las tengas en tu PC o en las de un tercero, las claves son enviadas por el virus a desconocidos que luego hacen las modificaciones. Por más que tu PC ya esté limpia, seguís en riesgo de infección hasta tanto no cambies tus claves de FTP.

Si la infección es reciente, podés ver los registros de acceso FTP desde tu Panel de Control para ver exactamente desde dónde, con qué usuario y qué archivos fueron modificados.