Paginas web en Marbella

Internet Marketing

Trucos con .htaccess para aumentar la seguridad en WordPress

La seguridad de WordPress es uno de los factores más socavados entre los bloggers novatos. En una instalación de WordPress sin supervisión, existen bastantes vulnerabilidades potenciales que se dejan desatendidas. La mayoría de los tutoriales de instalación de WordPress explican una forma rápida y fácil de implementar WordPress en minutos. Pero se pierden algunos factores de seguridad importantes. Por ejemplo, la navegación de directorios y el uso del nombre de usuario ‘admin’ se consideran graves lagunas de seguridad. Hoy vamos a echar un vistazo a 10 fragmentos de código .htaccess que ayudarán a mejorar la seguridad de su blog de WordPress. Antes de comenzar, echemos un vistazo rápido a lo que es el archivo htaccess.

¿Qué es el archivo .htaccess?

Un archivo htaccess es un archivo de configuración opcional para que el servidor web Apache interprete, para cada directorio. Puede almacenar varias configuraciones en ese archivo, como: proteger con contraseña un directorio, bloquear direcciones IP, bloquear un archivo o carpeta de acceso público, etc. Tradicionalmente, el archivo .htaccess está presente en el directorio de instalación de WordPress base. Almacena la estructura de enlace permanente por defecto.

SUGERENCIA:  antes de comenzar con el tutorial, asegúrese de hacer una copia de seguridad del archivo .htaccess actual (si está presente) en un servicio de almacenamiento en la nube como Dropbox. Esto es para volver al último archivo .htaccess que esté funcionando, si un fragmento de código determinado rompe su sitio. Vamos a empezar.

1. Bloquear Bad Bots


Uno de los mejores usos del archivo .htaccess es su capacidad para impedir que múltiples direcciones IP accedan a su sitio. Esto es útil cuando se bloquean los spammers conocidos y otros orígenes de acceso sospechoso o malicioso. El código es:

# Block one or more IP address.
# Replace IP_ADDRESS_* with the IP you want to block

<Limit GET POST>
order allow,deny
deny from IP_ADDRESS_1
deny from IP_ADDRESS_2
allow from all
</Limit>

Donde IP_ADDRESS_1 es la primera IP que desea evitar que acceda a su sitio. Puede agregar tantas direcciones IP que desee. No importa qué agentes de usuario (navegadores) utilicen estas direcciones IP, no podrán acceder a un solo archivo desde su servidor. El servidor web negará automáticamente todo acceso.

2. Deshabilitar la navegación de directorios

 Esta es una de las fallas de seguridad más socavadas en un sitio de WordPress. Por defecto, el servidor web Apache habilita la navegación de directorios. Esto significa que todos los archivos y carpetas dentro del directorio raíz (a veces llamado el directorio de inicio) del servidor web son habilitados y accesibles por el visitante. No quieres eso porque no quieres que las personas naveguen a través de tus cargas de medios o tus archivos de tema o plugin.

Si al azar selecciono 10 sitios web personales o de negocios que ejecutan WordPress, 6-8 de ellos no tendrán desactivada la navegación del directorio. Esto permite que cualquiera pueda oler fácilmente alrededor de la carpeta wp-content / uploads o cualquier otro directorio que no tenga el archivo index.php predeterminado . De hecho, la captura de pantalla que ve es de uno de los sitios de mi cliente, antes de recomendar la solución. Fragmento de código para deshabilitar la navegación de directorios:

# Disable directory browsing
Options All -Indexes

3. Permitir solo archivos seleccionados de wp-content

 

Como sabe, la carpeta wp-content contiene la mayoría de sus temas, complementos y todas las cargas de medios. Ciertamente no quieres que la gente acceda sin restricciones. Además de deshabilitar la búsqueda en el directorio, también puede denegar el acceso a todos los tipos de archivos, y guardar algunos. En esencia, puedes desbloquear selectivamente archivos como JPG, PDF, DOCX, CSS, JS, etc. y negarlos del resto. Para hacer esto, pegue este fragmento de código en su archivo .htaccess:

# Disable access to all file types except the following
Order deny,allow
Deny from all
<Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar)$">
Allow from all
</Files>

Debe crear un nuevo archivo .htaccess con el código y pegarlo en la carpeta wp-content . No coloque esto en el directorio de instalación base, de lo contrario no funcionará. También puede agregar cualquier tipo de archivo a la lista agregando un ‘|’ después de ‘rar’. La lista anterior contiene los archivos necesarios: XML, CSS y JavaScript, formatos comunes de imagen y documento y, finalmente, los formatos de archivo más utilizados.

4. Restringir todo el acceso a wp-includes

La carpeta wp-includes contiene solo los archivos que son estrictamente necesarios para ejecutar la versión principal de WordPress, uno sin ningún complemento o tema. Recuerde, el tema predeterminado aún reside en el directorio wp-content / theme . Por lo tanto, ningún visitante (incluido usted) debe requerir acceso al contenido de la carpeta wp-include . Puedes deshabilitar el acceso usando este siguiente fragmento de código:

# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

5. Permitir que solo las direcciones IP seleccionadas accedan a wp-admin

La carpeta wp-admin contiene los archivos necesarios para ejecutar el panel de WordPress. En la mayoría de los casos, sus visitantes no necesitan acceso al panel de WordPress, a menos que quieran registrar una cuenta. Una buena medida de seguridad es permitir que solo unas pocas direcciones IP seleccionadas accedan a la carpeta wp-admin . Puede permitir las direcciones IP de las personas que necesitan acceso al panel de WordPress: editores, colaboradores y otros administradores. Este fragmento de código solo permite que las direcciones IP fijas accedan a la carpeta wp-admin y niega el acceso al resto del mundo.

# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 302.143.54.102
allow from IP_ADDRESS_2
</Limit>

Asegúrese de crear un nuevo archivo .htaccess y pegarlo en la carpeta wp-admin y no en el directorio de instalación base. Si es lo último, nadie, excepto usted, podrá navegar por su sitio, ¡ni siquiera los motores de búsqueda! Ciertamente no quieres eso. Un par de desventajas de esta medida es la siguiente:

  • Si su sitio permite o promueve el registro de nuevos usuarios , sería casi imposible hacer un seguimiento del número de usuarios. Por ejemplo, en WPExplorer, si desea descargar nuestros increíbles temas gratuitos, debe registrarse.
  • Las personas con direcciones IP dinámicas (en su mayoría usuarios de banda ancha ADSL que usan los protocolos PPP o PPPoE) cambian sus IP, cada vez que cierran la sesión e inician sesión en su ISP. Ciertamente, no sería práctico hacer un seguimiento de todas estas IP y agregarlas al archivo htaccess.
  • Banda ancha móvil: ya sea ​​que estés en 3G o 4G, tu dirección IP depende de la torre celular actual a la que estás conectado. Digamos que está viajando: su IP cambiará constantemente con cada par de millas que se mude desde el origen. Una vez más, mantener un registro del archivo htaccess es casi imposible.
  • Puntos de acceso Wi-Fi públicos: el uso de credenciales cuando se conecta a Internet mediante un punto de acceso Wi-Fi público es un gran no-no , ya que un niño con un software pequeño puede extraer todos los caracteres que escriba. Sin mencionar que cada punto de acceso Wi-Fi tendrá una dirección IP única.

Afortunadamente, todas estas desventajas (excepto la primera) se pueden corregir utilizando una VPN. Si configura su VPN para que se conecte con una sola dirección IP, puede simplemente agregarla a su archivo htaccess y todos sus problemas se resolverán.

6. Protege wp-config.php y .htaccess de todos

El archivo wp-config.php contiene las credenciales de acceso más confidenciales de su sitio de WordPress. Contiene el nombre de la base de datos y las credenciales de acceso y varios otros datos críticos, entre otras configuraciones. Bajo ninguna circunstancia desea que otras personas busquen en este archivo. Y, por supuesto, desea deshabilitar el acceso público a la fuente de toda esta seguridad: el propio archivo .htaccess . Puede deshabilitar el acceso a wp-config.php con este código siguiente:

# Deny access to wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>

Para denegar el acceso a todos los archivos htaccess (recuerde que algunos pueden residir en wp-admin y otras carpetas), use este fragmento de código:

# Deny access to all .htaccess files
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

7. Denegar imagen hotlinking

Uno de los hacks de archivos .htaccess más geniales, este envía a los rastreadores de contenido corriendo con la cola entre las piernas. Cuando alguien usa la imagen de su sitio, su ancho de banda se consume y la mayoría de las veces, ni siquiera se le acredita. Este fragmento de código elimina ese problema y envía esta imagen cuando se detecta un enlace activo.

# Prevent image hotlinking script. Replace last URL with any image link you want.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourotherwebsite.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L]

8. Habilitar el almacenamiento en caché del navegador

También conocido como almacenamiento en caché del lado del cliente , este truco .htaccess habilita las opciones de almacenamiento en caché del navegador recomendadas para su sitio de WordPress. También puedes usarlo en otros proyectos – sitios HTML, etc.

# Setup browser caching
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType application/pdf "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresByType application/x-shockwave-flash "access 1 month"
ExpiresByType image/x-icon "access 1 year"
ExpiresDefault "access 2 days"
</IfModule>

9. Redirigir a una página de Mantenimiento

Cuando migre sitios web o realice alguna tarea de mantenimiento, siempre se recomienda crear un archivo HTML estático «inactivo para mantenimiento» para informar a sus visitantes que el sitio web está realizando una actualización o una operación de mantenimiento. Simplemente cree un archivo maintenance.html (o cualquier otro nombre de archivo) y cárguelo en el directorio de instalación de WordPress base. Pegue el siguiente fragmento de código en su archivo .htaccess. Una vez que finaliza la operación, asegúrese de eliminar o comentar estas líneas para volver a la operación general. Puede comentar agregando un ‘#’ al principio de cada línea.

# Redirect all traffic to maintenance.html file
RewriteEngine on
RewriteCond %{REQUEST_URI} !/maintenance.html$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123
RewriteRule $ /maintenance.html [R=302,L] 

10. Páginas de error personalizadas

También puede el archivo .htaccess para configurar páginas de error personalizadas de fácil uso para errores como 403, 404 y 500. Una vez que haya preparado su página de error, digamos error.html, cárguela en su directorio de instalación de WordPress base. Luego, agregue el siguiente fragmento de código a su archivo .htaccess para habilitar la página de error personalizada:

# Custom error page for error 403, 404 and 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Conclusión:

Hoy hemos aprendido algunos de los mejores hacks htaccess para fortalecer su sitio de WordPress. Le sugiero que pruebe cada módulo uno por uno mientras realiza una copia de seguridad del archivo .htaccess antes y después de probar cada módulo. Esto es porque el archivo .htaccess es muy crítico. Un carácter ‘#’ perdido o fuera de lugar ‘</IfModule>’ podría destruir la integridad de su sitio. Si accede a su panel de WordPress con frecuencia sobre la marcha, se recomienda no habilitar IP selectivas en su carpeta wp-admin .

Cómo mover una página web HTTP a HTTPS en WordPress

Aprender a mover su sitio web a HTTPS es un tema importante. En estos días, compartimos datos confidenciales como tarjetas de crédito e información bancaria o credenciales de inicio de sesión docenas de veces por día.

Usar la web para ir de compras nos da muchas comodidades. Ya no necesitamos salir a hacer recados, comprar comestibles, pagar facturas o hablar cara a cara con otros. Demonios, justo antes de escribir esta guía, ¡me estaba probando gafas en línea!

Además, ya no tiene que usar inadvertidamente un cajero automático dañado para que le roben la información de su tarjeta de crédito. Esto también es posible ahora con la comodidad de su hogar. ¡Sin costo extra!

Sin embargo, hay un lado opuesto. Como propietario de un sitio web, especialmente si tiene una tienda en línea y / o trata con información financiera o de otro tipo, tiene la responsabilidad de mantenerlo seguro. Uno de los pasos más importantes para hacerlo es usar el cifrado HTTPS y SSL en su sitio. De eso hablaremos en esta guía.

Primero hablaremos de lo que entendemos por HTTPS y SSL y cómo funciona. Después de eso, hablaremos sobre las razones para agregar cifrado a su sitio. Luego le diremos dónde puede obtener un certificado SSL para su sitio y finalmente le proporcionaremos una guía paso a paso sobre cómo mover su sitio a HTTPS.

Listo? Entonces ponte tus gafas de seguridad y hablemos un poco de seguridad.

Haga clic aquí para ver 8 pasos para mover su WordPress a https: //

Cómo funciona HTTPS – Una definición corta

Antes de profundizar en cómo mover su sitio web a HTTPS, primero definamos de qué estamos hablando. Incluso si no sabe exactamente qué son HTTPS y SSL, probablemente los haya visto antes en el trabajo.

HTTPS y SSL son visibles en las URL del sitio

En esto

En estos días, la URL de la mayoría de los sitios grandes (y cada vez más también los más pequeños) comienza con https: // en lugar de la familiar http: // . De hecho, si observa la barra de su navegador mientras se encuentra en este mismo sitio web, verá exactamente eso.

configuración del sitio web mueva su sitio web a https ejemplo

Junto a él, también notará el símbolo del candado. Así es como los navegadores modernos muestran que usted está en un sitio que utiliza cifrado SSL. En algunos casos, incluso incluyen el nombre de la empresa. Ambos son signos de que estás en un sitio que toma en serio la privacidad de sus visitantes.

¿Qué significa eso realmente?

HTTPS significa protocolo de transporte de hipertexto seguro. Su primo, HTTP (que significa el mismo menos el seguro al final), es el protocolo de comunicación que se usa generalmente para facilitar el tráfico web.

¿Cual es la diferencia?

La versión segura utiliza un certificado SSL ( Secure Socket Layer ) para establecer una conexión entre el navegador y el servidor. Eso significa que cualquier información que se intercambia se encripta.

Mueve tu sitio web a https cómo funciona la encriptación

Por Munkhzaya Ganbold (Trabajo propio) [ CC BY-SA 4.0 ], a través de Wikimedia Commons

El cifrado es el proceso de reemplazar información de texto sin formato (como nombres de usuario y contraseñas) con números y letras aleatorios. De esa manera, ya no son legibles por los humanos y es más difícil de entender si alguien los intercepta.

Suena útil, ¿verdad? ¿Pero realmente lo necesitas en tu sitio? Revisemos algunas buenas razones para agregar HTTPS a su sitio web de WordPress.

Una nota rápida: Técnicamente SSL ya no es el nombre correcto. A finales de los años 90, el nombre cambió a TLS ( Seguridad de la capa de transporte ) y SSL fue retirado. Sin embargo, su nombre se pegó alrededor.

¿Por qué debería mover su sitio web a HTTPS?

Actualmente, solo el 0.1% de todos los sitios web usan SSL . En consecuencia, no parece que la tecnología sea esencial para ejecutar una presencia web exitosa. Sin embargo, todavía hay razones convincentes para convertirse en parte de la minoría.

1. Su sitio maneja información sensible

En primer lugar, si tiene una tienda en línea que maneja información de tarjetas de crédito o datos confidenciales similares, mudar su sitio a HTTPS es una necesidad absoluta. Los clientes quieren confiar en su sitio y deberían poder hacerlo. Es tu responsabilidad hacer que eso suceda.

Por ejemplo, si alguien usa un punto de acceso wifi público para acceder a un sitio no seguro, otros pueden robar sus detalles de pago. Si usan esa información para robarle a su cliente, ¿qué tan probable cree usted que esa persona vuelva a su sitio? No muy.

Sin HTTPS también es posible modificar los datos que reciben sus visitantes. De esa manera, un tercero podría agregar anuncios, malware u otras cosas que definitivamente no quiere que otros vean en su presencia en la web.

De hecho, hace un tiempo AT&T fue atrapado haciendo eso (agregue anuncios, no malware). Sin embargo, puede estar seguro de que a los visitantes no les importará realmente quién hizo la escritura. Todos recordarán que sucedió en su sitio.

Sin embargo, incluso si «solo» trata con información de inicio de sesión normal, no es una mala idea ofrecer una capa adicional de seguridad y mantenerla segura. Tus usuarios seguramente lo apreciarán.

2. HTTPS es un signo de confianza y autenticidad.

Hablando de visitantes: debido al impulso general de la adaptación de HTTPS en la web, el cifrado se ha convertido en algo que los consumidores esperan cada vez más. De hecho, hasta ahora el 28.9% mira la barra de direcciones verde en su navegador, un número que probablemente aumentará con el tiempo.

Estudio sobre las expectativas del consumidor con https.

¿Por qué les importa? Porque el pequeño candado no solo significa que su tráfico está protegido, sino también que el sitio web es auténtico y quién dice ser, no es falso. Después de todo, el mismo estudio muestra que el 77% de los usuarios finales están preocupados por la intercepción y el mal uso de sus datos.

Por lo tanto, si tienen la opción de elegir entre su sitio sin HTTPS y un competidor que lo haya implementado, es muy probable que decidan en contra de usted. Especialmente porque los principales navegadores ( Chrome , Firefox ) ahora marcan los sitios, que tienen formularios en páginas sin HTTPS, como inseguros.

En el futuro, en general, pueden advertirle de cualquier sitio que no tenga cifrado. Y realmente no quieres estar entre esos.

3. Beneficios para SEO

No solo los consumidores esperan que usted se mude a HTTPS, sino también a los motores de búsqueda. Google anunció oficialmente que tener un certificado SSL en su lugar ahora es un factor de clasificación. Además, aunque es débil en este momento, la importancia del HTTPS aumentará con el tiempo.

Además de eso, los datos de referencia de HTTPS a HTTP están bloqueados en Google Analytics. Por lo tanto, si tiene un sitio web que se ejecuta en el protocolo anterior y obtiene una gran cantidad de referencias de sitios que se ejecutan en HTTPS, no lo verá correctamente en sus análisis web. De esa manera, es posible que no esté al tanto de las plataformas que le envían mucho tráfico y pierden amplificación de sus canales de comercialización.

4. Tiempos de carga más rápidos

Manteniéndose en el tema de SEO, HTTPS también es significativamente más rápido. No me crees Pruébelo aquí (use una ventana privada para evitar el almacenamiento en caché de imágenes). Cuando hice la prueba, ¡HTTPS fue un 83% más rápido!

Comparación de velocidad http vs https

No está mal, ¿verdad? Sobre todo porque la  velocidad de carga de la página es también un factor de clasificación .

No solo eso, sino que a los visitantes les importa. De hecho, una gran parte dejará su sitio si no se carga en tres segundos. Por esa y otras razones, consulte nuestra guía sobre cómo acelerar WordPress .

8 pasos para mover tu sitio de WordPress a HTTPS

Bien, ahora estamos llegando a la carne y las papas de este artículo: cómo mover su sitio de HTTP a HTTPS. Tomaremos este paso a paso para asegurarnos de que pueda seguirlo sin problemas. Después de todo, ¡también nos preocupa la seguridad de su sitio!

1. Copia de seguridad de su sitio web

Siempre que realice cambios importantes en su sitio, siempre debe hacer una copia de seguridad de él primero. De esa manera, en caso de que algo salga mal (no es que lo estemos esperando), puede volver a la versión de trabajo.

Como este caso no es diferente, la copia de seguridad de su sitio web es su primera tarea. Aún mejor: si tiene la posibilidad, ejecute primero el proceso a continuación en un servidor de prueba, no solo su sitio en vivo.

2. Implemente su certificado SSL

Lo primero que haremos es conseguirnos un certificado SSL. Qué tan fácil o complicado es este proceso, depende en gran medida de su anfitrión.

Por ejemplo, al investigar esta guía, descubrí que mi host actual no es compatible con Let’s Encrypt y no planea hacerlo. No hace falta decir que estoy en el proceso de cambio. Con suerte, la suya es un poco más progresista, como las empresas en esta lista .

El escenario óptimo es que su host ofrece una opción para mover su sitio a HTTPS directamente en el panel de administración. Por ejemplo, para cambiar su sitio a Let’s Encrypt en cPanel, puede seguir estas instrucciones . Encuentra los mismos pasos para Plesk aquí .

Para todos los demás, hay Certbot . Si tiene acceso de administrador administrativo en su servidor, simplemente puede seleccionar el tipo de servidor web y sistema operativo que está utilizando. Después de eso, el sitio le dirá cómo implementar Let’s Encrypt en su servidor.

Mueve tu sitio web a https usando certbot

Si obtiene su certificado SSL de una fuente diferente, siga las instrucciones de su proveedor de alojamiento para implementar el cambio (esa es también la razón por la que recurrir a ellos en primer lugar no es una mala idea).

Una vez hecho esto, debe comenzar a realizar los cambios necesarios en su sitio web de WordPress. Esto es de lo que hablaremos a continuación. Si considera que lo siguiente es demasiado técnico, también puede probar el complemento  Really Simple SSL . Se encarga de la mayor parte del trabajo pesado que se describe a continuación.

3. Agregue HTTPS al área de administración de WordPress

El primer lugar donde podrá disfrutar de la nueva conexión segura es el panel de WordPress. Al asegurar el back-end primero, se asegura de que cada vez que un usuario inicia sesión, su información se intercambia de forma segura.

Para hacerlo, abre wp-config.phpen tu carpeta raíz de WordPress y agrega la siguiente línea en algún lugar antes de que diga Eso es todo, ¡deja de editar! .

define ('FORCE_SSL_ADMIN', verdadero);

Una vez que haya actualizado el archivo, es hora de probar si funciona. Para eso, intente acceder a su página de inicio de sesión con HTTPS en la URL, por ejemplo, a través de https://yoursite.com/wp-admin . Si todo funcionó correctamente, debería tener una conexión segura ahora. Entonces continúa.

4. Actualizar la dirección del sitio

Después de mover el backend de WordPress a HTTPS, es hora de hacer lo mismo por el resto de su sitio. Puede hacerlo actualizando la dirección de su sitio en Configuración> General .

Mueve tu sitio web a https cambiar la configuración de WordPress

Agregue https: // al principio de la dirección de WordPress y la dirección del sitio. Luego actualiza tu configuración guardando. Tenga en cuenta que es posible que deba iniciar sesión de nuevo más tarde.

5. Cambie los enlaces en su contenido y plantillas

Ahora es el momento de actualizar cualquier enlace en su contenido y base de datos que incluya el antiguo protocolo HTTP. Un complemento como Velvet Blues o el  script de búsqueda y reemplazo puede ayudar con eso. Sin embargo, ten cuidado! Si se manejan incorrectamente, también pueden arruinar su sitio. Menos mal que hiciste esa copia de seguridad antes, ¿verdad?

Si tiene enlaces a recursos y recursos externos en sus plantillas de temas y archivos de funciones con enlaces HTTP absolutos, también es importante corregirlos. Cosas para considerar:

  • Imágenes, videos, audio alojados en su sitio.
  • Fuentes web
  • iframes
  • Archivos JavaScript o CSS o activos referenciados dentro de esos archivos
  • Vínculos internos

Si es posible, cambie sus enlaces a en //lugar de https://. ¡Entonces ellos mismos crearán enlaces relativos!

6. Implementar 301 Redirecciones en .htaccess

El siguiente paso para mover su sitio a HTTPS es configurar una redirección que envíe a los visitantes automáticamente a la versión segura. Para eso, lo utilizaremos .htaccess. Este es el nombre de un archivo de sistema importante en su servidor (generalmente en el directorio raíz de WordPress).

Por lo general, contiene configuraciones para usar bonitos enlaces permanentes, por lo que su instalación probablemente ya tenga una. Para encontrarlo, asegúrese de permitir que su cliente FTP muestre los archivos ocultos porque  .htaccesses invisible por defecto. Si no tiene uno, simplemente cree un archivo de texto sin formato, renómbrelo .htaccessy cárguelo en el directorio raíz de WordPress.

Después de eso, agréguele las siguientes líneas:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {HTTPS} desactivado
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]
</IfModule>

Eso es. De ahora en adelante, los visitantes (incluidos los bots de Google) deberían ingresar automáticamente en la versión HTTPS de su sitio de WordPress. Asegúrese de que no haya ninguna página disponible en ambas versiones. Esto puede llevar a problemas con contenido duplicado. No es bueno para SEO.

7. Prueba y Vive

Ok, ahora que hemos terminado con los pasos principales, es hora de probar si todo funciona correctamente. Para eso, dirígete a SSL Test . Inserte su nombre de dominio y haga clic en Enviar . Esto le dará un puntaje general de lo bien que implementó SSL en su sitio y los detalles para descubrir posibles problemas con el fin de solucionarlos.

Mueve tu sitio web a https ssl resultados de la prueba

Después de eso, rastrea tu sitio con una herramienta como  SSL Check . De esa manera, puedes capturar cualquier enlace sobrante que hayas olvidado. Si todo está bien, es hora de ir a vivir. ¡Bien hecho! Ahora solo necesitas actualizar algunas periferias.

8. Actualice el entorno de su sitio

Si eso funcionó bien, ahora es el momento de realizar los últimos pasos para completar la transferencia a HTTPS:

  • Actualice su mapa del sitio : idealmente, su complemento SEO lo hace automáticamente. Sin embargo, no siempre funciona así. Con Yoast SEO, es posible que tengas que desactivar el complemento una vez para actualizar el sitemap. No olvide incluirlo en su archivo robots.txt y actualizar todos los demás enlaces codificados que pueda tener allí.
  • Agregue el sitio a las herramientas para webmasters : vaya a cada herramienta para webmasters que esté utilizando y agregue la versión HTTPS de su sitio como una nueva propiedad. Mientras estés allí, sube el nuevo mapa del sitio. También puede considerar realizar una búsqueda y rastreo, y enviar cualquier archivo de rechazo que ya esté activo para la versión anterior de su sitio.
  • Actualice su CDN : si está utilizando una red de distribución de contenido (una de las formas de acelerar su sitio ), también debe cambiarlo a SSL. Muchos de ellos tienen esa característica incorporada y su CDN debería tener documentación sobre esto. De lo contrario, pide su apoyo para ayudarte.
  • Cambie su analítica : si su analítica necesita una URL predeterminada, asegúrese de actualizarla con el nuevo prefijo. Para Google Analytics, encontrará la opción en Admin> Configuración de la propiedad> URL predeterminada . Además, anote cuando hizo el cambio a HTTPS para comprender los cambios de tráfico.
  • Conserve el recuento de redes sociales : si muestra contadores de redes sociales en su sitio, es posible que deba realizar algunos cambios para mantenerlos actualizados. Consulte esta guía para más detalles. ¡No olvide actualizar los enlaces a su sitio en sus perfiles sociales! Y haz lo mismo en tus plantillas de email.

¡Eso es! Has logrado mover tu sitio web a HTTPS. Felicitaciones, eso no fue una hazaña pequeña. Si todo fue bien, todo lo que queda es darse palmadas en la espalda y celebrar. En caso de que tenga problemas, a continuación tenemos algunos consejos para la solución de problemas.

Consejos para la resolución de problemas de HTTPS

Desafortunadamente, mover su sitio a HTTPS no es todo sol y arco iris. Pueden surgir algunas cosas que necesitan ser tratadas.

Advertencias de contenido mixto

Los problemas más comunes que surgen después de mover su sitio web a HTTPS son advertencias de contenido mixto. Esto sucede cuando el navegador encuentra enlaces no seguros en una página segura. Esto suele ser una cuestión de actualizar los enlaces a las bibliotecas jquery, fuentes personalizadas o similar a su versión HTTPS.

Por lo general, debe encargarse de esto mientras escanea su sitio antes de publicarlo. Sin embargo, si encuentra una advertencia como esta, asegúrese de verificar qué la está causando.

Aparte de las herramientas mencionadas anteriormente, también puede usar  Why No Padlock? para páginas sueltas. Entonces, corrija cualquiera que sea el problema.

Disminución de los rankings de búsqueda

Hacer el cambio de HTTP a HTTPS puede influir negativamente en sus clasificaciones. ¡¿Qué?! ¿No dije antes que esto es bueno para SEO? ¿Por qué bajaría tu ranking entonces?

Antes de regresar y patear HTTPS a la acera, escúchame primero. Si su SEO se ve afectado negativamente, esto suele ser sólo temporal.

Verás, Google trata las URLs https: // y http: // como dos entidades diferentes. Incluso si configura 301 redirecciones (como hemos hecho anteriormente), estas solo transfieren el 90-99% del contenido del enlace. Es por eso que tus rankings pueden bajar al principio.

Sin embargo, después de la caída inicial, deberían aumentar con el tiempo. Como se mencionó, Google considera que el uso de SSL es un factor de clasificación positivo, por lo que si mueve su sitio web a HTTPS, en realidad lo hace más atractivo a sus ojos. Esto te beneficiará a largo plazo.

En una palabra…

Mantener su sitio y su tráfico seguro es uno de los problemas más importantes para cualquier propietario de un sitio web. Saber que pueden confiar en usted con sus datos confidenciales es importante para los consumidores. En tiempos de aumento del robo de datos, eso es un gran activo y HTTPS y SSL son las herramientas para lograrlo.

Además de mostrar confianza a los consumidores, cuando mueves tu sitio web a HTTPS, también te permite beneficiarte de una mayor velocidad y un mejor SEO. Además, con un servicio gratuito como Let’s Encrypt, el costo ya no es un factor disuasivo.

Anteriormente, aprendió cómo obtener un certificado SSL gratuito e implementarlo en su sitio web de WordPress. Hemos seguido los pasos necesarios para transferir todo su sitio a la prima segura de HTTP y también hemos hablado sobre otras consideraciones que se deben tener en cuenta al realizar el cambio.

Si ha seguido, ahora puede agregar HTTPS y SSL a su sitio web de WordPress. Sepa que esta es una gran inversión para el futuro y hacia dónde se mueve la web. Tus visitantes, usuarios y tu sitio te lo agradecerán.

Comprueba tu web antes de lanzarla con esta lista

Una de las tareas que siempre realizamos en Ebooz.com Páginas Web en Marbella es la comprobación de todos los elementos de una página web antes del lanzamiento. De esta forma podemos optimizar su rendimiento y asegurarnos de que se dan todos los pasos para un correcto posicionamiento en buscadores y generación de tráfico.

Habitualmente trabajábamos con una hoja de cálculo, hasta que hemos descubierto Web Launch Checklist, un servicio online gratuito que te permite ir repasando y marcando todos los pasos que se deben comprobar antes de lanzar una página web profesional, incluyendo consejos básicos para rendimiento y tiempos de carga y también otros importantes como el SEO, contenido, seguridad y accesibilidad.

Cada uno de los puntos a verificar cuenta con un símbolo de (+) donde se puede obtener más información sobre la tarea a realizar.

La lista se va renovando periodicamente, con lo que incluye consejos sobre las ultimas tecnologías de desarrollo web, como por ejemplo el HTTP/2. Puedes ir mancando los puntos a medida que los vas completando y la web los recordará mediante una cookie. Además puedes descargar la lista completa en PDF o Word.

¡No olvides comprobar la lista antes de lanzar tu próximo proyecto!

Cómo crear códigos QR o BIDI gratis

Cuando realizamos campañas de marketing y queremos disponer de un código QR o BIDI, para que los usuarios lo puedan escanear con el teléfono móvil y acceder a una URL, se suelen utilizar herramientas online a priori gratuitas. Sin embargo es habitual llevarse la desagradable sorpresa de que no hemos leído convenientemente las condiciones del sitio y que pasado un tiempo nuestro código deja de funcionar a menos que paguemos una cuota periódica. Este problema es especialmente incómodo cuando hemos utilizado el código en una campaña impresa offline, lo que nos obliga a pasar por caja sin remedio.

Para evitar estas situaciones y crear códigos QR o BIDI gratis podemos utilizar un truco relacionado con la herramienta para acortar URLs de Google.Es tan fácil como utilizar la dirección goo.gl y especificar la URL de la que queremos obtener un código QR.

Paso 1. Obtener un URL acortada

Entramos en goo.gl y escribimos la URL de la que queremos obtener el código QR. No olvidéis que la práctica totalidad de visitante que usen el código lo harán desde su dispositivo móvil, por lo que es importante que la página esté adaptada a cualquier tamaño de pantalla.

Código QR gratis Paso 1

La página crea una URL acortada que siempre estará siempre disponible sin restricciones. Esta URL ya cuenta con un código QR. Vamos a ver como obtenerlo.

Código QR gratis Paso 2

Paso 2. Obtener el código QR

En la lista con el enlace buscamos el boton de la derecha y la opción de ‘QR Code’.

Código QR gratis Paso 3

Obtenemos así nuestro código QR. Podemos guardarlo pulsando con el botón derecho del ratón sobre él, aunque el tamaño puede ser pequeño para nuestras necesidades.

Código QR gratis Paso 4

Paso 3. Incrementar el tamaño del código QR

Si pulsamos sobre la imagen del código QR se abrirá en una nueva ventana. Si os fijáis en la URL veréis que viene especificado un tamaño de 150×150 pixeles. Google HCarts, el sistema sobre el que se basa esta solución permite gráficos con un máximo de 300000 píxeles, por lo que el tamaño máximo sería de 547×547 pixeles. Podéis cambiar a mano el tamaño en la URL y pulsar intro para obtener otro código QR de mayor tamaño

Código QR gratis Paso 5

Así podéis guardarlo con el botón derecho del ratón o copiar la URL para utilizarlo en vuestros proyectos

Os recuerdo que si queréis saber más sobre los códigos QR podéis visitar este post

Cómo leer los códigos QR con teléfonos móviles

wpcf7_is_ajax_call: Mejorar el tiempo de carga AJAX de Contact Form 7 en WordPress

Si utilizáis el plugin de formularios Contact Form 7 en WordPress y, al igual que yo, no paráis de comprobar los tiempos de carga, es probable que hayáis reparado en la lentitud del componente wpcf7_is_ajax_call. El motivo es una incompatibilidad entre ambos sistemas que podemos solucionar añadiendo las siguientes líneas en el functions.php de vuestra plantilla, según un post de Stackoverflow:

// Hack Contact Form 7 to avoid unwanted ajax calls
// see http://stackoverflow.com/questions/19632244/is-w3-total-cache-compatible-with-contact-form-7
add_action('wpcf7_enqueue_scripts', 'hack_cf7');
function hack_cf7() {
$_wpcf7 = array(
'loaderUrl' => wpcf7_ajax_loader(),
'sending' => __( 'Sending ...', 'contact-form-7' )
);
wp_localize_script( 'contact-form-7', '_wpcf7', $_wpcf7 );
}

En mi caso he conseguido una reducción media de 900 ms con este parche, lo que en tiempos medios de carga de 2 a 2,5 segundos es una auténtica barbaridad

Cómo hacer copias de Seguridad de Cpanel WHM con Amazon Web Services S3

Una labor indispensable en cualquier servidor es la automatización de las tareas de copias se seguridad. Se pueden realizar copias individuales desde las cuentas de los clientes, pero si estamos utilizando Cpanel podemos aprovechar una de sus últimos añadidos para crear un backup completo del sistema y alojarlo periódicamente en Amazon Web Services. Vamos a ver los pasos para configurar el proceso.

1. Crear un Bucket en Amazon S3

Vamos a utilizar el servicio de alojamiento de archivos Amazon S3. Necesitamos identificarnos en el panel

https://console.aws.amazon.com/s3/home

backup-cpanel-aws-s3-1

Pulsamos en crear nuevo bucket e indicamos el nombre. Debemos especificar también la región donde ubicaremos los archivos, recordando que si seleccionamos Irlanda nos aseguramos de cumplir con la ley de datos europea. No debemos utilizar mayúsculas ni espacios en el nombre del Bucket.

backup-cpanel-aws-s3-2

2. Configurar los Backups en Cpanel

posteriormente es necesario configurar los backups en Cpanel WHM con el recién creado bucket de Amazon S3. Entramos en WHM, opción Backup, y encontraremos un panel de opciones. Lo primero es activar la opción de backups e indicar si queremos copias de seguridad comprimidas, sin comprimir o incrementales, en las que se van copiando solo los archivos que se han modificado desde la copia anterior.

backup-cpanel-aws-s3-3

Después seleccionamos la periodicidad de los backups, que pueden ser diarios, semanales, mensuales o una combinación de estos.

backup-cpanel-aws-s3-4

El siguiente paso es seleccionar las cuentas de usuario de las que queremos mantener las copias de seguridad. Otra opción muy interesante es la de hacer un backup de los archivos de sistema, que nos permitirá recuperar el sistema completo en caso de desastre.

backup-cpanel-aws-s3-5

3. Conexión con Amazon S3

El último paso es el de la conexión de WHM con Amazon S3. Seleccionamos esta opción y pulsamos sobre Create New Destination

backup-cpanel-aws-s3-6

Indicamos el nombre que queramos para el destino, la carpeta y el bucket de destino en Amazon S3, así como los datos de login en sistema, el Access Key ID y el Secret Access Key.

backup-cpanel-aws-s3-7

Ambas claves pueden configurarse aquí.

Para terminar pulsamos en Save and Validate Destination. La copia de seguridad se ha configurado en el sistema, y podemos darle al botón de validate para comprobar que todo está ok.

Los backups comenzarán a subir desde WHM a Amazon S3 según la periodicidad que hayamos indicado. Si no queremos esperar podemos forzar el inicio con el siguiente comando, entrando como root en el servidor con conexión ssh:

/usr/local/cpanel/bin/backup –force

El comando devolverá el log que se está utilizando para la tarea del backup, algo como:

-bash-4.1# /usr/local/cpanel/bin/backup –force
info [backup] Started at Sun Sep 28 12:00:38 2014
info [backup] Process started in background.
info [backup] Log file: /usr/local/cpanel/logs/cpbackup/1411923638.log

Para poder ver si el proceso avanza correctamente analizamos el log con un comando como este:

tail -f /usr/local/cpanel/logs/cpbackup/1411920835.log

Y se puede usar el siguiente comando para ver si los archivos suben sin problemas

-bash-4.1# tail -f /usr/local/cpanel/logs/cpbackup_transporter.log

Lo que mostrará una salida como esta

-bash-4.1# tail -f /usr/local/cpanel/logs/cpbackup_transporter.log
[2014-09-28 12:01:43 -0500] info [cpbackup_transporter] cPanel Backup Transporter Queue Daemon started.
[2014-09-28 12:01:43 -0500] info [cpbackup_transporter] cpbackup_transporter – started
[2014-09-28 12:01:43 -0500] info [cpbackup_transporter] cpbackup_transporter – Checking queue for tasks
[2014-09-28 12:01:43 -0500] info [cpbackup_transporter] cpbackup_transporter – Processing next task
[2014-09-28 12:01:43 -0500] info [cpbackup_transporter] Instantiating Object
[2014-09-28 12:01:43 -0500] info [cpbackup_transporter] Starting a «copy» operation on the «Amazon Backup» destination ID «rxpoY3vkuP1gI9ZYHemw8abH».
[2014-09-28 12:01:43 -0500] info [cpbackup_transporter] Validating destination path /Backups/2014-09-28
[2014-09-28 12:01:44 -0500] info [cpbackup_transporter] Path exists
[2014-09-28 12:01:44 -0500] info [cpbackup_transporter] Uploading /backup/2014-09-28/accounts/cptest2.tar.gz to /Backups/2014-09-28/cptest2.tar.gz
[2014-09-28 12:01:44 -0500] info [cpbackup_transporter] Attempting to upload /backup/2014-09-28/accounts/cptest2.tar.gz to /Backups/2014-09-28/cptest2.tar.gz for destination: Amazon Backup
[2014-09-28 12:01:44 -0500] info [cpbackup_transporter] Upload attempt #1 starting for /backup/2014-09-28/accounts/cptest2.tar.gz to /Backups/2014-09-28/cptest2.tar.gz for destination: Amazon Backup
[2014-09-28 12:01:45 -0500] info [cpbackup_transporter] Successful transfer of /backup/2014-09-28/accounts/cptest2.tar.gz to /Backups/2014-09-28/cptest2.tar.gz for destination Amazon Backup

Una vez haya finalizado la copia de seguridad podemos entrar en nuestro panel de administración en Amazon S3 y veremos un listado de los archivos subidos

backup-cpanel-aws-s3-8

Con este proceso tendremos la posibilidad de recuperar la cuenta de un cliente o incluso nuestro sistema completo de una forma rápida y con un coste de almacenamiento reducido.