+54 11 5258-8400
Login

Mejorá tu sitio

Ahora se pueden registrar dominios .AR

.ar

A partir de ahora es posible registrar dominios con terminación .AR (no solamente .COM.AR)

Esto es algo que hace tiempo se viene comentando y esperando, www.nic.ar finalmente hace lugar a la demanda y se pone a la par de otros NIC del mundo, como España (.es), Colombia (.co) y otros tantos.

Para intentar generar una distribución justa de los dominios ya que habrá comprensiblemente una alta demanda por lo mismos -al fin y al cabo .ar sirve para crear dominios con el infinitivo de muchos verbos- este lanzamiento se está haciendo por etapas.

Etapa 1 - 11 de Septiembre a 9 de Noviembre de 2019

Durante este período, si ya sos titular de un dominio com.ar/net.ar/org.ar/int.ar/tur.ar registrado antes de Diciembre 2015 y vigente hasta al menos el 27 de Agosto de 2019, podés registrar el equivalente .ar abonando un arancel de $270.

Si hay más de una solicitud por el mismo dominio (por ejemplo si pepe.com.ar y pepe.org.ar ambos solicitan pepe.ar) se resuelve por sorteo quién se lo queda.

Etapa 2 - 25 de Noviembre de 2019 al 23 de Enero de 2020

Cualquier usuario puede solicitar el registro de un .ar, tenga otros dominios equivalentes preexistentes o no. Pero atentos: Se debe abonar una solicitud de registro de $200 solamente por el derecho a intentar registrar el dominio.

Si hay una sola solicitud, al finalizar la etapa podrás registrarlo con un arancel de $340 anuales.

Si hay más de una solicitud, sorteo. NIC.ar no aclara si en caso de no salir sorteado recuperás la solicitud de registro, pero nuestra interpretación es que no.

Etapa 3 - 23 de Febrero 2020 en adelante

Cualquier usuario puede registrar un .ar en el momento, si está disponible. NIC.ar no aclara el valor que tendrá, pero descontamos será de $340 anuales, al igual que en Etapa 2.

A tener en cuenta

Aplican las mismas restricciones de registro para que todos los demás dominios de www.nic.ar, conocé cuales son aquí

No pierdas la oportunidad de ser el primero en registrar extensiones .ar.. ¿ya estás listo para registrar tu nuevo dominio?

Auto HTTPS

auto https

HTTPs Automático

Tomaste la decisión de incorporar SSL/TLS a tu aplicación Web. Felicitaciones! Es un paso más hacia más seguridad y confianza con tus usuarios.

Es muy probable que luego de activar el servicio y certificado, hayas encontrado que en tu sitio:

  • No cambió nada
  • Se rompieron la mitad de los enlaces

Primero lo primero

Cuando escribes una URL tu navegador, éste se conecta al servidor web utilizando un protocolo. Este va a ser http o https (http+ssl). Posiblemente, solo escribas www.tusitio.com sin especificar protocolo, en ese caso el navegador lo va a elegir por vos. Por defecto, la mayoría va a usar http.

Es decir, salvo que tu usuario lo especifique a mano, lo más probable es que aún teniendo un certificado SSL instalado, todos sigan navegando tu sitio sin usarlo.

Auto HTTPs vs Configuración Manual

Todas las configuraciones y variantes que describimos abajo puede ser evitadas -en casi todos los casos- simplemente activando el servicio de Auto HTTPs para tu cuenta.

Configurar AutoHTTPs CloudPanel

Al activar Auto HTTPs nosotros nos encargamos automágicamente de los redirects http y de los encabezados Content-Security-Policy para resolver enlaces forzados a http.

Pero si tu sitio tiene alguna particularidad, o querés saber como hacer todo esto manualmente, seguí leyendo.

Nota: AutoHTTPs se activa por defecto cuando activas SSL en tu sitio. Puedes desactivarlo si prefieres realizar la configuración de forma manual.

Redireccionar http a https

Hay distintas formas de direccionar los accesos a tu sitio a https (y aprovechar todas las ventajas que te ofrece!)

Utilizando reglas .htaccess
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Esto lo que dice es: Si el acceso que esta llegando no utiliza https, generar un redirect 301 y terminar la ejecución.

Directo desde la aplicación

Si bien esto no abarca el sitio completo, muchas veces es suficiente con un cambio en el inicio. Por ejemplo para un index.php

if($_SERVER['HTTP_X_FORWARDED_PROTO'] != 'https'){
    header("HTTP/1.1 301 Moved Permanently"); 
    header('Location: https://' . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"] . ');
    exit();
}

Reemplazar todos los enlaces que contengan http por https

Una vez resuelto el redireccionamiento inicial, es importante que tus enlaces no digan http:// por ningún lado. De ser así, le estarías indicando al navegador que querés que ese enlace en particular debe ser solicitado sin SSL. Esto no solamente es contrario al objetivo, sino que además va a generar alertas al usuario.

Si usás enlaces relativos no vas a tener que cambiar nada. Si usás enlaces absolutos, posiblemte tengas que cambiar.. todo.

Por ejemplo

Incorrecto

<a href="http://www.tusitio.com/contacto">Contactanos!</a>;

Correcto

<a href="/contacto">Contactanos!</a>

<a href="https://www.tusitio.com/contacto">Contactanos!</a>;

Content-Security-Policy

El encabezado HTTP Content-Security-Policy permite indicarle a un navegador que debe ignorar el http:// en los enlaces, y asumir que dichos enlaces dicen https:// en su lugar. De esta forma, podemos lograr una transición fácil a usar SSL, sin preocuparnos porque nuestros enlaces estén todos rotos.

Puedes generar la siguiente regla .htaccess:

`Header always set Content-Security-Policy "upgrade-insecure-requests;"

WordPress a veces necesita una ayuda adicional

Si tu sitio en WordPress empieza a arrojar un error de ERR_TOO_MANY_REDIRECTS es posible que tengas que ajustar un poco el archivo wp-config.php

if ( $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https' )
{
    $_SERVER['SERVER_PORT'] = 443;
}

Y si aun permanece el error, definiendo de forma forzada las configuraciones WP_HOME y WP_SITEURL también en wp-config.php

define('WP_HOME','https://www.tusitio.com');
define('WP_SITEURL','https://www.tusitio.com');

PrestaShop, también:

PrestaShop a veces, puede insistir en que el sitio cargue con http por más que uno quiera mandarlo a https. Similar a WordPress, termina arrojando ERR_TOO_MANY_REDIRECTS

Opción 1: Desde el Administrador de PrestaShop, habilitar SSL:

Ir a Preferencias -> General y tildas las opciones Activar SSL y Activar SSL en todas las páginas

Opción 2: Alternativamente, desde phpMyAdmin, o cualquier administrador de base de datos, modificar le valor de PS_SSL_ENABLED.

UPDATE ps_configuration SET value=1 WHERE name="PS_SSL_ENABLED";
UPDATE ps_configuration SET value=1 WHERE name="PS_SSL_ENABLED_EVERYWHERE";

En caso que tengas habilitado el sistema de caché nativo de PrestaShop, es posible que debas vaciarlo para que el cambio haga efecto. Esto lo puedes hacer Ingresando a Preferencias -> Performance en veriones <1.5 o a Parametros Avanzados -> Performance en versiones más nuevas, desactivando la opción de Caché y volviendola a activar.

Si eso no funciona, también es posible eliminar manualmente los contenidos la carpeta cache/cachefs/ via FTP o SSH.

Ahora brindamos soporte para HTTP/2 en todos los servicios

Qué es HTTP/2?

HTTP/2 es la nueva versión del protocolo HTTP, la primera oficial desde el lanzamiento de HTTP/1.1 en 1997. Y si bien HTTP/1.1 sigue siendo el protocolo dominante en la web, HTTP/2 está lentamente ganando tracción.
Basado originalmente en el protocolo SPDY/2 de Google, y luego de muchas modificaciones y mejoras, HTTP/2 es actualmente soportado por los principales navegadores como Chrome, Firefox, Opera. Microsoft y Apple han anunciado planes para soportarlo en un futuro cercano.

Qué ventajas tiene usar HTTP/2?

Velocidad. El protocolo fue repensado principalmente en darle velocidad a una web que es cada vez más intensiva en el uso de recursos. El crecimiento en la cantidad y peso de los elementos de cada página hizo que hoy en día facilmente haya 30-40 o más recursos para descargar en cada acceso a un sitio.

HTTP/2 soporta Headers HTTP comprimidos, múltiples solicitudes (multiplexadas) sobre una misma conexión, server-push, un protocolo de datos binario más eficiente y compacto y encriptación TLS. Si bien el estándar no exige TLS de forma obligatoria, no hay ningún navegador que no lo requiera.

HTTP/2 entonces, realiza conexiones que transmiten menos datos y más comprimidos para cada elemento, permite sobre una sola conexión TCP transmitir toda la información en paralelo -permitiendo que otros protocolos funcionen mejor en conexiones compartidas -, evita esperar el inicio de nuevas conexiones (evitando esperas por latencia), permite emitir contenidos server-side, evitando también iniciar nuevas conexiones (todo esto siendo muy beneficioso en conexiones de alto Bandwidth-Delay Product), obliga a una mayor seguridad y en terminos generales mejora mucho los tiempos de carga de los sitios web.

La mejora en tiempos de carga puede ir en el rango de entre el 10% y el 50% para casos típicos.

Me gusta. Cómo hago para que mi sitio tenga HTTP/2?

Bueno básicamente, no tenés que hacer nada. Darte el mejor stack tecnológico posible es nuestra misión y por ello venimos trabajando desde el lanzamiento formal del protocolo este año para poder sumarlo a tus servicios.
De hecho, a partir de hoy mismo, ya lo tenés! Si entrás con cualquier navegador compatible, entonces tu sitio ya carga con HTTP/2, siempre y cuando cuentes con un certificado SSL válido.

Los certificados SSL son un adicional que podés incorporar a tu sitio, con distintos precios según el nivel de encriptación y certificación que requiere tu negocio. Pero si preferís no invertir en un SSL para tu sitio.. estate atento al blog que en poco tiempo tendremos más novedades al respecto 😉

Como siempre, te agradecemos tu confianza en nosotros para acompañarte a vos a tus clientes en la mejor experiencia en Internet.

PHP 7.0.1 disponible!

Hace unas pocas semanas te anunciabamos el lanzamiento y disponibilidad de PHP7 en todos nuestros servicios.

Sin hacerse esperar, ya salió la versión PHP7.0.1 con varias correcciones de primera hora. Ya hemos actualizado a esta última versión para aquellos aventureros que quieren seguir probando las bondades de este nuevo release.

Como antes, disponible en Configuración Avanzada de tu Sitio Web en el Panel de Control. El cambio de versión lleva 60 segundos 🙂

Si ya elegiste PHP7, ya estás actualizado a PHP7.0.1

pd: Esta actualización se realizó hace 2 semanas atrás, se nos restrasó el anuncio por fiestas y año nuevo!

[urgente] Vulnerabilidad Crítica en Joomla

En el día de hoy, el equipo de Sucuri ha encontrado un nuevo Zero-Day que afecta a prácticamente todas las versiones de Joomla, desde la 1.5 a la fecha.

La misma consiste en enviar solicitudes HTTP con un encabezado User-Agent falsificado, que no es correctamente procesado por Joomla y permite en algunos casos, la ejecución de código remoto y por ende hace que toda la aplicación sea vulnerable.

Debido a la facilidad con la que esto puede ser explotado sugerimos de forma urgente actualizar Joomla a la última versión disponible a la fecha (3.4.6)

Hemos implementado un parche virtual en nuestro Web Application Firewall para proteger tu sitio de momento, pero no descartamos que puedan surgir nuevas variantes del ataque en cualquier momento..

Por favor, no dejes de actualizar tu instalación de Joomla, solicitarla a tu Diseñador Web o contactarnos para solicitar ayuda.

 

Enlaces:

Anunciando soporte para NodeJS

NodeJS en ELSERVER.COM

Nos complace anunciar la incorporación de NodeJS como opción oficialmente soportada por nuestra plataforma de servicios.

Todos nuestros clientes Cloud Advanced o superior cuentan con soporte para NodeJS desde este momento. Pueden activarlo en segundos desde su Panel de Control en Sitios -> Configuración Avanzada, absolutamente sin cargo adicional. Si tenés un plan Starter, podés hacer un upgrade y estar disfrutando de esta tecnología, en el día!

Queremos que puedas enfocarte en tus desarrollos y clientes, para lo que preparamos un stack completo para correr tus aplicaciones que cuenta con todo lo necesario para cualquier situación, desde la más pequeña hasta la de más alto tráfico.

Solamente subiendo tu App, contás de forma automática con nuestra CDN para acelerar tus contenidos estáticos, compresión gzip automática, SSL/TLS integrado y preconfigurado, balanceo de carga y creación de pools de tu App de forma dinámica y transparente, backups por hora de todos los contenidos web, y backups diarios de toda la información de base de datos.
Además, podés activar CloudFlare para mayor aceleración CDN, y contratar certificados SSL específicos para tu dominio, directamente con nosotros.

Utilizamos una combinación de Varnish + Apache (event) + Passenger para que tengas la mayor velocidad, robustez y flexibilidad posible.

Como hacer un deploy de un App en NodeJS:

Fácil! Simplemente creando un archivo app.js y las carpetas tmp y public en tu raíz ya es suficiente. El siguiente código de ejemplo te permite crear el clásico Hola Mundo:

var http = require('http');
var server = http.createServer(function(req, res) {
    res.writeHead(200, { 'Content-Type': 'text/plain' });
    res.end("NodeJS en ELSERVER.COM!\n");
});
server.listen(3000);

En la documentación oficial de Passenger podés encontrar más ejemplos y documentación sobre como crear y reiniciar aplicaciones, y controlar configuraciones especiales mediante .htaccess.

Estamos muy contentos con este lanzamiento, que nos permite ser uno de los pocos proveedores de habla hispana que integra esta tecnología en plataforma de Hosting administrado, quitando a los desarrolladores la necesidad de gestionar manualmente su infraestructura, pudiendo así concentrar su tiempo en la creación de sus productos y captación de nuevos clientes.

Que lo disfruten!

mod_geoip + .htaccess = seguridad extra para tu sitio

Continuamos presentando nuevas herramientas para asegurar tu sitio. Hoy, mod_geoip + .htaccess.
Para usar esta poderosa herramienta de bloqueo, es fundamental contar con la información actualizada para tomar una buena decisión. ¿Como es esto?
Simple, el funcionamiento de esta herramienta permite bloquear el acceso a nuestro sitio a determinados países basados en un listado de referencias geoip. Entonces, ¿que información necesitamos?

  1. Conocer a nuestro público
    Evaluar a través de las estadísticas de visitantes de mi sitio cuál es mi audiencia. ¿Recibo visitas de otros países aparte de Argentina? Si mi negocio es pura y exclusivamente local (ej: local de autopartes) tal vez no me afecte dejar de recibir tráfico de países como Rusia o China (sobre todo si es tráfico malicioso). Es fundamental entonces hacer un análisis en este aspecto y saber a ciencia cierta de donde proviene nuestro público.
  2. Informarnos
    Sobre todo tener presenta la importancia de mantener nuestro sitio prevenido y asegurado. En el siguiente informe de Google podés tener una dimensión del porcentaje de sitios por país actualmente infectados. En Argentina, actualmente un 7% de los sitios relevados está infectado por malware.
    Creeme, es realmente un trabajo muy tedioso revisar línea por línea de código para limpiar la infección una vez que el sitio fue vulnerado. Muchas veces nuestros clientes no tienen los skills para realizar esta tarea y tienen que acudir a un programador (con los costos que implica). La solución que voy a proponerte es extremadamente sencilla y potente.
    Otro punto a tener en cuenta sería de donde proviene mayormente el tráfico malicioso. A tal fin te recomiendo el siguiente informe de Trend Micro, "The Malicious Top Ten". Vas a encontrar información valiosa (y actualizada) sobre las principales fuentes de malware hoy en día.Una vez realizado el análisis (o si hiciste scroll hasta acá porque estás apurado y necesitás la solución) vamos a poner manos en el teclado con los siguientes dos ejemplos.
  • Conectamos por FTP y vamos hasta el directorio principal de nuestro sitio, ahí tenemos que editar el archivo .htaccess (pegar el contenido al principio del archivo).
    Si tu sitio no tiene un archivo .htaccess, entonces hay que crearlo. Usando cualquier editor de texto, pegamos el contenido y lo guardamos como .htaccess (sin extensión, es punto htaccess).
  • Copiar alguna de las opciones a continuación (podés modificarlas obviamente, como consideres necesario)

Bloquear determinados países, permitir acceso al resto (opción soft)


GeoIPEnable On

# Codigos de países a bloquear van acá

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry

Deny from env=BlockCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Bloquear todos los países, permitir el acceso solo de los detallados (opción hard)


GeoIPEnable On

# Paises autorizados aca
SetEnvIf GEOIP_COUNTRY_CODE AR AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE UY AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE BR AllowCountry

Deny from all
Allow from env=AllowCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Espero te haya sido de utilidad, te dejo por último el listado de referencias geoipContinuamos presentando nuevas herramientas para asegurar tu sitio. Hoy, mod_geoip + .htaccess.
Para usar esta poderosa herramienta de bloqueo, es fundamental contar con la información actualizada para tomar una buena decisión. ¿Como es esto?
Simple, el funcionamiento de esta herramienta permite bloquear el acceso a nuestro sitio a determinados países basados en un listado de referencias geoip. Entonces, ¿que información necesitamos?

  1. Conocer a nuestro público
    Evaluar a través de las estadísticas de visitantes de mi sitio cuál es mi audiencia. ¿Recibo visitas de otros países aparte de Argentina? Si mi negocio es pura y exclusivamente local (ej: local de autopartes) tal vez no me afecte dejar de recibir tráfico de países como Rusia o China (sobre todo si es tráfico malicioso). Es fundamental entonces hacer un análisis en este aspecto y saber a ciencia cierta de donde proviene nuestro público.
  2. Informarnos
    Sobre todo tener presenta la importancia de mantener nuestro sitio prevenido y asegurado. En el siguiente informe de Google podés tener una dimensión del porcentaje de sitios por país actualmente infectados. En Argentina, actualmente un 7% de los sitios relevados está infectado por malware.
    Creeme, es realmente un trabajo muy tedioso revisar línea por línea de código para limpiar la infección una vez que el sitio fue vulnerado. Muchas veces nuestros clientes no tienen los skills para realizar esta tarea y tienen que acudir a un programador (con los costos que implica). La solución que voy a proponerte es extremadamente sencilla y potente.
    Otro punto a tener en cuenta sería de donde proviene mayormente el tráfico malicioso. A tal fin te recomiendo el siguiente informe de Trend Micro, "The Malicious Top Ten". Vas a encontrar información valiosa (y actualizada) sobre las principales fuentes de malware hoy en día.Una vez realizado el análisis (o si hiciste scroll hasta acá porque estás apurado y necesitás la solución) vamos a poner manos en el teclado con los siguientes dos ejemplos.
  • Conectamos por FTP y vamos hasta el directorio principal de nuestro sitio, ahí tenemos que editar el archivo .htaccess (pegar el contenido al principio del archivo).
    Si tu sitio no tiene un archivo .htaccess, entonces hay que crearlo. Usando cualquier editor de texto, pegamos el contenido y lo guardamos como .htaccess (sin extensión, es punto htaccess).
  • Copiar alguna de las opciones a continuación (podés modificarlas obviamente, como consideres necesario)

Bloquear determinados países, permitir acceso al resto (opción soft)


GeoIPEnable On

# Codigos de países a bloquear van acá

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry

Deny from env=BlockCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Bloquear todos los países, permitir el acceso solo de los detallados (opción hard)


GeoIPEnable On

# Paises autorizados aca
SetEnvIf GEOIP_COUNTRY_CODE AR AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE UY AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE BR AllowCountry

Deny from all
Allow from env=AllowCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Espero te haya sido de utilidad, te dejo por último el listado de referencias geoipContinuamos presentando nuevas herramientas para asegurar tu sitio. Hoy, mod_geoip + .htaccess.
Para usar esta poderosa herramienta de bloqueo, es fundamental contar con la información actualizada para tomar una buena decisión. ¿Como es esto?
Simple, el funcionamiento de esta herramienta permite bloquear el acceso a nuestro sitio a determinados países basados en un listado de referencias geoip. Entonces, ¿que información necesitamos?

  1. Conocer a nuestro público
    Evaluar a través de las estadísticas de visitantes de mi sitio cuál es mi audiencia. ¿Recibo visitas de otros países aparte de Argentina? Si mi negocio es pura y exclusivamente local (ej: local de autopartes) tal vez no me afecte dejar de recibir tráfico de países como Rusia o China (sobre todo si es tráfico malicioso). Es fundamental entonces hacer un análisis en este aspecto y saber a ciencia cierta de donde proviene nuestro público.
  2. Informarnos
    Sobre todo tener presenta la importancia de mantener nuestro sitio prevenido y asegurado. En el siguiente informe de Google podés tener una dimensión del porcentaje de sitios por país actualmente infectados. En Argentina, actualmente un 7% de los sitios relevados está infectado por malware.
    Creeme, es realmente un trabajo muy tedioso revisar línea por línea de código para limpiar la infección una vez que el sitio fue vulnerado. Muchas veces nuestros clientes no tienen los skills para realizar esta tarea y tienen que acudir a un programador (con los costos que implica). La solución que voy a proponerte es extremadamente sencilla y potente.
    Otro punto a tener en cuenta sería de donde proviene mayormente el tráfico malicioso. A tal fin te recomiendo el siguiente informe de Trend Micro, "The Malicious Top Ten". Vas a encontrar información valiosa (y actualizada) sobre las principales fuentes de malware hoy en día.Una vez realizado el análisis (o si hiciste scroll hasta acá porque estás apurado y necesitás la solución) vamos a poner manos en el teclado con los siguientes dos ejemplos.
  • Conectamos por FTP y vamos hasta el directorio principal de nuestro sitio, ahí tenemos que editar el archivo .htaccess (pegar el contenido al principio del archivo).
    Si tu sitio no tiene un archivo .htaccess, entonces hay que crearlo. Usando cualquier editor de texto, pegamos el contenido y lo guardamos como .htaccess (sin extensión, es punto htaccess).
  • Copiar alguna de las opciones a continuación (podés modificarlas obviamente, como consideres necesario)

Bloquear determinados países, permitir acceso al resto (opción soft)


GeoIPEnable On

# Codigos de países a bloquear van acá

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry

Deny from env=BlockCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Bloquear todos los países, permitir el acceso solo de los detallados (opción hard)


GeoIPEnable On

# Paises autorizados aca
SetEnvIf GEOIP_COUNTRY_CODE AR AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE UY AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE BR AllowCountry

Deny from all
Allow from env=AllowCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Espero te haya sido de utilidad, te dejo por último el listado de referencias geoipContinuamos presentando nuevas herramientas para asegurar tu sitio. Hoy, mod_geoip + .htaccess.
Para usar esta poderosa herramienta de bloqueo, es fundamental contar con la información actualizada para tomar una buena decisión. ¿Como es esto?
Simple, el funcionamiento de esta herramienta permite bloquear el acceso a nuestro sitio a determinados países basados en un listado de referencias geoip. Entonces, ¿que información necesitamos?

  1. Conocer a nuestro público
    Evaluar a través de las estadísticas de visitantes de mi sitio cuál es mi audiencia. ¿Recibo visitas de otros países aparte de Argentina? Si mi negocio es pura y exclusivamente local (ej: local de autopartes) tal vez no me afecte dejar de recibir tráfico de países como Rusia o China (sobre todo si es tráfico malicioso). Es fundamental entonces hacer un análisis en este aspecto y saber a ciencia cierta de donde proviene nuestro público.
  2. Informarnos
    Sobre todo tener presenta la importancia de mantener nuestro sitio prevenido y asegurado. En el siguiente informe de Google podés tener una dimensión del porcentaje de sitios por país actualmente infectados. En Argentina, actualmente un 7% de los sitios relevados está infectado por malware.
    Creeme, es realmente un trabajo muy tedioso revisar línea por línea de código para limpiar la infección una vez que el sitio fue vulnerado. Muchas veces nuestros clientes no tienen los skills para realizar esta tarea y tienen que acudir a un programador (con los costos que implica). La solución que voy a proponerte es extremadamente sencilla y potente.
    Otro punto a tener en cuenta sería de donde proviene mayormente el tráfico malicioso. A tal fin te recomiendo el siguiente informe de Trend Micro, "The Malicious Top Ten". Vas a encontrar información valiosa (y actualizada) sobre las principales fuentes de malware hoy en día.Una vez realizado el análisis (o si hiciste scroll hasta acá porque estás apurado y necesitás la solución) vamos a poner manos en el teclado con los siguientes dos ejemplos.
  • Conectamos por FTP y vamos hasta el directorio principal de nuestro sitio, ahí tenemos que editar el archivo .htaccess (pegar el contenido al principio del archivo).
    Si tu sitio no tiene un archivo .htaccess, entonces hay que crearlo. Usando cualquier editor de texto, pegamos el contenido y lo guardamos como .htaccess (sin extensión, es punto htaccess).
  • Copiar alguna de las opciones a continuación (podés modificarlas obviamente, como consideres necesario)

Bloquear determinados países, permitir acceso al resto (opción soft)


GeoIPEnable On

# Codigos de países a bloquear van acá

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry

Deny from env=BlockCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Bloquear todos los países, permitir el acceso solo de los detallados (opción hard)


GeoIPEnable On

# Paises autorizados aca
SetEnvIf GEOIP_COUNTRY_CODE AR AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE UY AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE BR AllowCountry

Deny from all
Allow from env=AllowCountry

# Para permitir una ip especifica de los paises bloqueados, agregala como en el ejemplo a continuacion
Allow from 68.16.1.60

Espero te haya sido de utilidad, te dejo por último el listado de referencias geoip

SpamAssassin: Deshaciéndonos del SPAM

Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

¿Qué es SpamAssassin?

Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

Que es SpamAssassin?

Es un software open-source que funciona a nivel de servidor y utiliza una extensa serie de test o reglas tanto a nivel local como de red para identificar firmas de spam en los correos electrónicos.

Es relativamente fácil de configurar y extender con nuevas reglas. Además dispone de una API abstracta que le permite ser integrado en cualquier punto del flujo de mails y puede ser usada por una amplia variedad de sistemas de mailing, entre los que se incluyen procmail, sendmail, Postfix, qmail y muchos otros.

Cómo funciona?

SpamAssassin es una herramienta de reconocimiento automático de spam, analiza los correos entrantes y, siguiendo ciertas reglas definidas en su configuración, decide cuáles tienen aspecto de spam marcándolos para que luego puedan ser procesados según corresponda. El usuario puede actuar con los correos marcados como le resulte más conveniente, por ejemplo: borrándolos sin mirar, archivándolos en una carpeta específica para luego ser analizados o incluso reenviarlos a otra cuenta de correo.

SpamAssassin funciona en modo texto: toma el mensaje de correo (cabeceras, cuerpo, todo) y busca determinados patrones. Por cada patrón que encuentra suma una determinada cantidad de puntos (score). Cuando los puntos superan un umbral el correo se marca como spam.

Tanto el umbral, como los patrones y el valor asignado a cada patrón son configurables por cada usuario, además de poder añadir nuevos patrones a buscar. Los patrones existentes, que son muchos, van
desde comprobar si el remitente tiene una dirección que empieza con un número hasta buscar frases específicas en el cuerpo del mensaje, además de métodos de detección basados en DNS blacklists y DNS whitelists, comprobaciones basadas en checksums, validaciones SPF y DKIM, entre otras cosas. Incorporando también filtros bayesianos para reforzar sus propias reglas de detección.

Por defecto, para que un correo sea marcado como spam debe sumar 5 puntos. Si este umbral resulta muy pequeño (es decir, si demasiados correos son marcados como spam) o muy grande (mucho spam llega sin marcar) se puede modificar para adaptarse a las necesidades de filtro que se requieran.

Si SpamAssassin considera un mensaje como spam puede incluso modificarlo. En la configuración por defecto, el contenido del mail detectado como spam es agregado como un MIME Attachment, junto con un breve resúmen en el cuerpo del mensaje y una descripción de los tests que ocasionaron que dicho mail sea considerado como spam.

Si el puntaje (score) es menor que el umbral definido por configuración, la información de los tests superados y el puntaje total se agrega a los headers del mail y puede ser post-procesada y utilizada para tomar acciones menos severas, tales como etiquetar el mensaje como “sospechoso”.

Todas estas características hacen de SpamAssassin una herramienta dinámica y completamente configurable, permitiendo una enorme versatilidad para diferentes aplicaciones de filtrado y detección de contenidos en los mensajes.

Spam checkers basados en SpamAssassin

Existen diversos sitios online que ofrecen chequeos de spam utilizando esta herramienta. Entre los más destacados se encuentran:

Email Spam Test

Es el más sencillo de usar de los spam checkers, sin embargo también es el que tiene las reglas de comprobación menos estrictas. Sólo requiere que se indique el asunto con el que se enviará el mensaje, su contenido HTML y opcionalmente el contenido de texto plano o, en su defecto, se puede pegar el mensaje en formato crudo (raw). Analiza el asunto, el contenido y los links del mensaje devolviendo un informe de los problemas encontrados en cada una de esas secciones.

Spam Check Services

Este servicio permite componer directamente el mensaje en el formulario de la aplicación o simplemente pegar el mensaje en formato crudo (raw) y tiene una serie de reglas. es una versión demo que sólo permite chequear mensajes que no superen los 2000 caracteres de longitud.

Postmark Spam Checker

Este es el más estricto de los spam checkers mencionados. Requiere que se indique el mensaje en formato crudo (raw) para poder analizarlo y sus reglas de validación son mucho más rígidas que las de los anteriores. Dispone de una JSON API para poder integrarlo con tu sitio web o aplicación.

Para aquellos que deseen investigar un poco más sobre esta potente herramienta o simplemente quieran instalarla y probarla personalmente, pueden encontrarla en el sitio web de sus desarrolladores:

http://spamassassin.apache.org/
Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

Que es SpamAssassin?

Es un software open-source que funciona a nivel de servidor y utiliza una extensa serie de test o reglas tanto a nivel local como de red para identificar firmas de spam en los correos electrónicos.

Es relativamente fácil de configurar y extender con nuevas reglas. Además dispone de una API abstracta que le permite ser integrado en cualquier punto del flujo de mails y puede ser usada por una amplia variedad de sistemas de mailing, entre los que se incluyen procmail, sendmail, Postfix, qmail y muchos otros.

Cómo funciona?

SpamAssassin es una herramienta de reconocimiento automático de spam, analiza los correos entrantes y, siguiendo ciertas reglas definidas en su configuración, decide cuáles tienen aspecto de spam marcándolos para que luego puedan ser procesados según corresponda. El usuario puede actuar con los correos marcados como le resulte más conveniente, por ejemplo: borrándolos sin mirar, archivándolos en una carpeta específica para luego ser analizados o incluso reenviarlos a otra cuenta de correo.

SpamAssassin funciona en modo texto: toma el mensaje de correo (cabeceras, cuerpo, todo) y busca determinados patrones. Por cada patrón que encuentra suma una determinada cantidad de puntos (score). Cuando los puntos superan un umbral el correo se marca como spam.

Tanto el umbral, como los patrones y el valor asignado a cada patrón son configurables por cada usuario, además de poder añadir nuevos patrones a buscar. Los patrones existentes, que son muchos, van
desde comprobar si el remitente tiene una dirección que empieza con un número hasta buscar frases específicas en el cuerpo del mensaje, además de métodos de detección basados en DNS blacklists y DNS whitelists, comprobaciones basadas en checksums, validaciones SPF y DKIM, entre otras cosas. Incorporando también filtros bayesianos para reforzar sus propias reglas de detección.

Por defecto, para que un correo sea marcado como spam debe sumar 5 puntos. Si este umbral resulta muy pequeño (es decir, si demasiados correos son marcados como spam) o muy grande (mucho spam llega sin marcar) se puede modificar para adaptarse a las necesidades de filtro que se requieran.

Si SpamAssassin considera un mensaje como spam puede incluso modificarlo. En la configuración por defecto, el contenido del mail detectado como spam es agregado como un MIME Attachment, junto con un breve resúmen en el cuerpo del mensaje y una descripción de los tests que ocasionaron que dicho mail sea considerado como spam.

Si el puntaje (score) es menor que el umbral definido por configuración, la información de los tests superados y el puntaje total se agrega a los headers del mail y puede ser post-procesada y utilizada para tomar acciones menos severas, tales como etiquetar el mensaje como “sospechoso”.

Todas estas características hacen de SpamAssassin una herramienta dinámica y completamente configurable, permitiendo una enorme versatilidad para diferentes aplicaciones de filtrado y detección de contenidos en los mensajes.

Spam checkers basados en SpamAssassin

Existen diversos sitios online que ofrecen chequeos de spam utilizando esta herramienta. Entre los más destacados se encuentran:

Email Spam Test

Es el más sencillo de usar de los spam checkers, sin embargo también es el que tiene las reglas de comprobación menos estrictas. Sólo requiere que se indique el asunto con el que se enviará el mensaje, su contenido HTML y opcionalmente el contenido de texto plano o, en su defecto, se puede pegar el mensaje en formato crudo (raw). Analiza el asunto, el contenido y los links del mensaje devolviendo un informe de los problemas encontrados en cada una de esas secciones.

Spam Check Services

Este servicio permite componer directamente el mensaje en el formulario de la aplicación o simplemente pegar el mensaje en formato crudo (raw) y tiene una serie de reglas. es una versión demo que sólo permite chequear mensajes que no superen los 2000 caracteres de longitud.

Postmark Spam Checker

Este es el más estricto de los spam checkers mencionados. Requiere que se indique el mensaje en formato crudo (raw) para poder analizarlo y sus reglas de validación son mucho más rígidas que las de los anteriores. Dispone de una JSON API para poder integrarlo con tu sitio web o aplicación.

Para aquellos que deseen investigar un poco más sobre esta potente herramienta o simplemente quieran instalarla y probarla personalmente, pueden encontrarla en el sitio web de sus desarrolladores:

http://spamassassin.apache.org/
Spam Assasin

Desde los comienzos de Internet y el correo electrónico, el principal de los problemas siempre fue eliminar los “mensajes basura” o Spam (en ocasiones también llamados “información publicitaria no solicitada”) y al mismo tiempo poder mantener aquellos que nos resultan realmente útiles. Múltiples técnicas y herramientas han surgido desde entonces pero ninguna tan efectiva como SpamAssassin.

Que es SpamAssassin?

Es un software open-source que funciona a nivel de servidor y utiliza una extensa serie de test o reglas tanto a nivel local como de red para identificar firmas de spam en los correos electrónicos.

Es relativamente fácil de configurar y extender con nuevas reglas. Además dispone de una API abstracta que le permite ser integrado en cualquier punto del flujo de mails y puede ser usada por una amplia variedad de sistemas de mailing, entre los que se incluyen procmail, sendmail, Postfix, qmail y muchos otros.

Cómo funciona?

SpamAssassin es una herramienta de reconocimiento automático de spam, analiza los correos entrantes y, siguiendo ciertas reglas definidas en su configuración, decide cuáles tienen aspecto de spam marcándolos para que luego puedan ser procesados según corresponda. El usuario puede actuar con los correos marcados como le resulte más conveniente, por ejemplo: borrándolos sin mirar, archivándolos en una carpeta específica para luego ser analizados o incluso reenviarlos a otra cuenta de correo.

SpamAssassin funciona en modo texto: toma el mensaje de correo (cabeceras, cuerpo, todo) y busca determinados patrones. Por cada patrón que encuentra suma una determinada cantidad de puntos (score). Cuando los puntos superan un umbral el correo se marca como spam.

Tanto el umbral, como los patrones y el valor asignado a cada patrón son configurables por cada usuario, además de poder añadir nuevos patrones a buscar. Los patrones existentes, que son muchos, van
desde comprobar si el remitente tiene una dirección que empieza con un número hasta buscar frases específicas en el cuerpo del mensaje, además de métodos de detección basados en DNS blacklists y DNS whitelists, comprobaciones basadas en checksums, validaciones SPF y DKIM, entre otras cosas. Incorporando también filtros bayesianos para reforzar sus propias reglas de detección.

Por defecto, para que un correo sea marcado como spam debe sumar 5 puntos. Si este umbral resulta muy pequeño (es decir, si demasiados correos son marcados como spam) o muy grande (mucho spam llega sin marcar) se puede modificar para adaptarse a las necesidades de filtro que se requieran.

Si SpamAssassin considera un mensaje como spam puede incluso modificarlo. En la configuración por defecto, el contenido del mail detectado como spam es agregado como un MIME Attachment, junto con un breve resúmen en el cuerpo del mensaje y una descripción de los tests que ocasionaron que dicho mail sea considerado como spam.

Si el puntaje (score) es menor que el umbral definido por configuración, la información de los tests superados y el puntaje total se agrega a los headers del mail y puede ser post-procesada y utilizada para tomar acciones menos severas, tales como etiquetar el mensaje como “sospechoso”.

Todas estas características hacen de SpamAssassin una herramienta dinámica y completamente configurable, permitiendo una enorme versatilidad para diferentes aplicaciones de filtrado y detección de contenidos en los mensajes.

Spam checkers basados en SpamAssassin

Existen diversos sitios online que ofrecen chequeos de spam utilizando esta herramienta. Entre los más destacados se encuentran:

Email Spam Test

Es el más sencillo de usar de los spam checkers, sin embargo también es el que tiene las reglas de comprobación menos estrictas. Sólo requiere que se indique el asunto con el que se enviará el mensaje, su contenido HTML y opcionalmente el contenido de texto plano o, en su defecto, se puede pegar el mensaje en formato crudo (raw). Analiza el asunto, el contenido y los links del mensaje devolviendo un informe de los problemas encontrados en cada una de esas secciones.

Spam Check Services

Este servicio permite componer directamente el mensaje en el formulario de la aplicación o simplemente pegar el mensaje en formato crudo (raw) y tiene una serie de reglas. es una versión demo que sólo permite chequear mensajes que no superen los 2000 caracteres de longitud.

Postmark Spam Checker

Este es el más estricto de los spam checkers mencionados. Requiere que se indique el mensaje en formato crudo (raw) para poder analizarlo y sus reglas de validación son mucho más rígidas que las de los anteriores. Dispone de una JSON API para poder integrarlo con tu sitio web o aplicación.

Para aquellos que deseen investigar un poco más sobre esta potente herramienta o simplemente quieran instalarla y probarla personalmente, pueden encontrarla en el sitio web de sus desarrolladores:

http://spamassassin.apache.org/
Leer más

CloudFlare Railgun + ELSERVER.COM: ¿Cuánto más rápido es realmente?

Esta semana les contamos que actualmente somos el primer y único Optimized Hosting Partner de CloudFlare para Latinoamérica.

Esta alianza estratégica va a hacer que tu sitio funcione más rápido. Pero, ¿cuánto más rápido?

Un partnership para hacer sitios más rápidos
Para responder esto nos pusimos a hacer algunas pruebas.
Básicamente tomamos sitios alojados en nuestra red, medimos sus tiempos de carga utilizando Pingdom, y comparamos los resultados después de activar Railgun. Además, con el plugin Claire para Chrome podemos observar los porcentajes de compresión obtenidos.

Caso: jpcorti.com.ar

Antes

jpcorti.com.ar-plain

Después

jpcorti.com.ar-cf

Podemos notar 0.98s menos de tiempo de carga... o ¡casi un 37% más rápido!

Estamos notando resultados similares en casi todos los casos, o incluso con mayores mejorías.

¿Ya activaste CloudFlare para tu sitio? Si no lo hiciste, ¡hacelo ya y compartinos tus resultados!

Para verificar la diferencia de velocidad utilizando Pingdom usá la herramienta online en http://tools.pingdom.com. Antes de iniciar el test hacé click en el icono "Settings" y elegí cualquiera de los 3 test servers que tienen. Asegurate de elegir el mismo al hacer la prueba después de activar CloudFlare.

Dado que CloudFlare requiere un cambio a nivel DNS, te sugerimos esperar aproximadamente una hora entre pruebas de Pingdom, luego de activar el servicio desde tu Panel de Control.

 

Actualización de la Nota:

Nuestro cliente Ignacio Anduaga nos cuenta sobre su experiencia:

"Investigué hace tiempo atrás el servicio de CloudFlare, y francamente nunca terminé de entenderlo ni le pude dedicar el tiempo que debería haberle dedicado. Cuando me enteré que elserver.com iba a implementar el servicio para los sitios alojados en su servidor me puse muy contento, porque sabía que se acababan las complicaciones, y hoy hice la prueba con uno de mis clientes:http://www.laguiaclub.com
Dejo una captura de la comparación antes y despues de habilitar Railgun en este dominio. http://twitpic.com/cakm6q

La diferencia ES BESTIAL y fundamental para un sitio que brinda información muy necesaria para el turismo local. (San Pedro)
Sólo hizo falta loguearme, apretar un tilde y esperar a que efectuara la actualización.

Estoy muy contento con el resultado, y muy feliz de ver que la empresa que escogí para alojar el 95% de mis clientes no se queda quieta y busca siempre dar un mejor servicio."

¡Gracias Ignacio por tus comentarios! 

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE