fbpx

Tomcat 10.x: Instalacción vía container en cPanel sobre Almalinux

Las versiones nuevas de Sistemas Operativos basados en Linux, como por ejemplo Almalinux, permiten sólo la instalación de Tomcat en versiones superiores a las 10.0; lo cual trae consigo un cambio en el proceso de instalación y en el de despliegue de aplicaciones en servidores con cPanel.

Es necesario preparar el servidor cPanel con Almalinux para usar Tomcat 10.x.
Tomcat funciona gracias al administrador de contenedores llamado PODMAN. Tenemos que activar este contenedor a nivel servidor con credenciales root.

Cabe destacar que, para realizar este proceso, necesita no solo tener acceso como usuario root y como usuario cPanel al servidor; sino también poseer conocimientos, al menos básicos, para conectar vía SSH al servidor y correr comandos en consola.

Comenzamos

Nos conectamos vía SSH al servidor con usuario root.
Primero corremos estos comandos para instalar Podman:

dnf install -y ea-podman-repo

dnf install -y ea-podman

Luego es necesario instalar el paquete de Tomcat en el servidor para que esté disponible:

dnf install -y ea-tomcat101

Con estos pasos quedaría listo el servidor para poder usar el contenedor a nivel usuario de cPanel, para luego poder instalar Tomcat en cada cuenta que lo necesite.
El usuario de cPanel debe tener activado SSH.

Ya conectado vía SSH como usuario de cPanel, deberemos correr el siguiente comando para instalar ea-tomcat como Container:

/usr/local/cpanel/scripts/ea-podman install ea-tomcat101

Esto creará el directorio de aplicaciones para la utilización de Tomcat en la siguiente ruta:

/home/usuarioCpanel/ea-podman.d/nombre-de-container

Donde “usuarioCpanel” es el usuario de cPanel de la cuenta donde corrimos el comando; y “nombre-de-container” es el nombre del contenedor de Tomcat. Este nombre lo crea el comando por defecto.

Corriendo alguno de los siguientes comandos se podrá obtener el nombre del container:

/usr/local/cpanel/scripts/ea-podman containers

/usr/local/cpanel/scripts/ea-podman registered

/usr/local/cpanel/scripts/ea-podman running

Por poner un ejemplo, un contenedor se puede llamar:

ea-tomcat101.miusuariocpanel.01

Deberemos usar ese nombre para poder correr cualquier comando de Tomcat dentro del usuario de cPanel.

Hay que detallar que en la instalación de Tomcat se guarda en:

/home/usuarioCpanel/ea-podman.d/nombre-de-container

Dentro de dicha instalación, las carpetas más importantes o a tener en cuenta son:

1) /home/usuarioCpanel/ea-podman.d/nombre-de-container/conf

En esta carpeta se encuentran los archivos de configuración de Tomcat; donde hay que destacar el archivo server.xml

2) /home/usuarioCpanel/ea-podman.d/nombre-de-container/logs

Aquí tenemos los registros o logs de la aplicación.

3) /home/usuarioCpanel/ea-podman.d/nombre-de-container/webapss/ROOT

Aquí se suben los archivos de la aplicación JAVA.

Podemos probar que Tomcat funciona realizando los siguientes pasos:

  • Creamos en /home/usuarioCpanel/ea-podman.d/nombre-de-container/webapss/ROOT un archivo llamado index.jsp que tenga el siguiente contenido:
<html><body>
<% out.println("Hello world! -- From JSP"); %>
</body></html>
  • Luego, debemos agregar este código en /home/usuarioCpanel/ea-podman.d/nombre-de-container/conf/server.xml

Como muestra la imagen, en la linea mencionada debajo:

<Host name="localhost" appBase="webapps" unpackWARs="false" autoDeploy="false" deployOnStartup="false" deployXML="false">

Debemos agregar este Context:

<Context path="" docBase="ROOT">
 <!-- Default set of monitored resources -->
 <WatchedResource>WEB-INF/web.xml</WatchedResource>
</Context>

Luego debemos reiniciar el container de Tomcat:

/usr/local/cpanel/scripts/ea-podman restart nombre-de-container

Ahora, es importante saber que puertos fueron asignados al container de Tomcat instalado.
Podemos ver esto corriendo:

/usr/local/cpanel/scripts/ea-podman running

El primer puerto es el puerto HTTP y el segundo puerto es el AJP. Cada container de Tomcat instalado asignará distintos puertos.

En este punto, deberíamos poder ver el contenido del index.jsp que subimos escribiendo esta dirección web en el navegador:

IPservidor:PuertoTomcatHTTP/index.jsp

Por ejemplo: http://10.11.12.13:10000/index.jsp

Si podemos visualizar de manera correcta el archivo index.jsp que pusimos como prueba, implica que Tomcat está bien instalado y configurado hasta este punto.

Ahora procederemos con unas modificaciones para poder visualizar aplicaciones JAVA desde direcciones web normales; como si se usara Apache.
Vamos a tener que loguearnos ahora al servidor nuevamente como usuario root para proceder con estos pasos.

Deberemos crear estos dos directorios, donde /user/domain debe reemplazarse por el usuario cPanel y su dominio.

mkdir -p /etc/apache2/conf.d/userdata/std/2_4/user/domain/
mkdir -p /etc/apache2/conf.d/userdata/ssl/2_4/user/domain/

Luego debemos crear el archivo custom.conf en el primer directorio creado:

nano /etc/apache2/conf.d/userdata/std/2_4/user/domain/custom.conf

El comando nano o vi crean el archivo sin necesidad de usar otro comando para crear archivos en SSH; como lo era touch.

En este archivo debemos agregar el siguiente proxy, donde se usa el segundo puerto que nos da como resultado al correr el comando:

/usr/local/cpanel/scripts/ea-podman running

En este ejemplo, el comando da como resultado dos puertos: 10000 y 10001.
El puerto 10001 es el que se usa en el proxy para utilizar AJP.

El archivo custom.conf debería tener el siguiente contenido:

<IfModule proxy_ajp_module>
    ProxyPassMatch "/.well-known/(.*)" "!"
    ProxyPassMatch "/(.*).jsp" "ajp://localhost:10001"
    ProxyPassMatch "/servlets/(.*)" "ajp://localhost:10001"
</IfModule>

(Recuerde que el puerto 10001 es un ejemplo, el resultado en su instalación puede ser otro).

Luego, creamos un symlink desde este archivo custom.conf desde la ruta /etc/apache2/conf.d/userdata/std/2_4/user/domain/ a la ruta /etc/apache2/conf.d/userdata/ssl/2_4/user/domain/. Recordar reemplazar /user/domain por el usuario cpanel y su dominio.

ln -s /etc/apache2/conf.d/userdata/std/2_4/user/domain/custom.conf /etc/apache2/conf.d/userdata/ssl/2_4/user/domain/custom.conf

Hecho esto, debemos recompilar el archivo httpd.conf corriendo el siguiente comando:

/usr/local/cpanel/scripts/rebuildhttpdconf

Este proceso no debería arrojar ningún error. Si se presenta un error, entonces existe algún mal tipeo o copiamos un espacio en blanco en el archivo custom.conf.

Por último, reiniciamos Apache:

service httpd restart

Deberíamos poder ver el index.jsp usando el dominio normal:

https://dominio/index.jsp

Algunos comandos útiles

Estos comandos mostrarán el Status, iniciarán, reiniciarán o detendrán el container de Tomcat:

/usr/local/cpanel/scripts/ea-podman status nombre-de-container
/usr/local/cpanel/scripts/ea-podman start nombre-de-container
/usr/local/cpanel/scripts/ea-podman restart nombre-de-container
/usr/local/cpanel/scripts/ea-podman stop nombre-de-container

Como modificar variables de Tomcat

Para realizar estos cambios es necesario conectar a SSH como usuario de root.
Se puede hacer este proceso como usuario de cPanel corriendo este comando:

/usr/local/cpanel/scripts/ea-podman bash nombre-de-container

Es necesario usar nano, vi o vim para editar el archivo.
Accedemos a la ruta /user/local/tomcat/bin:

cd /user/local/tomcat/bin

Ahora corremos el editor elegido para editar el archivo catalina.sh:

nano catalina.sh

Agregar la siguiente linea debajo del cuadro comentado:

CATALINA_OPTS=”-Xms512m -Xmx1024m”

La siguiente línea agregada significa que la aplicación tiene un mínimo de memoria de 512MB y un máximo de memoria de 1GB.

Luego, de grabar el cambio en el archivo catalina.sh, salir del modo root temporal con:

exit

Ahora reiniciamos el container asegurándonos que estamos nuevamente como usuario cpanel:

/usr/local/cpanel/scripts/ea-podman restart nombre-de-container

Procedemos a controlar el estado de Tomcat con el comando:

/usr/local/cpanel/scripts/ea-podman status nombre-de-container

Con esto corroboramos que luego de editar el archivo catalina.sh Tomcat está funcionando correctamente.

Fuente:

https://docs.cpanel.net/ea4/containers/tomcat-via-containers/

https://docs.cpanel.net/ea4/containers/easyapache-4-containers/#almalinux-and-rocky-linux

Administración de backups en Plesk

Es recomendable guardar siempre copias del contenido de su sitio web para evitar su pérdida por alguna incidencia o debido a ataques malintencionados. Plesk facilita la creación de copias de seguridad con la función de backup y de restauración. Podrá crear backups de la configuración y el contenido (contenido del sitio web, cuentas de correo, bases de datos, etc.) y restaurar dichos datos si fuera necesario. Asimismo, puede descargar archivos de backup creados en Plesk y cargarlos, incluso aunque se hayan creado en versiones anteriores de Plesk. Los backups creados pueden almacenarse localmente o en un almacenamiento FTP remoto.

Copia de cuentas y sitios web

Si desea copiar los datos relativos a su cuenta y a todas sus suscripciones, vaya a Cuenta > Realizar backup de sitios web.

image 77094

Para crear un backup de los sitios web relacionados con la suscripción seleccionada, vaya a Cuenta > Realizar backup de sitios web.

image 77095

A continuación, haga clic en Copiar para crear un nuevo backup.

image 77096

Restauración de backups

Solo puede restaurar backups realizados en Plesk Onyx 17.0 y versiones posteriores.

Si lo desea, puede seleccionar qué objetos quiere restaurar de un archivo de backup. Puede restaurar un determinado sitio, archivo, base de datos, etc. De esta forma puede restaurar únicamente los objetos que necesite, sin tener que sobrescribir otros objetos. Por ejemplo, si únicamente desea restaurar la zona DNS de un dominio (como ejemplo.com), no es necesario restaurar las configuraciones del resto de dominios.

Si desea restaurar un archivo de backup, haga clic en Cuenta > Realizar backup de sitios web o bien Sitios web y dominio > Administrador de backups. A continuación, haga clic en el backup correspondiente, indique qué elementos desea restaurar y haga clic en Restaurar.

image 77097

Fuente:

https://docs.plesk.com/es-ES/obsidian/quick-start-guide/explicaci%C3%B3n-sobre-las-funciones-de-plesk/administraci%C3%B3n-de-backups.74407/

¿Cómo ver el consumo de ancho de banda de mi sitio web?

En esta oportunidad nos centraremos en conocer como ver y controlar el ancho de banda desde nuestros sitios web con cPanel (panel de control) y el Plesk. Ya que desde Sitios Hispanos muchos de nuestros planes de Web Hosting, el ancho de banda está limitado, sean para los planes Linux como también para los planes Windows.

Por si no sabías cPanel y Plesk, son los paneles de control más populares para administrar servidores donde se alojan nuestros sitios web. cPanel está desarrollado para la gran mayoría de servidores Linux, mientras que Plesk está orientado a esos servidores con Windows.

Mantener y gestionar adecuadamente el ancho de banda, puede ahorrarte costos extras, un mejor rendimiento, mantienen la experiencia del usuario y también posibilita que tu sitio web esté disponible. Recuerda que muchos de los sitios que ofrecen servicio de hosting web, cuentan con planes limitados en cuanto al ancho de banda y exceder estos límites implican costos extras del presupuesto, suspensión temporal del servicio. Administrar este recurso es esencial para garantizar un sitio web eficiente, rentable y confiable.

Para ello, vamos a conocer como ver desde nuestro panel de control, sea cPanel o Plesk.

cPanel

cpanel

Desde el cPanel se tienen varias opciones para ver el consumo del ancho de banda, la forma más rápida pero no tan detallada. En la página principal del panel de control, en el lado derecho se localiza un apartado llamado Estadísticas, donde muestra recursos como el Uso del disco, cantidad de dominio y subdominios, Alias y ancho de banda.

Otra alternativa, para ver el consumo del ancho de banda de nuestro sitio es ir al apartado “Ancho de banda” en la sección de Métricas.

Esta vez nos muestra las estadísticas del consumo de ancho de banda por protocolos como HTTP, FTP, IMAP, POP3 y SMTP. Nos muestra diferentes barras, para precisar el consumo de las últimas 24 horas, de la semana, incluso las del mes.

La otra alternativa más detalla es usar la herramienta AWStats, la cual hemos hablando en un anterior artículo.

Ver nuestro artículo: AWStats: Qué es y como leer las estadíticas de esta herramienta.

Plesk

Por su parte en Plesk, podemos ver el consumo de ancho de banda desde las Estadísticas web, que se localiza en la pagina principal.

Al igual que en cPanel, Plesk cuenta con una sección de Estadísticas desde el menú principal al lado izquierdo. Donde se podrá visualizar el consumo de los protocolos más usado en tu hosting como HTTP, FTP, IMAP/POP3 y SMTP.

Esperemos que este articulo le sea de utilidad a la hora de gestionar el consumo de su ancho de banda, ya sea desde un panel de control con cPanel o Plesk, y lo importante que puede ser su administración para minimizar algún inconveniente o incidente con el servicio de hosting.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales. También puede encontrarnos en  X (Twitter), Facebook e Instagram.

LiteSpeed: Qué es, y qué beneficios trae para su WordPress.

WordPress es, en la actualidad, una de las plataformas más utilizada para crear y gestionar sitios web. Los servidores que utilizan LiteSpeed se han convertido en una opción para alojar sitios web de WordPress debido a sus ventajas en términos de rendimiento y seguridad. Litespeed ayuda a la estabilidad y a mejorar la velocidad de respuesta en una página hecha en WordPress.

¿Qué es LiteSpeed?

LiteSpeed es un servidor web de alto rendimiento que se utiliza como alternativa a Apache y Nginx. Es compatible con la mayoría de las aplicaciones web, incluyendo WordPress, y es conocido por su capacidad para manejar un alto volumen de tráfico.

Mejora del rendimiento

Uno de los mayores beneficios de utilizar un servidor LiteSpeed para WordPress es su capacidad para mejorar el rendimiento del sitio web. Los servidores LiteSpeed pueden manejar una gran cantidad de conexiones simultáneas; y en menos tiempo, lo que se traduce en una mejor respuesta del servidor y en una experiencia de usuario más rápida.

Además, LiteSpeed utiliza una tecnología llamada LiteSpeed Cache para mejorar la velocidad de carga del sitio web. Esta tecnología almacena en caché las páginas web para que se carguen más rápido y reduce la carga en el servidor.

Mejora de la seguridad

LiteSpeed incluye un firewall de aplicación web (WAF) que puede detectar y bloquear ataques malintencionados antes de que lleguen al sitio web. Además, LiteSpeed también utiliza una tecnología llamada Anti-DDoS que ayuda a proteger los sitios web contra ataques de denegación de servicio (DDoS).

Ahorro de recursos

LiteSpeed tiene como ventaja la capacidad para ahorrar recursos del servidor. Debido a que LiteSpeed es altamente eficiente, requiere menos recursos del servidor para manejar el mismo volumen de tráfico que Apache o Nginx.

Esto significa que los sitios web alojados en servidores LiteSpeed pueden funcionar de manera más eficiente y consumir menos recursos.

Integración con WordPress

LiteSpeed está diseñado específicamente para trabajar con WordPress. Ofrece características específicas de WordPress, como la capacidad de controlar la caché de la página y la compatibilidad con plugins de WordPress populares como WooCommerce y Jetpack.

Soporte de HTTP/2 y QUIC

LiteSpeed también es compatible con los protocolos HTTP/2 y QUIC, lo que permite una transferencia de datos más rápida y segura. Estos protocolos utilizan una técnica llamada multiplexación, que permite que varios archivos se descarguen simultáneamente en lugar de esperar a que uno se descargue por completo antes de comenzar el siguiente.

Escalabilidad

Otra ventaja importante de LiteSpeed para WordPress es su capacidad de escalabilidad. Los sitios web alojados en servidores LiteSpeed pueden crecer y expandirse de manera eficiente sin perder su rendimiento o estabilidad.

Actualizaciones frecuentes

LiteSpeed se actualiza con frecuencia para garantizar que funcione con los últimos avances en tecnología web y para mejorar el rendimiento y la seguridad. Las actualizaciones frecuentes también garantizan que los usuarios tengan acceso a las últimas funciones y características de LiteSpeed.

Compatibilidad con Cloudflare

LiteSpeed es compatible con Cloudflare, un servicio de red de entrega de contenido (CDN) que puede mejorar la velocidad de carga y la seguridad del sitio web. Los sitios web alojados en servidores LiteSpeed pueden aprovechar las funciones de Cloudflare para mejorar su rendimiento y seguridad.

Reducción del tiempo de inactividad

LiteSpeed también puede ayudar a reducir el tiempo de inactividad del sitio web de WordPress. Debido a su alta eficiencia y capacidad de manejar un gran volumen de tráfico, LiteSpeed puede ayudar a garantizar que los sitios web estén en línea y disponibles para los visitantes en todo momento.

Mejora de la experiencia del usuario

En resumen, LiteSpeed ofrece muchas ventajas para los sitios web de WordPress. Desde la majora en el rendimiento y en la seguridad; hasta garantizar una experiencia de usuario rápida y eficiente.

Puede corroborar nuestros planes de WordPress con LiteSpeed en el siguiente enlace:

https://www.sitioshispanos.com/es/hosting/website-hosting-litespeed-wordpress/

Cómo aprovechar al máximo el archivo .htaccess y cómo usarlo en tu sitio web

Mientras navegas por el administrador de archivo de tu hosting o en alguna sesión de FTP, te has encontrado con el archivo htaccess. Y si tu sitio web está diseñado con WordPress es más común encontrarlo, si no lo tienen también podrás crearlo fácilmente. En este artículo conocerás más sobre este archivo, aprovechando su potencial.

¿Qué es el archivo .htaccess?

El archivo .htaccess, abreviatura de Hypertext Access, es un archivo de configuración bastante utilizado en el servidor web Apache. Este archivo generalmente se encuentra en el directorio raíz de un sitio web, es decir en la carpeta pública (public_html) y su nombre comienza con un punto, lo que lo hace invisible por defecto en los sistemas operativos Unix, además de que no posee extensión. El archivo .htaccess contiene directivas que modifican la configuración de Apache para un directorio en particular y sus subdirectorios, sin modificar la configuración global del servidor.

Funciones y características del archivo .htaccess

El archivo .htaccess permite una amplia gama de funcionalidades y características que impactan la forma en que se comporta un sitio web. Algunos de los usos más comunes son:

1. Redirecciones

Con el archivo .htaccess, se pueden establecer redirecciones, ya sea para redireccionar URLs específicas o para redirigir todo un dominio a otro. Esto es útil cuando se realiza una reestructuración del sitio web o cuando se desea redirigir a los usuarios a una página de mantenimiento temporalmente.

2. Control de acceso

El archivo .htaccess permite controlar el acceso a determinados archivos o directorios. Por ejemplo, se puede restringir el acceso a una carpeta con archivos confidenciales o requerir autenticación para acceder a ciertas páginas.

3. Personalización de errores

Es posible personalizar las páginas de error que los visitantes verán cuando se produzca un error en el sitio web, como el error 404. Esto permite mostrar mensajes más amigables y personalizados en lugar de los mensajes predeterminados del servidor web.

4. Bloqueo de IPs o dominios

Con el archivo .htaccess, es posible bloquear el acceso a ciertos usuarios, IPs o dominios no deseados. Esto puede ser útil para bloquear intentos de acceso no autorizados o para evitar el acceso desde ciertas ubicaciones geográficas.

5. Mejora del rendimiento

En opciones más avanzadas el archivo .htaccess también se puede utilizar para habilitar compresión de archivos, caché de contenido y otras técnicas de optimización que ayudan a mejorar el rendimiento del sitio web.

Importancia y aplicación del archivo .htaccess

Una vez mencionadas las funciones más comunes del archivo .htaccess es de suma importancia comentar el papel fundamental en la configuración y personalización de un sitio web. Su capacidad para controlar varios aspectos del servidor web Apache ofrece a los administradores del sitio una forma eficiente de modificar y mejorar el funcionamiento de sus sitios web sin tener que realizar cambios directamente en la configuración del servidor.

Con el conocimiento y la comprensión adecuados de cómo funciona el archivo .htaccess, los profesionales de diseño y desarrollo web pueden aprovechar al máximo esta herramienta para lograr un sitio web más seguro, eficiente y adaptado a sus necesidades.

Ahora veamos un poco el accionar del archivo .htaccess

Redirecciones y reescritura de URL

Las redirecciones son acciones que permiten redirigir a los usuarios que intentan acceder a una URL en particular hacia una dirección diferente. Para ver un ejemplo de esto, imaginemos que queremos redirigir un dominio a un sitio web sin WWW o de la forma contraria.

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.midominio.com [NC]
RewriteRule ^(.*)$ https://midominio.com/$1 [L,R=301]

Estas tres líneas redirigir tu dominio a la versión sin WWW, para entrar en contexto, RewriteEngine, RewriteCond y RewriteRule son directiva y ofrecen su propia forma de configuración y puede ser utilizado según las necesidades específicas de nuestro sitio web. Ahora para el caso contrario en que necesitemos redireccionar a un dominio con WWW, se puede utilizar:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^midominio.com [NC]
RewriteRule ^(.*)$ https://www.midominio.com/$1 [L,R=301]

Protección y seguridad del sitio web

Existen varios tipos de ataques a los que un sitio web puede estar expuesto, tales como ataques de inyección SQL, ataques DDoS, cross-site scripting (XSS) y más. Mediante el archivo .htaccess, podemos implementar medidas de seguridad para prevenir y mitigar estos ataques.

# Proteger ante DDOS de 10 Mb
LimitRequestBody 10240000

También suelen utilizarse para bloquear bots y crawlers molestos que consumen ancho de banda en nuestro sitio web. Estos bots los podemos detectar con la herramienta AWStats de nuestro panel de control. Para bloquearlos desde el htaccess debemos escribir las siguientes líneas:

# Bloquear Bots
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^SemrushBot [NC]
RewriteRule ^.* - [F,L]

En este caso bloquea el bot de SemrushBot, pero también hay muchos otros como SeekportBot, PetalBot. Recuerda que no todos los bots son malos, también existen los bots de los motores de búsqueda, como el de Googlebot, Bingbot, Yandexbot, entre otros.

Por otro lado, puedes bloquear el acceso a una o varias IPs de una forma muy sencilla, vemos el ejemplo:

order allow,deny
deny from x.x.x.x
allow from all

Donde en x.x.x.x especificas la IP y puedes agregas más lineas para listar otras IPs.

Ver nuestro artículo: WordPress: .htaccess

Esperamos que este artículo le haya ayudado a conocer como utilizar el archivo .htaccess, su funcionamiento y lo importante que puede ser para su sitio web.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de WordPress. También puede encontrarnos en  Twitter, Facebook e Instagram.

WordPress: Limpiar un hackeo

Es posible que te hayan infectado, hackeado. Cualquiera de estas opciones es factible si tu sitio tiene un problema de seguridad por falta de actualización o por disponer activado o no una plantilla o plugin que ha sido mal desarrollado.

Antes que nada: Haz una copia de seguridad o respaldo/backup desde el panel de control de tu dominio.
Podrás crear tu copia de seguridad siguiendo estos pasos:
https://ayuda.sitioshispanos.com/menu-principal/guias/web-hosting/copias-de-seguridad

Ahora si, comencemos. Uno de los primeros pasos es el de bloquear el acceso a todo el mundo para que no pueda acceder. Puedes cerrar el sitio web (ponerla en modo mantenimiento); o directamente “romper” el dominio renombrado la carpeta donde está instalada la web (En cPanel, dicha carpeta se llama /public_html; por dar un ejemplo).

Una vez has cerrado el acceso, lo siguiente es proceder a cambiar las principales contraseñas del sitio. Es necesario modificar las passwords de todos los administradores del WordPress y las del alojamiento / FTP, e incluso la de la base de datos.

Una vez hemos hecho esto, lo siguiente es reinstalar WordPress.

Aunque restaures los archivos de WordPress, seguramente te los volverán a modificar al día siguiente si no se ataca el problema de la raíz: ¿Por dónde han entrado?

Mucha gente se piensa que solo subiendo todo de nuevo, sobrescribiendo los archivos, resolverá el problema. No sirve solo subir todo de nuevo sobrescribiendo los archivos. Seguro que volverás a tener problemas en breve.

En primer lugar, y es importante. En el momento es que comenzó a pasar todo, ¿Tenias plugins, WordPress o el theme sin actualizar? Esto nos indicará si es un problema de descuido de la instalación.

Una cosa que puede suceder, es que “limpies” WordPress, pero ni los plugins, ni el theme, ni otros directorios de WordPress.

Lo que se tienes que hacer para limpiar una instalación de forma correcta y por este orden es:

En los ordenadores que acceden vía FTP al servidor:

1 – Pasa un buen antivirus para asegurarte que no tengas ningún troyano. Es importante saber que la computadora por la que se accede al sitio.

2 – Si usas FileZilla, actualiza a la última versión para tener las contraseñas encriptadas, no en texto plano como las tienen las antiguas versiones. Has lo mismo con cualquier otro cliente FTP que uses.

Pasar antivirus también en ordenadores que tienen acceso a la administración de WordPress.

Consigue copias limpias de todos los plugins que utilices y en sus últimas versiones.En el servidor o en el panel de control del sitio:

1 – Cambia las contraseñas del FTP. Asegurarse que sean seguras. Sobre todo, hazlo después de haberte asegurado que tu ordenador no tiene ningún tipo de infección, o te las volverá a capturar el posible troyano.
Las configuraciones FTP las podrás ver en esta guía:
https://ayuda.sitioshispanos.com/menu-principal/guias/web-hosting/sesiones-ftp

En WordPress:

  • Consigue copias limpias del Themes si no las tienes ya.
  • Consigue copias limpias de todos los plugins que utilices y en sus últimas versiones.
  • Descárgate todo el directorio uploads de WordPress a tu ordenador. Si usas plugins que creen directorios dentro de wp-content para subir archivos, descárgalo también. Hay plugins que crean directorios propios principalmente para subir imágenes. Pero ten cuidado, estate seguro que ese directorio es legítimo, no vayas a descargarte para su posterior subida el directorio que ha creado el hackeo.
  • Descárgate la base de datos a tu ordenador. Puedes usar el gestor de bases de datos que ofrece nuestro servicio de hosting, por regla general será phpMyAdmin.
  • Ve a los usuarios de WordPress, y mira que no haya ninguno que no debiera estar ahí. Si hay algún usuario que no debiera estar, bórralo.
  • Ve a la base de datos, y mira la tabla {prefijo}_users que no haya ninguno que no debiera estar ahí. Si lo hubiera, apunta el ID de usuario y elimínalo. TEN CUIDADO, PRESUPONGO QUE REALIZASTE UNA COPIA DE LA BASE DE DATOS TAL Y COMO TE HE DICHO EN UN PUNTO ANTERIOR.
  • En el caso en que hubiera algún usuario que no debía estar en {prefijo}_users ve a la tabla {prefijo}_usersmeta y busca todos los metadatos del ID de los usuarios que has eliminado y eliminalos todos.
  • Copia a tu ordenador el archivo wp-config.php.
  • Una vez copiado, ábrelo y mira que no haya nada que no debiera estar ahí. Si lo hubiera, bórralo.
  • Pasa el antivirus por el directorio uploads que te has descargado. Por regla general los antivirus detectan malware, uploaders, etc. Si te has descargado otros directorios de otros plugins, revísalos igualmente con el antivirus.
  • Entra uno a uno en todos los directorios dentro de uploads y de los otros directorios creados por otros plugins y mira que no haya nada que no debería estar ahí, como archivos php, exe, ISO, etc. Si hay archivos index.php, ábrelos y mira que no haya nada raro.
  • Borra TODO lo que hay en la web. ¿Todo?. Si, TODO. Pero ten en cuenta que debes ya haber copiado wp-config.php, el directorio uploads, los otros directorios creados por plugins, si los hubieran, a tu ordenador. TEN CUIDADO, hablo de todo lo relacionado con WordPress. Si tuvieras cosas que no pertenecen a WordPress (otros directorios, otros CMS, etc..) no los borres, pero tendrás que revisarlos también por si están entrando por ahí.
  • Sube una copia limpia de WordPress.
  • Sube el directorio uploads ya comprobado y limpio y los otros directorios creados por plugins si existieran, igualmente revisados y limpios.
  • Sube una copia limpia de todos los plugins que usas en tu sitio.
  • Sube el theme limpio.
  • Sube el archivo wp-config.php (ya comprobado).
  • Entra en la administración de WordPress y guarda de nuevo los enlaces permanentes para que te cree un .htaccess nuevo.
  • Que todos los usuarios cambien sus contraseñas, por si han sido capturadas por algún script. Si esto no se puede hacer inmediatamente, cambia tu directamente las contraseñas apretando en la edición de cada usuario en restablecer contraseña, WordPress generará contraseñas nueva y seguras.

Permisos de archivos y directorios en el servidor

Este apartado es uno de los más importantes. Podemos tener todo actualizado y sin vulnerabilidades, pero si aplicamos permisos incorrecto desde el punto de vista de la seguridad a los archivos y directorios, estamos dejando el campo abierto a los hackeos.

¿Alguna vez has tenido que dar un permiso 777 a un directorio o archivo? si es así, tienes un gran problema. El dar permisos 777 es como dejarse la ventana o la puerta abierta en tu casa, con la diferencia que los hackers saben por regla general que esa ventana o puerta será el directorio /wp-content/uploads o /wp-content/cache, etc.

Asegúrate que todos los permisos para directorios sean 755 y para los archivos 644; a excepción, si quieres, del archivo wp-config.php que se le puede dar permisos 440, pero no es obligatorio.

Esperamos que esta guía haya sido de ayuda.

Como has podido ver, te pueden estar entrando de varias formas.

  1. Tienen acceso al FTP
  2. Tienen contraseñas de usuarios con permisos
  3. El theme está modificado
  4. Plugins modificados con vulnerabilidades
  5. Archivos que te hayan subido por vulnerabilidad.
  6. Permisos erróneos o peligrosos en archivos o directorio (777)
  7. Marcado el «Recordarme» en el formulario de identificación y posterior captura de la cookie del navegador.

Por último, les recordamos:

Reglas básica de seguridad:

  • Tener siempre TODO actualizado a la última versión. El dejar algo sin actualizar, puede significar el dejar una puerta abierta a los hackers.
  • Nunca escribir con un usuario con rol de administrador, hacerlo significa que el hacker puede saber el nombre de usuario del administrador. Si ya los has hecho, crea un nuevo usuario con rol administrador, accede mediante este nuevo usuario, y degrada a Editor el que estabas utilizando hasta ahora.
  • Utilizar siempre contraseñas seguras. Cuanto más larga, mejor. Por regla general, si la contraseña la puedes recordar, es que no es lo suficientemente fuerte. La forma más sencilla de solucionar este problema, es la utilización de gestores de contraseñas, y no hablo de los que incluyen los navegadores, si no de software adquirido como podría ser LastPass (https://www.lastpass.com/es).
  • Nunca dar permisos 777 a un directorio o archivo.
  • Nunca utilizar la misma contraseña en dos sitios diferentes. Si se hacen con tu usuario y contraseña, tendrían acceso absolutamente a todos tus sitios.
  • Nunca, nunca te conectes a una WIFI gratuita si no estás utilizando un VPN. El hacerlo puede significar que un hacker esté capturando todo lo que haces consiguiendo todas tus contraseñas. Y mucho menos accedas a tu WordPress a menos que uses el VPN o tu sitios esté bajo cifrado (HTTPS/TLS).
  • Realizar backups de manera semanal de tu sitio. Esto hará que en caso de un problema, sea del tipo que sea, se pueda restaurar la web de forma rápida.
  • Y por supuesto, nunca, nunca, nunca, descargarse themes o plugins de sitios desconocidos.

¿Cómo evitar que tu correo sea clasificado de spam?

Tarde o temprano para todos los que tenemos una vida en línea, nos encontramos con el molesto “correo no deseado o spam” en nuestras bandejas de entrada. Pero, ¿qué sucede cuando nuestro propio correo es considerado spam?

No entres en pánico, desde Sitios Hispanos te brindaremos las mejores prácticas para evitar que tu correo sea etiquetado como spam. Lo primero que debes entender, es que hay muchas maneras de que tu correo pueda ser considerado spam, desde una mala autenticación hasta una baja reputación.

El primer punto importante para evitar que el correo electrónico caiga en la carpeta de spam, es asegurarse una buena autenticación. Esto hará que tu dominio sea más confiable.

Podes visitar nuestra guía de ¿Cómo configurar autenticaciones DKIM, SPF y DMARC?. Estos registros son de suma importancia, ya que permitirán aumentar la reputación y seguridad de tus correos enviados.

Otro aspecto valorado en el envío y recepción de correos electrónicos es la reputación. Este aspecto implica desde el envío masivo hasta el diseño de los correos. Si tu intención es utilizar el correo para realizar envíos masivamente, puedes optar por unos de nuestros complementos, como el email marketing. Esto puedo minimizar el riesgo de que te tildes de spammer.

Si prefieres la opción más tradicional, debes tener en cuenta que los Planes de Hosting tienen limitaciones en cuanto al número de correos que se pueden enviar por hora.

Al construir el mensaje que deseas enviar, evita títulos demasiado explícitos y el uso de letras mayúsculas como, por ejemplo: “PROMOCION”, “PUBLICIDAD”, “OFERTA”. Elude utilizar acortadores de URL, estos dan desconfianza y parecen sospechosos. Debes equilibrar el uso de imágenes con el texto de tus correos, un correo con muchas imágenes podría ser identificado como SPAM. Siempre es aconsejable mantener una buena reputación en el correo electrónico para evitar ser incluido en listas negras.

Listas Negras

Puede llegar a ocurrir que caigas en una lista negra y la IP del servidor se vea comprometida por esta razón. Muchas veces llegan como un rebote de mensaje donde te aclaran que lista negra te ha etiquetado. Pero en otras no es tan simple de averiguarlo. Sin embargo, hay herramientas como por ejemplo mxtoolbox.com, que te permiten verificar si tu IP ha sido incluida en una lista negra y también te ofrecen opciones para ser eliminado de ella.

Antivirus actualizado

En los últimos años, ha habido un crecimiento exponencial de malware especializado que aprovecha nuestras sesiones abiertas de correo para distribuir correo no deseado. Por eso, es crucial mantener actualizado el software antivirus en todos los dispositivos que se utilicen para acceder a tu bandeja de correo.

Recuerda siempre mantener estas prácticas presentes, para evitar que tus correos sean clasificados como spam. Con una buena autenticación, una sólida reputación, un contenido equilibrado y un software antivirus actualizado, podrás reducir significativamente las posibilidades de que tus correos terminen en la carpeta de spam.

¿Sabes qué son los max children?

¿Alguna vez has sentido que tu sitio web en WordPress está lento o que en ocasiones se cae y vuelve? Y cuando te comunicas con el soporte, te responden diciendo: “Has excedido los límites de max children”.

Lo primero que debemos saber es que los max children están asociados a las solicitudes PHP. Por lo tanto, si tu sitio web está desarrollado en PHP o utiliza un CMS como WordPress, es posible que en algún momento te encuentres con los max children excedidos.

Cuando se habla técnicamente sobre los max children, nos referimos al número de solicitudes o procesos de PHP-FPM que pueden ejecutarse de manera simultánea en un servidor. Este parámetro tiene valores por defecto o valores predeterminados.

¿Cuáles son las consecuencias de los max children?

Un exceso de los max children provoca una ralentización del sitio web. Puede que en tu navegador se muestre una pantalla en blanco, errores o este latente al intentar acceder al sitio. Es importante recalcar y tener en cuenta que esto, solo ocurre si las páginas o sitios web están escritos en PHP.

Por lo general, este tipo de incidentes se pueden solucionar sin intervención de soporte técnico.

Prevención y recomendaciones

Siempre es importante corregir y optimizar el código PHP utilizado en nuestro sitio web, adecuándose a la versión de PHP más reciente. Si utilizas WordPress, es ideal que los temas y plugins sean compatibles con la versión utilizada por el WordPress instalado. Esto puede evitar que los límites de max_children sean excedidos.

También se deben utilizar los plugins necesarios y que realmente hagas usos de los mismos.

Debes tener en cuenta que cada plan de hosting utiliza un valor predefinido para max_children. Si necesitas aumentar el parámetro de max_children, puedes considerar cambiar de plan de hosting.

Para conocer lo que incluyen nuestros planes de hosting visita: Sitios Hispanos

AWStats: Qué es y como leer las estadíticas de esta herramienta.

AWStats es una herramienta de análisis de registros que genera estadísticas de todas las visitas a tu sitio web. Una de sus utilidades más importantes es que detalla el consumo de ancho de banda de tu dominio.

AWStats obtiene su información analizando de manera periódica los archivos de registro de visitas (logs de acceso) de tu sitio web.

¿Cómo funciona AWStats?

Todas las noches, AWStats analiza tus registros de acceso del día anterior y te genera un reporte de toda la actividad que tuvo tu sitio web.

¿Cómo leer la información que brinda AWStats?

Te explicaremos un pantallazo general del reporte que genera AWStats para que sepas cómo moverte en la pantalla.

Tenga en cuenta que puede utilizar la barra de navegación izquierda para ir a una ubicación específica en el reporte.
Comenzando en la parte superior, puedes ver la “Última actualización”. Esa es la fecha y hora en la que AWStats analizó tus registros de acceso y elaboró el reporte por última vez.
El siguiente menú “Período informado”, te permite seleccionar el mes y año a mostrar en el reporte.
El apartado “Resumen” te permite ver un pantallazo de los principales datos del reporte:

  • Visitantes únicos: es la cantidad de visitantes únicos en los registros del servidor.
  • Número de visitas: es el número total de visitas al sitio, contando todas las páginas que accede un visitante como una sola unidad.
  • Páginas: es el número total de páginas visitadas por todas las visitas al sitio.
  • Solicitudes: son los archivos y recursos solicitados. Por ejemplo, visitar una página que tiene dos imágenes genera tres solicitudes: una para la página en sí y otra para cada imagen.
  • Tráfico: es el ancho de banda total utilizado para el sitio web (no incluye tráfico de otros servicios como Email, FTP, etc).

El “Tráfico visto” se refiere al tráfico de visitas “normales” y será al que hace referencia en casi todo el reporte. En cambio, el “Tráfico no visto” incluye el tráfico generado por robots de buscadores, bots, malware o respuestas con códigos de estado HTTP especiales y podrás verlo detallado en las secciones de Visitas de Robots/SpidersCódigos de error HTTP.

La totalidad de ambos tráficos son el total del consumo de ancho de banda (transferencia mensual) del servicio web de tu cuenta. Hay que tener en cuenta que en AWStats se ve el ancho de banda usado por la web. No se ven aquí el ancho de banda consumido por otras instancias, como FTP o correos.

Detallaremos a continuación las instancias más complicadas de interpretar:

  • Visitas de Robots/Spiders (Top 25): los robots son visitantes automáticos que escanean tu sitio para analizarlo, indexarlo en motores de búsqueda, o jerarquizarlo. También pueden ser robots para verificar si tu sitio se encuentra funcionando correctamente. Aquí puedes darte una idea si algún robot está consumiendo todo tu tráfico y eventualmente puedas bloquearlo.
  • Tipos de ficheros: es una lista de los tipos de archivos (por extensión) más accedidos de tu sitio, ordenados según la frecuencia con la que se accede a ellos. Puedes ver la columna “Tráfico” para observar cuáles son los que más tráfico consumen en tu cuenta.
  • Códigos de error HTTP: son las visitas que obtuvieron algún error al acceder, por ejemplo un error server-side 5xx, un error HTTP 403, un error HTTP 500 o un error HTTP 502, entre otros. Es normal tener un pequeño porcentaje de errores aquí. Sin embargo, si vieras muchos errores de un tipo específico aquí, deberías echar un vistazo a la estructura de tu sitio para ver qué podría estar causando el error e intentar corregirlo.

¿Es tan fácil instalar WordPress que lo puede hacer cualquiera?

Una de las muchas ventajas que nos proporciona WordPress es el hecho de tener una web operativa en apenas unos minutos. Existen, de hecho, servidores que permiten la creación de una web en WordPress con un solo clic, o con un simple comando de consola (WP-CLI) para usuarios avanzados.

Aunque en teoría es correcto decir que se puede crear un sitio web en 5 minutos; esto no implica que uno vaya a tener un sitio de calidad y totalmente funcional en ese corto período de tiempo. Tener un sitio web bien hecho en WordPress (O cualquier otra tecnología) es un trabajo tedioso y requiere de varios conocimientos.

Existen una gran variedad de posibilidades para crear nuestra web con WordPress; todo dependerá de los conocimientos y limitaciones de recursos con los que contemos. Eso sí, cada opción tendrá sus ventajas. Por ejemplo:

  • Si usamos un maquetador (Page Builder) que cuente con un curva baja de aprendizaje, nos facilitará mucho las cosas y no necesitaremos de conocimientos avanzados para armar el sitio; pero estaremos limitados en cuanto a rendimiento.
  • Tenemos la posibilidad de usar maquetadores con una mayor optimización de rendimiento, pero esto impedirá libertad en cuando al diseño del sitio web.
  • Si buscamos un mayor control sobre el diseño; así como un mejor rendimiento, se podría usar, por ejemplo, el editor de WordPress llamado Gutenberg. Pero para esto necesitamos tener una comprensión avanzada del uso de estructuras HTML.
  • Si queremos un enfoque de una web de excelente rendimiento y con un diseño único, será indispensable contar con conocimientos avanzados en WordPress. También se puede delegar el desarrollo a un webmaster especializado en WordPress; para que profundice en nuestro proyecto.
  • Incluso, hoy en día, se puede automatizar el contenido usando como base un diseño previo gracias a herramientas de IA.

Estas son algunas de las muchas posibilidades con las que contamos al desarrollar un sitio web en Wordress.
Pero esto no es todo, tras el desarrollo e implementación del sitio web; deberemos invertir recursos en un número de elementos para obtener un sitio de calidad y que atraiga tráfico. Por ejemplo:

  • Implementaciones de seguridad como de mantenimiento.
  • Optimización SEO para poner foco en el posicionamiento del sitio en los buscadores web.
  • Análisis del tráfico.
  • Desarrollo de estrategias.
  • Etc…

Una web requiere de mucho cuidado a lo largo de su vida. El desarrollo es solo una etapa de la misma.

En conclusión; WordPress es una herramienta muy versátil que permite crear una web a cualquier persona. Es, sin lugar a dudas, una de las razones que han hecho de este CMS uno de los mas usados en el mundo. Pero esto no quiere decir que podamos crear una web de calidad en minutos; o que podamos hacer una web altamente profesional sin contar con conocimientos previos.

WordPress, al igual que cualquier otra tecnología, requiere de experiencia y conocimientos técnicos para crear webs que destaquen sobre el resto.

Fuente: https://es.wordpress.org/2023/06/22/dicen-es-tan-facil-instalar-wordpress-que-lo-hace-cualquiera/