WordPress es, en la actualidad, una de las plataformas más utilizada para crear y gestionar sitios web. Los servidores que utilizan LiteSpeed se han convertido en una opción para alojar sitios web de WordPress debido a sus ventajas en términos de rendimiento y seguridad. Litespeed ayuda a la estabilidad y a mejorar la velocidad de respuesta en una página hecha en WordPress.
¿Qué es LiteSpeed?
LiteSpeed es un servidor web de alto rendimiento que se utiliza como alternativa a Apache y Nginx. Es compatible con la mayoría de las aplicaciones web, incluyendo WordPress, y es conocido por su capacidad para manejar un alto volumen de tráfico.
Mejora del rendimiento
Uno de los mayores beneficios de utilizar un servidor LiteSpeed para WordPress es su capacidad para mejorar el rendimiento del sitio web. Los servidores LiteSpeed pueden manejar una gran cantidad de conexiones simultáneas; y en menos tiempo, lo que se traduce en una mejor respuesta del servidor y en una experiencia de usuario más rápida.
Además, LiteSpeed utiliza una tecnología llamada LiteSpeed Cache para mejorar la velocidad de carga del sitio web. Esta tecnología almacena en caché las páginas web para que se carguen más rápido y reduce la carga en el servidor.
Mejora de la seguridad
LiteSpeed incluye un firewall de aplicación web (WAF) que puede detectar y bloquear ataques malintencionados antes de que lleguen al sitio web. Además, LiteSpeed también utiliza una tecnología llamada Anti-DDoS que ayuda a proteger los sitios web contra ataques de denegación de servicio (DDoS).
Ahorro de recursos
LiteSpeed tiene como ventaja la capacidad para ahorrar recursos del servidor. Debido a que LiteSpeed es altamente eficiente, requiere menos recursos del servidor para manejar el mismo volumen de tráfico que Apache o Nginx.
Esto significa que los sitios web alojados en servidores LiteSpeed pueden funcionar de manera más eficiente y consumir menos recursos.
Integración con WordPress
LiteSpeed está diseñado específicamente para trabajar con WordPress. Ofrece características específicas de WordPress, como la capacidad de controlar la caché de la página y la compatibilidad con plugins de WordPress populares como WooCommerce y Jetpack.
Soporte de HTTP/2 y QUIC
LiteSpeed también es compatible con los protocolos HTTP/2 y QUIC, lo que permite una transferencia de datos más rápida y segura. Estos protocolos utilizan una técnica llamada multiplexación, que permite que varios archivos se descarguen simultáneamente en lugar de esperar a que uno se descargue por completo antes de comenzar el siguiente.
Escalabilidad
Otra ventaja importante de LiteSpeed para WordPress es su capacidad de escalabilidad. Los sitios web alojados en servidores LiteSpeed pueden crecer y expandirse de manera eficiente sin perder su rendimiento o estabilidad.
Actualizaciones frecuentes
LiteSpeed se actualiza con frecuencia para garantizar que funcione con los últimos avances en tecnología web y para mejorar el rendimiento y la seguridad. Las actualizaciones frecuentes también garantizan que los usuarios tengan acceso a las últimas funciones y características de LiteSpeed.
Compatibilidad con Cloudflare
LiteSpeed es compatible con Cloudflare, un servicio de red de entrega de contenido (CDN) que puede mejorar la velocidad de carga y la seguridad del sitio web. Los sitios web alojados en servidores LiteSpeed pueden aprovechar las funciones de Cloudflare para mejorar su rendimiento y seguridad.
Reducción del tiempo de inactividad
LiteSpeed también puede ayudar a reducir el tiempo de inactividad del sitio web de WordPress. Debido a su alta eficiencia y capacidad de manejar un gran volumen de tráfico, LiteSpeed puede ayudar a garantizar que los sitios web estén en línea y disponibles para los visitantes en todo momento.
Mejora de la experiencia del usuario
En resumen, LiteSpeed ofrece muchas ventajas para los sitios web de WordPress. Desde la mejora en el rendimiento y en la seguridad; hasta garantizar una experiencia de usuario rápida y eficiente.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.
Mientras navegas por el administrador de archivo de tu hosting o en alguna sesión de FTP, te has encontrado con el archivo htaccess. Y si tu sitio web está diseñado con WordPress es más común encontrarlo, si no lo tienen también podrás crearlo fácilmente. En este artículo conocerás más sobre este archivo, aprovechando su potencial.
¿Qué es el archivo .htaccess?
El archivo .htaccess, abreviatura de Hypertext Access, es un archivo de configuración bastante utilizado en el servidor web Apache. Este archivo generalmente se encuentra en el directorio raíz de un sitio web, es decir en la carpeta pública (public_html) y su nombre comienza con un punto, lo que lo hace invisible por defecto en los sistemas operativos Unix, además de que no posee extensión. El archivo .htaccess contiene directivas que modifican la configuración de Apache para un directorio en particular y sus subdirectorios, sin modificar la configuración global del servidor.
Funciones y características del archivo .htaccess
El archivo .htaccess permite una amplia gama de funcionalidades y características que impactan la forma en que se comporta un sitio web. Algunos de los usos más comunes son:
1. Redirecciones
Con el archivo .htaccess, se pueden establecer redirecciones, ya sea para redireccionar URLs específicas o para redirigir todo un dominio a otro. Esto es útil cuando se realiza una reestructuración del sitio web o cuando se desea redirigir a los usuarios a una página de mantenimiento temporalmente.
2. Control de acceso
El archivo .htaccess permite controlar el acceso a determinados archivos o directorios. Por ejemplo, se puede restringir el acceso a una carpeta con archivos confidenciales o requerir autenticación para acceder a ciertas páginas.
3. Personalización de errores
Es posible personalizar las páginas de error que los visitantes verán cuando se produzca un error en el sitio web, como el error 404. Esto permite mostrar mensajes más amigables y personalizados en lugar de los mensajes predeterminados del servidor web.
4. Bloqueo de IPs o dominios
Con el archivo .htaccess, es posible bloquear el acceso a ciertos usuarios, IPs o dominios no deseados. Esto puede ser útil para bloquear intentos de acceso no autorizados o para evitar el acceso desde ciertas ubicaciones geográficas.
5. Mejora del rendimiento
En opciones más avanzadas el archivo .htaccess también se puede utilizar para habilitar compresión de archivos, caché de contenido y otras técnicas de optimización que ayudan a mejorar el rendimiento del sitio web.
Importancia y aplicación del archivo .htaccess
Una vez mencionadas las funciones más comunes del archivo .htaccess es de suma importancia comentar el papel fundamental en la configuración y personalización de un sitio web. Su capacidad para controlar varios aspectos del servidor web Apache ofrece a los administradores del sitio una forma eficiente de modificar y mejorar el funcionamiento de sus sitios web sin tener que realizar cambios directamente en la configuración del servidor.
Con el conocimiento y la comprensión adecuados de cómo funciona el archivo .htaccess, los profesionales de diseño y desarrollo web pueden aprovechar al máximo esta herramienta para lograr un sitio web más seguro, eficiente y adaptado a sus necesidades.
Ahora veamos un poco el accionar del archivo .htaccess
Redirecciones y reescritura de URL
Las redirecciones son acciones que permiten redirigir a los usuarios que intentan acceder a una URL en particular hacia una dirección diferente. Para ver un ejemplo de esto, imaginemos que queremos redirigir un dominio a un sitio web sin WWW o de la forma contraria.
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.midominio.com [NC]
RewriteRule ^(.*)$ https://midominio.com/$1 [L,R=301]
Estas tres líneas redirigir tu dominio a la versión sin WWW, para entrar en contexto, RewriteEngine, RewriteCond y RewriteRule son directiva y ofrecen su propia forma de configuración y puede ser utilizado según las necesidades específicas de nuestro sitio web. Ahora para el caso contrario en que necesitemos redireccionar a un dominio con WWW, se puede utilizar:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^midominio.com [NC]
RewriteRule ^(.*)$ https://www.midominio.com/$1 [L,R=301]
Protección y seguridad del sitio web
Existen varios tipos de ataques a los que un sitio web puede estar expuesto, tales como ataques de inyección SQL, ataques DDoS, cross-site scripting (XSS) y más. Mediante el archivo .htaccess, podemos implementar medidas de seguridad para prevenir y mitigar estos ataques.
# Proteger ante DDOS de 10 Mb
LimitRequestBody 10240000
También suelen utilizarse para bloquear bots y crawlers molestos que consumen ancho de banda en nuestro sitio web. Estos bots los podemos detectar con la herramienta AWStats de nuestro panel de control. Para bloquearlos desde el htaccess debemos escribir las siguientes líneas:
En este caso bloquea el bot de SemrushBot, pero también hay muchos otros como SeekportBot, PetalBot. Recuerda que no todos los bots son malos, también existen los bots de los motores de búsqueda, como el de Googlebot, Bingbot, Yandexbot, entre otros.
Por otro lado, puedes bloquear el acceso a una o varias IPs de una forma muy sencilla, vemos el ejemplo:
order allow,deny
deny from x.x.x.x
allow from all
Donde en x.x.x.x especificas la IP y puedes agregas más lineas para listar otras IPs.
Esperamos que este artículo le haya ayudado a conocer como utilizar el archivo .htaccess, su funcionamiento y lo importante que puede ser para su sitio web.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de WordPress. También puede encontrarnos en Twitter, Facebook e Instagram.
Es posible que te hayan infectado, hackeado. Cualquiera de estas opciones es factible si tu sitio tiene un problema de seguridad por falta de actualización o por disponer activado o no una plantilla o plugin que ha sido mal desarrollado.
Ahora si, comencemos. Uno de los primeros pasos es el de bloquear el acceso a todo el mundo para que no pueda acceder. Puedes cerrar el sitio web (ponerla en modo mantenimiento); o directamente “romper” el dominio renombrado la carpeta donde está instalada la web (En cPanel, dicha carpeta se llama /public_html; por dar un ejemplo).
Una vez has cerrado el acceso, lo siguiente es proceder a cambiar las principales contraseñas del sitio. Es necesario modificar las passwords de todos los administradores del WordPress y las del alojamiento / FTP, e incluso la de la base de datos.
Una vez hemos hecho esto, lo siguiente es reinstalar WordPress.
Aunque restaures los archivos de WordPress, seguramente te los volverán a modificar al día siguiente si no se ataca el problema de la raíz: ¿Por dónde han entrado?
Mucha gente se piensa que solo subiendo todo de nuevo, sobrescribiendo los archivos, resolverá el problema. No sirve solo subir todo de nuevo sobrescribiendo los archivos. Seguro que volverás a tener problemas en breve.
En primer lugar, y es importante. En el momento es que comenzó a pasar todo, ¿Tenias plugins, WordPress o el theme sin actualizar? Esto nos indicará si es un problema de descuido de la instalación.
Una cosa que puede suceder, es que “limpies” WordPress, pero ni los plugins, ni el theme, ni otros directorios de WordPress.
Lo que se tienes que hacer para limpiar una instalación de forma correcta y por este orden es:
En los ordenadores que acceden vía FTP al servidor:
1 – Pasa un buen antivirus para asegurarte que no tengas ningún troyano. Es importante saber que la computadora por la que se accede al sitio.
2 – Si usas FileZilla, actualiza a la última versión para tener las contraseñas encriptadas, no en texto plano como las tienen las antiguas versiones. Has lo mismo con cualquier otro cliente FTP que uses.
Pasar antivirus también en ordenadores que tienen acceso a la administración de WordPress.
Consigue copias limpias de todos los plugins que utilices y en sus últimas versiones.En el servidor o en el panel de control del sitio:
1 – Cambia las contraseñas del FTP. Asegurarse que sean seguras. Sobre todo, hazlo después de haberte asegurado que tu ordenador no tiene ningún tipo de infección, o te las volverá a capturar el posible troyano. Las configuraciones FTP las podrás ver en esta guía: https://ayuda.sitioshispanos.com/menu-principal/guias/web-hosting/sesiones-ftp
En WordPress:
Consigue copias limpias del Themes si no las tienes ya.
Consigue copias limpias de todos los plugins que utilices y en sus últimas versiones.
Descárgate todo el directorio uploads de WordPress a tu ordenador. Si usas plugins que creen directorios dentro de wp-content para subir archivos, descárgalo también. Hay plugins que crean directorios propios principalmente para subir imágenes. Pero ten cuidado, estate seguro que ese directorio es legítimo, no vayas a descargarte para su posterior subida el directorio que ha creado el hackeo.
Descárgate la base de datos a tu ordenador. Puedes usar el gestor de bases de datos que ofrece nuestro servicio de hosting, por regla general será phpMyAdmin.
Ve a los usuarios de WordPress, y mira que no haya ninguno que no debiera estar ahí. Si hay algún usuario que no debiera estar, bórralo.
Ve a la base de datos, y mira la tabla {prefijo}_users que no haya ninguno que no debiera estar ahí. Si lo hubiera, apunta el ID de usuario y elimínalo. TEN CUIDADO, PRESUPONGO QUE REALIZASTE UNA COPIA DE LA BASE DE DATOS TAL Y COMO TE HE DICHO EN UN PUNTO ANTERIOR.
En el caso en que hubiera algún usuario que no debía estar en {prefijo}_users ve a la tabla {prefijo}_usersmeta y busca todos los metadatos del ID de los usuarios que has eliminado y eliminalos todos.
Copia a tu ordenador el archivo wp-config.php.
Una vez copiado, ábrelo y mira que no haya nada que no debiera estar ahí. Si lo hubiera, bórralo.
Pasa el antivirus por el directorio uploads que te has descargado. Por regla general los antivirus detectan malware, uploaders, etc. Si te has descargado otros directorios de otros plugins, revísalos igualmente con el antivirus.
Entra uno a uno en todos los directorios dentro de uploads y de los otros directorios creados por otros plugins y mira que no haya nada que no debería estar ahí, como archivos php, exe, ISO, etc. Si hay archivos index.php, ábrelos y mira que no haya nada raro.
Borra TODO lo que hay en la web. ¿Todo?. Si, TODO. Pero ten en cuenta que debes ya haber copiado wp-config.php, el directorio uploads, los otros directorios creados por plugins, si los hubieran, a tu ordenador. TEN CUIDADO, hablo de todo lo relacionado con WordPress. Si tuvieras cosas que no pertenecen a WordPress (otros directorios, otros CMS, etc..) no los borres, pero tendrás que revisarlos también por si están entrando por ahí.
Sube una copia limpia de WordPress.
Sube el directorio uploads ya comprobado y limpio y los otros directorios creados por plugins si existieran, igualmente revisados y limpios.
Sube una copia limpia de todos los plugins que usas en tu sitio.
Sube el theme limpio.
Sube el archivo wp-config.php (ya comprobado).
Entra en la administración de WordPress y guarda de nuevo los enlaces permanentes para que te cree un .htaccess nuevo.
Que todos los usuarios cambien sus contraseñas, por si han sido capturadas por algún script. Si esto no se puede hacer inmediatamente, cambia tu directamente las contraseñas apretando en la edición de cada usuario en restablecer contraseña, WordPress generará contraseñas nueva y seguras.
Permisos de archivos y directorios en el servidor
Este apartado es uno de los más importantes. Podemos tener todo actualizado y sin vulnerabilidades, pero si aplicamos permisos incorrecto desde el punto de vista de la seguridad a los archivos y directorios, estamos dejando el campo abierto a los hackeos.
¿Alguna vez has tenido que dar un permiso 777 a un directorio o archivo? si es así, tienes un gran problema. El dar permisos 777 es como dejarse la ventana o la puerta abierta en tu casa, con la diferencia que los hackers saben por regla general que esa ventana o puerta será el directorio /wp-content/uploads o /wp-content/cache, etc.
Asegúrate que todos los permisos para directorios sean 755 y para los archivos 644; a excepción, si quieres, del archivo wp-config.php que se le puede dar permisos 440, pero no es obligatorio.
Esperamos que esta guía haya sido de ayuda.
Como has podido ver, te pueden estar entrando de varias formas.
Tienen acceso al FTP
Tienen contraseñas de usuarios con permisos
El theme está modificado
Plugins modificados con vulnerabilidades
Archivos que te hayan subido por vulnerabilidad.
Permisos erróneos o peligrosos en archivos o directorio (777)
Marcado el «Recordarme» en el formulario de identificación y posterior captura de la cookie del navegador.
Por último, les recordamos:
Reglas básica de seguridad:
Tener siempre TODO actualizado a la última versión. El dejar algo sin actualizar, puede significar el dejar una puerta abierta a los hackers.
Nunca escribir con un usuario con rol de administrador, hacerlo significa que el hacker puede saber el nombre de usuario del administrador. Si ya los has hecho, crea un nuevo usuario con rol administrador, accede mediante este nuevo usuario, y degrada a Editor el que estabas utilizando hasta ahora.
Utilizar siempre contraseñas seguras. Cuanto más larga, mejor. Por regla general, si la contraseña la puedes recordar, es que no es lo suficientemente fuerte. La forma más sencilla de solucionar este problema, es la utilización de gestores de contraseñas, y no hablo de los que incluyen los navegadores, si no de software adquirido como podría ser LastPass (https://www.lastpass.com/es).
Nunca dar permisos 777 a un directorio o archivo.
Nunca utilizar la misma contraseña en dos sitios diferentes. Si se hacen con tu usuario y contraseña, tendrían acceso absolutamente a todos tus sitios.
Nunca, nunca te conectes a una WIFI gratuita si no estás utilizando un VPN. El hacerlo puede significar que un hacker esté capturando todo lo que haces consiguiendo todas tus contraseñas. Y mucho menos accedas a tu WordPress a menos que uses el VPN o tu sitios esté bajo cifrado (HTTPS/TLS).
Realizar backups de manera semanal de tu sitio. Esto hará que en caso de un problema, sea del tipo que sea, se pueda restaurar la web de forma rápida.
Y por supuesto, nunca, nunca, nunca, descargarse themes o plugins de sitios desconocidos.
Tarde o temprano para todos los que tenemos una vida en línea, nos encontramos con el molesto “correo no deseado o spam” en nuestras bandejas de entrada. Pero, ¿qué sucede cuando nuestro propio correo es considerado spam?
No entres en pánico, desde Sitios Hispanos te brindaremos las mejores prácticas para evitar que tu correo sea etiquetado como spam. Lo primero que debes entender, es que hay muchas maneras de que tu correo pueda ser considerado spam, desde una mala autenticación hasta una baja reputación.
El primer punto importante para evitar que el correo electrónico caiga en la carpeta de spam, es asegurarse una buena autenticación. Esto hará que tu dominio sea más confiable.
Otro aspecto valorado en el envío y recepción de correos electrónicos es la reputación. Este aspecto implica desde el envío masivo hasta el diseño de los correos. Si tu intención es utilizar el correo para realizar envíos masivamente, puedes optar por unos de nuestros complementos, como el email marketing. Esto puedo minimizar el riesgo de que te tildes de spammer.
Si prefieres la opción más tradicional, debes tener en cuenta que los Planes de Hosting tienen limitaciones en cuanto al número de correos que se pueden enviar por hora.
Al construir el mensaje que deseas enviar, evita títulos demasiado explícitos y el uso de letras mayúsculas como, por ejemplo: “PROMOCION”, “PUBLICIDAD”, “OFERTA”. Elude utilizar acortadores de URL, estos dan desconfianza y parecen sospechosos. Debes equilibrar el uso de imágenes con el texto de tus correos, un correo con muchas imágenes podría ser identificado como SPAM. Siempre es aconsejable mantener una buena reputación en el correo electrónico para evitar ser incluido en listas negras.
Listas Negras
Puede llegar a ocurrir que caigas en una lista negra y la IP del servidor se vea comprometida por esta razón. Muchas veces llegan como un rebote de mensaje donde te aclaran que lista negra te ha etiquetado. Pero en otras no es tan simple de averiguarlo. Sin embargo, hay herramientas como por ejemplo mxtoolbox.com, que te permiten verificar si tu IP ha sido incluida en una lista negra y también te ofrecen opciones para ser eliminado de ella.
Antivirus actualizado
En los últimos años, ha habido un crecimiento exponencial de malware especializado que aprovecha nuestras sesiones abiertas de correo para distribuir correo no deseado. Por eso, es crucial mantener actualizado el software antivirus en todos los dispositivos que se utilicen para acceder a tu bandeja de correo.
Recuerda siempre mantener estas prácticas presentes, para evitar que tus correos sean clasificados como spam. Con una buena autenticación, una sólida reputación, un contenido equilibrado y un software antivirus actualizado, podrás reducir significativamente las posibilidades de que tus correos terminen en la carpeta de spam.
¿Alguna vez has sentido que tu sitio web en WordPress está lento o que en ocasiones se cae y vuelve? Y cuando te comunicas con el soporte, te responden diciendo: “Has excedido los límites de max children”.
Lo primero que debemos saber es que los max children están asociados a las solicitudes PHP. Por lo tanto, si tu sitio web está desarrollado en PHP o utiliza un CMS como WordPress, es posible que en algún momento te encuentres con los max children excedidos.
Cuando se habla técnicamente sobre los max children, nos referimos al número de solicitudes o procesos de PHP-FPM que pueden ejecutarse de manera simultánea en un servidor. Este parámetro tiene valores por defecto o valores predeterminados.
¿Cuáles son las consecuencias de los max children?
Un exceso de los max children provoca una ralentización del sitio web. Puede que en tu navegador se muestre una pantalla en blanco, errores o este latente al intentar acceder al sitio. Es importante recalcar y tener en cuenta que esto, solo ocurre si las páginas o sitios web están escritos en PHP.
Por lo general, este tipo de incidentes se pueden solucionar sin intervención de soporte técnico.
Prevención y recomendaciones
Siempre es importante corregir y optimizar el código PHP utilizado en nuestro sitio web, adecuándose a la versión de PHP más reciente. Si utilizas WordPress, es ideal que los temas y plugins sean compatibles con la versión utilizada por el WordPress instalado. Esto puede evitar que los límites de max_children sean excedidos.
También se deben utilizar los plugins necesarios y que realmente hagas usos de los mismos.
Debes tener en cuenta que cada plan de hosting utiliza un valor predefinido para max_children. Si necesitas aumentar el parámetro de max_children, puedes considerar cambiar de plan de hosting.
AWStats es una herramienta de análisis de registros que genera estadísticas de todas las visitas a tu sitio web. Una de sus utilidades más importantes es que detalla el consumo de ancho de banda de tu dominio.
AWStats obtiene su información analizando de manera periódica los archivos de registro de visitas (logs de acceso) de tu sitio web.
¿Cómo funciona AWStats?
Todas las noches, AWStats analiza tus registros de acceso del día anterior y te genera un reporte de toda la actividad que tuvo tu sitio web.
¿Cómo leer la información que brinda AWStats?
Te explicaremos un pantallazo general del reporte que genera AWStats para que sepas cómo moverte en la pantalla.
Tenga en cuenta que puede utilizar la barra de navegación izquierda para ir a una ubicación específica en el reporte. Comenzando en la parte superior, puedes ver la “Última actualización”. Esa es la fecha y hora en la que AWStats analizó tus registros de acceso y elaboró el reporte por última vez. El siguiente menú “Período informado”, te permite seleccionar el mes y año a mostrar en el reporte. El apartado “Resumen” te permite ver un pantallazo de los principales datos del reporte:
Visitantes únicos: es la cantidad de visitantes únicos en los registros del servidor.
Número de visitas: es el número total de visitas al sitio, contando todas las páginas que accede un visitante como una sola unidad.
Páginas: es el número total de páginas visitadas por todas las visitas al sitio.
Solicitudes: son los archivos y recursos solicitados. Por ejemplo, visitar una página que tiene dos imágenes genera tres solicitudes: una para la página en sí y otra para cada imagen.
Tráfico: es el ancho de banda total utilizado para el sitio web (no incluye tráfico de otros servicios como Email, FTP, etc).
El “Tráfico visto” se refiere al tráfico de visitas “normales” y será al que hace referencia en casi todo el reporte. En cambio, el “Tráfico no visto” incluye el tráfico generado por robots de buscadores, bots, malware o respuestas con códigos de estado HTTP especiales y podrás verlo detallado en las secciones de Visitas de Robots/Spiders y Códigos de error HTTP.
La totalidad de ambos tráficos son el total del consumo de ancho de banda (transferencia mensual) del servicio web de tu cuenta. Hay que tener en cuenta que en AWStats se ve el ancho de banda usado por la web. No se ven aquí el ancho de banda consumido por otras instancias, como FTP o correos.
Detallaremos a continuación las instancias más complicadas de interpretar:
Visitas de Robots/Spiders (Top 25): los robots son visitantes automáticos que escanean tu sitio para analizarlo, indexarlo en motores de búsqueda, o jerarquizarlo. También pueden ser robots para verificar si tu sitio se encuentra funcionando correctamente. Aquí puedes darte una idea si algún robot está consumiendo todo tu tráfico y eventualmente puedas bloquearlo.
Tipos de ficheros: es una lista de los tipos de archivos (por extensión) más accedidos de tu sitio, ordenados según la frecuencia con la que se accede a ellos. Puedes ver la columna “Tráfico” para observar cuáles son los que más tráfico consumen en tu cuenta.
Códigos de error HTTP: son las visitas que obtuvieron algún error al acceder, por ejemplo un error server-side 5xx, un error HTTP 403, un error HTTP 500 o un error HTTP 502, entre otros. Es normal tener un pequeño porcentaje de errores aquí. Sin embargo, si vieras muchos errores de un tipo específico aquí, deberías echar un vistazo a la estructura de tu sitio para ver qué podría estar causando el error e intentar corregirlo.
Una de las muchas ventajas que nos proporciona WordPress es el hecho de tener una web operativa en apenas unos minutos. Existen, de hecho, servidores que permiten la creación de una web en WordPress con un solo clic, o con un simple comando de consola (WP-CLI) para usuarios avanzados.
Aunque en teoría es correcto decir que se puede crear un sitio web en 5 minutos; esto no implica que uno vaya a tener un sitio de calidad y totalmente funcional en ese corto período de tiempo. Tener un sitio web bien hecho en WordPress (O cualquier otra tecnología) es un trabajo tedioso y requiere de varios conocimientos.
Existen una gran variedad de posibilidades para crear nuestra web con WordPress; todo dependerá de los conocimientos y limitaciones de recursos con los que contemos. Eso sí, cada opción tendrá sus ventajas. Por ejemplo:
Si usamos un maquetador (Page Builder) que cuente con un curva baja de aprendizaje, nos facilitará mucho las cosas y no necesitaremos de conocimientos avanzados para armar el sitio; pero estaremos limitados en cuanto a rendimiento.
Tenemos la posibilidad de usar maquetadores con una mayor optimización de rendimiento, pero esto impedirá libertad en cuando al diseño del sitio web.
Si buscamos un mayor control sobre el diseño; así como un mejor rendimiento, se podría usar, por ejemplo, el editor de WordPress llamado Gutenberg. Pero para esto necesitamos tener una comprensión avanzada del uso de estructuras HTML.
Si queremos un enfoque de una web de excelente rendimiento y con un diseño único, será indispensable contar con conocimientos avanzados en WordPress. También se puede delegar el desarrollo a un webmaster especializado en WordPress; para que profundice en nuestro proyecto.
Incluso, hoy en día, se puede automatizar el contenido usando como base un diseño previo gracias a herramientas de IA.
Estas son algunas de las muchas posibilidades con las que contamos al desarrollar un sitio web en Wordress. Pero esto no es todo, tras el desarrollo e implementación del sitio web; deberemos invertir recursos en un número de elementos para obtener un sitio de calidad y que atraiga tráfico. Por ejemplo:
Implementaciones de seguridad como de mantenimiento.
Optimización SEO para poner foco en el posicionamiento del sitio en los buscadores web.
Análisis del tráfico.
Desarrollo de estrategias.
Etc…
Una web requiere de mucho cuidado a lo largo de su vida. El desarrollo es solo una etapa de la misma.
En conclusión; WordPress es una herramienta muy versátil que permite crear una web a cualquier persona. Es, sin lugar a dudas, una de las razones que han hecho de este CMS uno de los mas usados en el mundo. Pero esto no quiere decir que podamos crear una web de calidad en minutos; o que podamos hacer una web altamente profesional sin contar con conocimientos previos.
WordPress, al igual que cualquier otra tecnología, requiere de experiencia y conocimientos técnicos para crear webs que destaquen sobre el resto.
¿No está seguro de si actualizar el núcleo de WordPress o sus complementos primero?
A menudo, los principiantes no instalan actualizaciones porque temen romper su sitio. Actualizar su sitio de WordPress en el orden correcto lo ayudará a prevenir errores comunes y solucionar problemas más fácilmente.
En este artículo, le mostraremos el orden correcto para actualizar el núcleo, los complementos y los temas de WordPress.
¿Por qué mantener WordPress actualizado?
Es importante utilizar siempre la última versión de WordPress . Esto asegurará que su sitio web tenga los últimos parches de seguridad, las funciones más nuevas y la mejor velocidad y rendimiento .
Desafortunadamente, en raras ocasiones, actualizar WordPress o un complemento puede dañar su sitio web. Esto puede suceder si hay un error en el código o si la actualización presenta algún tipo de conflicto con un tema o complemento.
Es por eso que siempre recomendamos que cree una copia de seguridad completa de WordPress antes de realizar cualquier actualización. También puede crear un sitio de prueba donde puede probar las actualizaciones y detectar cualquier error sin arriesgar su sitio web en vivo.
También es útil usar el orden de actualización de WordPress adecuado. Quizás se pregunte si es mejor actualizar el núcleo de WordPress o sus complementos primero.
Nuestro equipo de expertos recomienda actualizar WordPress en este orden:
Primero, actualice el núcleo de WordPress
Luego actualice sus complementos
Finalmente, actualice su tema
Antes de comenzar, haga una copia de seguridad completa de WordPress
Antes de actualizar cualquier cosa, es importante realizar una copia de seguridad completa de su sitio web de WordPress. Debe almacenar la copia de seguridad en su computadora o en el almacenamiento en la nube , no solo en su servidor de alojamiento.
Esto se debe a que siempre existe el riesgo de que una actualización rompa su sitio, sin importar qué tan cuidadoso sea o en qué orden realice las actualizaciones.
Una copia de seguridad completa de WordPress incluye todo:
Su base de datos de WordPress
Todas tus imágenes y archivos multimedia
Tus plugins y temas de WordPress
Archivos principales de WordPress
WordPress Toolkit es la mejor herramienta para instalar y administrar su WordPress. Puede usarlo para crear una copia de seguridad completa de su sitio de WordPress y para instalar todas las actualizaciones tanto del core (nucleo) como de los plugins (complementos) y themes (temas).
Para crear la copia de seguridad debe seleccionar la opción “Back Up/Restore”.
Luego presionar el botón “Back Up”
Una vez finalizado el respaldo puede realizar las actualizaciones utilizando WordPress Toolkit siguiendo el órden propuesto y presionando sobre cada enlace correspondiente.
O si lo prefiere puede realizar las actualizaciones directamente desde WordPress siguiendo estos pasos:
Primero, actualice el núcleo de WordPress
Si hay disponible una nueva versión del núcleo de WordPress, primero debe actualizarla. Esto sigue el orden de actualización tal como aparece en la página Panel de control » Actualizaciones y ayuda a minimizar el riesgo para su sitio.
Debido a que las actualizaciones de complementos y temas se prueban para funcionar con la última versión de WordPress, es menos probable que tenga conflictos al actualizar sus complementos y temas después de instalar la última versión de WordPress.
La forma más sencilla de actualizar el núcleo de WordPress es navegar a la página Panel de control » Actualizaciones y luego hacer clic en el botón ‘Actualizar ahora’.
Cuando presiona ‘Actualizar ahora’, WordPress automáticamente pondrá su sitio en modo de mantenimiento, luego buscará la última versión del software y la instalará por usted. Verá el progreso de la actualización en su pantalla.
Antes de pasar a actualizar sus complementos, primero debe asegurarse de que no haya problemas con su sitio web ahora que está ejecutando la última versión de WordPress.
Simplemente visite su sitio web en una nueva ventana del navegador para ver si algo no funciona o parece fuera de lugar. También debe revisar la configuración en su área de administración de WordPress.
Después de eso, actualice sus complementos
Una vez que haya actualizado WordPress en su sitio web, puede actualizar sus complementos.
Una manera fácil de hacerlo es desplazarse hacia abajo en la página Panel de control » Actualizaciones hasta la sección ‘Complementos’.
Simplemente seleccione los complementos específicos que desea actualizar y haga clic en el botón ‘Actualizar complementos’. Puede seleccionar todos los complementos enumerados marcando la casilla ‘Seleccionar todo’ en la parte superior de la lista.
También puede notar un número rojo al lado de Complementos en el panel de administración. Al hacer clic dentro, verá un aviso amarillo debajo de cada complemento que debe actualizarse.
Luego, todo lo que tiene que hacer es hacer clic en el enlace ‘Actualizar ahora’ debajo de cualquier complemento que desee actualizar sin tener que salir de la página.
Como hizo después de actualizar el núcleo de WordPress, debe visitar su sitio web en una nueva ventana del navegador para ver si encuentra algún mensaje de error u otros problemas.
A veces puede descubrir que uno de sus complementos no es compatible con la última versión de WordPress.
Si el complemento es del directorio de complementos de WordPress, puede comunicarse con el desarrollador mediante el foro de soporte del sitio. De lo contrario, consulte el sitio web oficial para obtener información de soporte.
Si hay otros problemas con la actualización que no puede resolver, es posible que deba restaurar su sitio de WordPress desde la copia de seguridad que realizó antes de comenzar el proceso de actualización.
Finalmente, actualice su tema
Una vez que haya actualizado el núcleo de WordPress y sus complementos, y haya verificado que su sitio web funciona, puede actualizar su tema, simplemente puede desplazarse a la sección ‘Temas’ en la parte inferior de la página Panel de control » Actualizaciones .
Una vez allí, puede seleccionar los temas que desea actualizar y luego hacer clic en el botón ‘Actualizar temas’. La casilla de verificación ‘Seleccionar todo’ seleccionará automáticamente todas las actualizaciones de temas disponibles.
Alternativamente, puede navegar a Apariencia » Temas en su área de administración. Si hay actualizaciones disponibles, verá un número rojo junto a ‘Temas’ en la barra lateral de administración.
Simplemente haga clic en el enlace ‘Actualizar ahora’ arriba de cualquier tema que desee actualizar.
La solución de problemas de una actualización de tema es similar a la solución de problemas de una actualización de complemento. Debe comenzar visitando su sitio web en una nueva ventana del navegador para ver si hay mensajes de error u otros problemas.
Si el tema es del directorio de temas de WordPress , puede ponerse en contacto con el desarrollador mediante el foro de soporte para ese tema. De lo contrario, consulte el sitio web oficial para obtener información de soporte.
Esperamos que este tutorial lo haya ayudado a aprender el orden correcto para actualizar el núcleo y los complementos de WordPress.
Por defecto, Joomla usa la función php mail() para enviar correos electrónicos. En SitiosHispanos, nuestros servidores no admiten la función php mail() por tener brechas de seguridad que facilitan el envío de SPAM. Para asegurar tus envíos y para que los correos de tu Joomla lleguen a otros destinos deberás configurar un SMTP.
Configurar un Servidor SMTP en Joomla
Inicia sesión en tu instalación de Joomla.
En el menú principal ve a System y luego a Global configuration.
Párate en la solapa Server.
Localiza la Configuración de correo para setear tu SMTP y completa con los siguientes parámetros:
Send Mail: Yes Mailer: SMTP From email: la cuenta de email con la que vayas a enviar tus correos de Joomla. From name: ingresa el nombre para mostrar en la bandeja de entrada. Disable mass mail: No SMTP Authentication: Yes SMTP Security: SSL SMTP Port: 465 SMTP Username: el nombre de usuario es la dirección de email con la que envías. SMTP Password: ingresa la constraseña de la cuenta de correo. SMTP Host: ingresa tu servidor de correo (mail.tudominio.com). Si no te llegara a funcionar usando mail.tudominio.com, intenta ingresando “localhost” (sin comillas).
Vuelve a la cabecera y guarda los cambios haciendo clic en el botón Save.
¿Cómo limpiar un sitio web? ¿Cómo eliminar el malware? En caso de que ImunifyAV , el antivirus del servidor Linux , indique que se ha encontrado malware, consulte las pautas para la limpieza de infecciones de malware que se pueden realizar manualmente a continuación:
Paso 1: copia de seguridad
Paso 2: comprender qué es el malware
Paso 3: Eliminación de malware
Paso 3.1: eliminación de malware independiente
Paso 3.2: Eliminación del malware inyectado
Paso 4: Repita
Paso 1: copia de seguridad
Antes de limpiar el sitio web, se recomienda realizar una copia de seguridad completa de los datos que se están limpiando. Por ejemplo, para un sitio web basado en WordPress, asegúrese de que se haya realizado una copia de seguridad no solo de los archivos sino también de la base de datos.
Paso 2: comprender qué es el malware
En primer lugar, todos los productos de Imunify siguen la convención de clasificación de malware . Aquí hay algunos ejemplos breves de clasificación:
tipo de programa malicioso
Tipo de detección
IDENTIFICACIÓN
tipo de archivo.categoría.clasificación
Versión
SMW
INJ
16402
js.spam.redi
18
CMW
SA
12147
mlw.wshll
5
SMW
BLKH
1246640
php.bkdr.anonfox.autoast
1
SMW significa Server Malware, lo que significa que el código malicioso se ejecuta en el lado del servidor (dentro del sitio del cliente). CMW: ejecuciones maliciosas en el lado del cliente, por ejemplo, en el navegador.
INJ : se inyectó código malicioso en el archivo.
SA y BLKH – archivo de malware independiente – totalmente malicioso.
Paso 3: Eliminación de malware
La eliminación manual de malware requerirá algunos conocimientos básicos de la línea de comandos y la programación.
Paso 3.1: eliminación de malware independiente
En caso de que el archivo esté marcado con la firma -SA- o -BLKH- , es completamente malicioso y se puede eliminar por completo mediante el administrador de archivos del panel de control o la CLI de Linux.
Aquí hay un top 20 de veredictos de malware independientes:
A menudo, el software malicioso independiente se propaga libremente como parte de un complemento o tema popular anulado (pirateado).
La figura anterior muestra parte de la puerta trasera independiente junto con la plantilla de sitio web anulada marcada por SMW-SA-15255-php.bkdr.wshll.wpnull24
Suplantación de identidad
Otro gran ejemplo de archivos maliciosos independientes es el phishing. Por lo general, todas las infecciones de phishing son independientes. Aquí hay un ejemplo que imita el formulario de inicio de sesión de Google. SMW-SA-18231-html.phish :
Herramientas de piratería
La siguiente captura de pantalla muestra parte del kit de herramientas independiente para piratas informáticos de PHP producido por el grupo de piratas informáticos AnonymousFox y está marcado como SMW-BLKH-1246640-php.bkdr.anonfox.autoast
Favicon falso
En la lista a continuación, hay archivos favicon .ico falsos que tienen un código malicioso en su interior.
Principales ubicaciones de archivos de malware idependiente que se ocultan como .ico:
En algunos casos, el malware independiente puede pasar como un archivo de inclusión (include) mediante inyecciones de malware a algunos archivos legítimos en el sitio web. En este caso, eliminar el archivo independiente podría causar errores del lado del servidor 5xx o una pantalla blanca de la muerte (WSOD) para el sitio web. Para estar seguro, es obligatorio realizar una búsqueda desde el sitio web webroot para cualquier posible inclusión de archivos. Aquí hay un ejemplo de un comando CLI para buscar instrucciones de inclusión de malware WP-VCD no ofuscadas:
Este comando buscará dentro del código de todos los archivos PHP y devolverá los nombres de archivo que contienen alguna mención de los archivos de malware independientes detectados.
Alternativamente, los archivos maliciosos independientes podrían dejarse vacíos en lugar de eliminarse por completo para asegurarse de que cualquier inclusión sobrante no cause errores en el servidor.
Paso 3.2: Eliminación del malware inyectado
El tipo de inyección es un poco más complicado. Tienen el sufijo -INJ- en el veredicto. En este artículo se revisarán varios tipos de casos que pueden ocurrir, así como lo que se puede hacer para limpiar manualmente las inyecciones.
Inyecciones de redirección
Los 10 principales veredictos de redireccionamiento de malware:
El malware de redireccionamiento generalmente redirige al usuario del sitio web a sitios de spam, sitios no deseados como productos farmacéuticos, sitios web para adultos, páginas de phishing o incluso intenta explotar el software vulnerable del cliente y comprometer el sistema.
Aquí está la lista de tipos de redirección que cubre la mayor parte de ellos:
Truco de redirección en .htaccess . Ejemplo de redirección basada en inyección de regla .htaccess:
Redirección oculta en los archivos principales de CMS. Por lo general, está oculto en wp-config.php . A veces, las inyecciones de malware de redireccionamiento están ocultas en archivos centrales como index.php, header.php, footer.php, wp-load.php, etc.
El malware de redirección de JavaScript infecta los archivos JavaScript ( .js ) o inyecta scripts de redirección en archivos PHP. Ejemplo: SMW-INJ-16402-js.spam.redi-18
Mitigación:
1. Identifique el código de malware dentro del archivo. A veces puede ser bastante sencillo, en otros casos, la inyección puede estar oculta.
Aquí son posibles diferentes enfoques, por ejemplo:
comparando con viejas copias de seguridad limpias,
en comparación con el repositorio inicial/paquete del proveedor del CMS, tema, complemento, plantilla.
En la mayoría de los casos, también es posible identificar visualmente la inyección maliciosa:
código ofuscado dentro del código normal,
diferente tipo de formato,
sin saltos de línea (símbolos CR LF).
2. Limpie el malware usando un administrador de archivos del panel de control o CLI de Linux.
El siguiente ejemplo muestra un enlace de sitio web de redirección malicioso adjunto a un archivo JavaScript.
<script type= ' t ext/javascript' src= ' evil.com/y.js ' ></script>
Con el uso de un editor, se puede eliminar un dominio inyectado maliciosamente. Aquí ‘ evil.com ‘ es un ejemplo de un dominio de redireccionamiento malicioso. Después de la eliminación:
<script type='text/javascript' src=''></script>
Por supuesto, la inyección puede ser mucho más complicada y la cantidad de código que debe eliminarse puede variar. El siguiente comando $ php -l traget_file.php se puede usar para asegurarse de que la sintaxis de PHP no se rompa después de la eliminación de la inyección.
3. En caso de que la inyección de malware haya estado presente en el archivo .htaccess , puede ser difícil, en algunos casos, identificar el inicio y el final de la inyección. La eliminación incorrecta de la inyección también podría romper la sintaxis del archivo .htaccess y provocar un mal funcionamiento del sitio web. Para evitar tales problemas para la limpieza de .htaccess , se recomienda restaurarlo desde la copia de seguridad limpia antes de que apareciera la infección o copiarlo desde el sitio web del proveedor del CMS utilizado. Por ejemplo, se pueden encontrar muestras de archivos .htaccess de WordPress usando este enlace . Y aquí está el enlace para Joomla!
Por lo general, las funciones PHP peligrosas como eval, file_get_contents, create_function, etc. que se encuentran en archivos ubicados en wp-includes , imágenes u otras ubicaciones no diseñadas para la ejecución directa de código PHP indican una inyección de malware. También pueden ser algunas inserciones específicas de CMS, como una función cuentagotas de usuario administrador o una función atacante de inicio de sesión automático (bajo administrador).
En el ejemplo anterior, la puerta trasera de WordPress permitía a los atacantes iniciar sesión automáticamente en el panel del administrador. Desafortunadamente, no siempre es fácil identificar visualmente la puerta trasera. Si hay disponibles archivos fuente limpios del software, es posible usar `diff` en la CLI del servidor o alguna herramienta en línea como diffnow para identificar el código inyectado:
Mitigación:
La limpieza de tales inyecciones es similar a la sección anterior, ya sea mediante el uso del administrador de archivos del panel de control o cualquier editor CLI preferido para eliminar las inserciones de malware.
Una gran parte del panorama de malware moderno se obtiene mediante inyecciones provenientes de plantillas de CMS premium descifradas y anuladas. Muy a menudo, estas inyecciones se parecen al código de tema normal de WordPress.
Aquí la inyección en sí parece bastante benigna:
Las 10 principales ubicaciones de archivos incluidos de puerta trasera, algunas de ellas pueden ser malware independiente, otras no:
Los temas anulados a menudo tienen una gran cantidad de inyecciones de puerta trasera en casi todos los archivos que contienen. Puede tomar algún tiempo limpiar todas las infecciones manualmente o requerirá algunas habilidades de codificación para automatizar la acción.
Mitigación:
La limpieza manual de un tema anulado puede ser complicada, ya que la versión limpia del software puede no estar disponible y en algunos casos puede ser difícil entender qué código se inyecta; la mejor opción aquí es restaurar el sitio web desde una copia de seguridad antes de la instalación del tema y reemplazarlo con una versión limpia (no pirateada). Como alternativa, siga los pasos anteriores descritos para malware independiente e inyectado para intentar limpiar los archivos manualmente.
Paso 4: Repita
Por último, después de realizar la limpieza, vuelva a escanear el sitio web y asegúrese de que no haya más malware presente en el sitio web. Si algo todavía está presente, repita los pasos de esta guía a partir del paso 2 .
Conclusión
Este artículo cubre más del 50% de los casos de infección que el equipo de procesamiento de malware de Imunify detectó durante el último mes. Naturalmente, podría haber otras variaciones de infecciones aún más complejas. Una descripción de cómo eliminar este tipo de malware no cabría en un artículo de blog.