# 5G:[WordPress]

<ifModule mod_rewrite.c>

RedirectMatch 403 /\$\&

RedirectMatch 403 (?i)/\&(t|title)=

RedirectMatch 403 (?i)/\.(bash|git|hg|log|svn|swp|tar)

RedirectMatch 403 (?i)/(1|contact|i|index1|iprober|phpinfo|phpspy|product|signup|t|test|timthumb|tz|visit|webshell|wp-signup).php

RedirectMatch 403 (?i)/(author-panel|class|database|manage|phpMyAdmin|register|submit-articles|system|usage|webmaster)/?$

RedirectMatch 403 (?i)/(=|_mm|cgi|cvs|dbscripts|jsp|rnd|shadow|userfiles)

</ifModule>

Con este código lo que vamos a conseguir es que todas las solicitudes de direcciones URL se comparen con cada una de las cadenas de caracteres y si coinciden con alguna de estas condiciones, se muestra una pagina 403 impidiendo el acceso. Entre ellos nos encontramos al últimamente famoso timthumb.php que tantos problemas ha provocado en muchas instalaciones de WordPress debido a una vulnerabilidad en el código.

¿Que podemos hacer para solucionar este error?

Probablemente algún dominio o subdominio que tengas alojado en tu servidor tiene alguna regla de redirección configurada erróneamente. Para resolver esto de manera permanente hay que añadir las siguientes lineas al archivo “.htaccess” de esos dominios:

RewriteCond %{ENV:REDIRECT_STATUS} 100
RewriteRule .* – [L]

Pero… ¿Y si tengo muchos dominios alojados en el servidor? ¿Cual esta provocando el problema? Podemos ir a /usr/local/apache/domlogs y allí buscar la IP que ha tenido el error (La IP la encontraras en error_log) con el siguiente comando:

grep -irl sustituir.por.la.ip.que.provoca.el.error *

Y nos dirá los dominios que provocan el error. Ahora solo tenemos que añadir las lineas que antes he comentado al .htaccess y el problema desaparecerá del archivo de errores de apache.

La serie se emite en la cadena HBO y ha sido creada por David Benioff y D. B. Weiss. Se trata de una adaptación de los libros “A Song of Ice and Fire” de George R. R. Martin, siendo el titulo del primer libro “A Game of Thrones”.

Aquí os dejo el Wallpaper de la Casa Stark. En la página de la HBO tenéis todos los fondos de pantalla disponibles para descarga:

Y cada vez se esta volviendo más importante asegurar PHP a traves de su archivo de configuración PHP.ini

Lo primero que tendríamos que hacer es encontrar el archivo PHP.ini. Si tenemos acceso ssh a nuestro servidor, podemos ejecutar el siguiente comando en la shell:

# php -i |grep php.ini

En cpanel tambien podeis ver su configuración y probablemente editar algunas de sus funciones. Sino encontrais el archivo, lo más sencillo es ponerse en contacto con el soporte de la empresa de hosting y que os generen uno para vuestro dominio.

Una vez que lo encontramos, procedemos a editar algunas opciones:

safe_mode (ON)

Poner PHP “Safe mode”  en ON es una de las maneras más sencilla de asegurar nuestra instalación y de limitar las funciones que utiliza PHP. En algunos casos puede resultar un poco restrictiva y provocar que determinadas aplicaciones no funcionen, pero siempre es recomendable poner esta orden en On en los Servidores Compartidos, por lo que probablemente, si estamos en un shared server, vuestro proveedor ya lo haya hecho por vosotros.

Si ponemos safe_mode en modo “on” parara la ejecución de funciones exec y otras del estilo que normalmente pueden provocar un fallo en la seguridad del servidor.

Deshabilitar determinadas funciones PHP

PHP puede provocar un hackeo del servidor a través de determinadas funciones que deberíamos deshabilitar para mejorar la seguridad:

Dentro de php.ini hay que buscar la linea donde tengamos:

disable_functions =

Y añadimos lo siguiente:

disable_functions = dl,system,exec,passthru,shell_exec

Register Globals (OFF)

Mediante register_globals pueden introducir en nuestro entorno muchas variables no deseadas, por lo que siempre es recomendable desactivar esta función. Muchos programas como moodle, te solicitan que así lo hagas durante la instalación.

Buscamos en PHP.ini

register_globals = On

y lo cambiamos por:

register_globals = Off

display_errors (OFF)

Con esto conseguiremos que no se muestren todos los errores de la aplicación que pueden proporcionar detalles sobre las rutas a los programas o sobre las consultas MySQL

allow_url_fopen y allow_url_include (OFF)

allow_url_fopen en OFF impide que algunas funciones PHP como include, require, y file_get_contents(), pidan datos externos.

allow_url_include en OFF impide el acceso remoto via include y require.

magic_quotes_gpc (OFF)

Lo mejor, para tener un “ambiente” seguro es ponerlo en OFF. En este articulo teneis algunas de las ventajas y desventajas de hacerlo o no What is Magic Quotes GPC (magic_quotes_gpc) in PHP and the php.ini?

open_basedir

Esta directiva tiene que estar configura a un determinado directorio para que PHP solo pueda acceder a él

Correr PHP a traves de PHPsuexec

El gran problema de PHP es que en servidores con cPanel, PHP corre mediante el usuario “nobody”. Cuando alguien pone un script con acceso 777, un usuario “nobody” puede escribir en el archivo. Y esto puede ser peligro en un Servidor Compartido (Shared Server) ya que lo que sucede en unas cuentas puede afectar a las demás. En otras palabras: no es necesario que tu cuenta este comprometida. Si lo esta la del vecino, la tuya también.

PHPsuexec hace que los permisos 777 no estén permitidos. ¿Inconveniente? PHP se vuelve más lento, pero es más seguro. Además, como cada proceso esta asociado a un usuario en concreto, es más sencillo seguir la pista a los errores.

Para que PHP funcione de este modo, hay que recompilar PHP con suexec. Si tienes Cpanel/WHM lo tienes que hacer mediante Easyapache. Si estas en un servidor Compartido, probablemente ya este activada la opción (No vas a poder recompilar PHP por tu cuenta).

¿Usas como CMS WordPress?

Sí es así, hay un excelente plugin que nos va a ayudar a comprobar la seguridad de nuestra instalación: TPC! Memory Usage

Vía Web Host Gear

Preludio: Experiencia en Godaddy (Shared Server). De 2007 a 2010.

Como mucha gente, empece alojando mis webs en un servidor compartido. Mi primer error fue alojar mis dominios en el mismo sitio donde los había comprado: Godaddy. Godaddy es una compañia excelente en cuanto al manejo de dominios, no recomendaría otra (buenos precios, buen panel de gestión, puedes hacer todo de manera muy sencilla). Un 10 para ellos en este aspecto.

Pero el alojamiento en Godaddy (Shared Hosting), no me fue muy bien. Páginas lentas, no tenían opción de gestionar el host con cpanel, algún que otro problema de seguridad… En fin, no se las experiencias de los demás, pero en mi caso (puede que tuviera mala suerte), después de aguantar casi 3 años, decidí moverme a otra compañía de alojamiento web: Hostgator.

Experiencia en Hostgator – Parte I: (Shared Server). De 2010 a 2012.

No puedo tener más que buenas palabras para el servicio que ofrece Hostgator en sus servidores compartidos:

• Excelente uptime
• Excelente servicio de atención al cliente mediante chat, tickets y telefono
• Precios muy competitivos
• Uso de cpanel para controlar tu cuenta
• Excelente seguridad en el servidor
• No venden por encima de sus capacidades el alojamiento del servidor

Lo dicho. Si quieres alojar tus web en un buen hosting compartido, no lo dudes, Hostgator es tu opción.

Experiencia en Hostgator – Parte II: (VPS). Dos meses en 2012.

Finalmente decidí moverme de un Servidor compartido a uno Virtual Dedicado (VPS) y como había tenido buena experiencia en Hostgator, decidi seguir con ellos.

Solicite la transferencia de todos mis dominios al nuevo servidor (VPS Level 3 (CPU – 1.13 GHZ; RAM: 768 MB; Disk Space: 30 GB; Bandwidth: 500 GB; cpanel/WHM + VZ por 49,95$/mes, configurado y controlado por sus técnicos), y como siempre, lo hicieron muy bien y rápidamente. En apenas unos días me había cambiado de servidor.

Y empezaron los problemas. Aquí quiero decir, que puede ser que lo que me ha pasado a mí sea un problema puntual, habrá gente que le vaya bien con ellos en sus VPS, pero la sensación que me he llevado es que hay mejores opciones en cuanto a elección de VPS.

Primer problema: Uptime pésimo. 98% en estos dos meses (controlado por pingdom.com), el servidor estuvo caído, mínimo, más de 15 horas. El soporte , en un primer momento no sabían decirme que sucedía. Pensaba que era un problema de mi VPS, no del servidor al completo (empece a ver picos de RAM en las estadísticas de Virtuozzo). Finalmente logre enterarme que había problemas en el servidor (no solo en mi contenedor VZ) debido a otro cliente (por lo menos no era culpa mía) y que lo resolverían. La verdad es que tardaron casi 20 días en solucionarlo. Espere pacientemente. Además me comentaron que los problemas de picos de RAM en mi VPs se debían a esta situación. Una vez solucionado el problema, me di cuenta de que mi contenedor seguía alcanzando picos de RAM en determinados momentos. Pregunte porque, si seguía habiendo problemas en el servidor. La contestación fue que era problema de mis scripts (WordPress) y que, o los optimizaba o tenía que contratar un plan de alojamiento superior ¿? Sinceramente no creo que fuera mi problema… ¿en un primer momento era problema provocado por otro cliente en el servidor y ahora era mio?

Segundo problema (inconveniente): En Hostgator, si quieres que te instalen, por ejemplo “Memcache” en tu servidor… ¡Te cobran!. Sí, te cobran… 25$… Me sorprendio mucho… Y así unas cuantas cosas más…

De cualquier manera, el servicio de atención al cliente de Hostgator fue en todo momento rápido y eficiente, eso sí, mejor poner tickets que empezar un chat, ya que el nivel técnico es superior “en la zona tickets”.

Conclusión: Me lance a cambiar de hosting de nuevo. Realice una busqueda concienzuda en Google, y encontre muy buenos comentarios de dos compañias en el foro Web hosting Talk: Future Hosting y Knownhost. Cualquiera de las dos tiene muy buenas críticas. Me decidi por Knownhost.

Experiencia en Knownhost VPS (Actualidad).

Elegí su paquete VS3 (1216 RAM; 60GB Disk Space; 3500GB bandwidth; cpanel/WHM + VZ por 50$/mes, configurado y controlado por sus técnicos)

Bien, lo primero que llama la atención, es que por el mismo precio, el servidor VPS contratado tiene mejores especificaciones. Knownhost es una compañía especialista en VPS, su negocio principal no son los servidores compartidos (como Hostgator) y eso se nota.

Me gustaría destacar unos cuantos puntos de esta compañía:

1. Excelente uptime: De los mejores de la industria
2. Excelente soporte: aunque no tiene chat, el sistema de tickets funciona a la perfección (no tardan en contestar más de 10-15 minutos)
3. El soporte que dan es muy didactico: Cuando les pides que hagan algo en tu VPS, lo hacen y te explican como lo han hecho… Incluso te ponen los comandos que han utilizado.
4. No te cobran por instalaciones extra en tu servidor: Memcache instalado de manera gratuita, por ejemplo…
5. El servidor esta claramente mejor optimizado. Realmente son especialistas en VPS. El nivel técnico de sus empleados me parece excepcional

Como podéis leer, estoy encantado con Knownhost. Creo que no soy el único. Buscad en Google otras opiniones sobre esta empresa de hosting. El 99% son buenas.

1. ¿Donde queremos alojar nuestra página web? ¿En nuestro país o en el extranjero? Siempre recomiendan que si queremos enfocarnos a un publico objetivo dentro de nuestro propio país, tenemos que elegir el hosting sin salirnos de él (mayor velocidad e acceso etc…). Yo nunca he tenido problemas con mis hostings en el extranjero, así que, no creo que sea importante…
2. ¿Cual es nuestro presupuesto? Hasta hace poco tiempo, el mercado más competitivo era el americano, ofreciéndonos sus compañías de hosting los mejores precios con las mejores características. Confieso que siempre me decanto por un hosting americano.
3. ¿Que soporte necesitamos? Es realmente importante que la compañía de hosting nos ofrezca un buen soporte (telefónico, chat, e-mail…). Aquí tenemos que valorar si nuestro conocimiento del ingles es suficiente para desenvolvernos con soltura y si preferimos usar solo el teléfono… A lo mejor una llamada a nuestro hosting en Estados Unidos nos sale por un ojo de la cara. Yo siempre utilizo el chat o el e-mail. Sin problemas.
4. ¿Servidores Linux o servidores windows? Nunca he utilizado un servidor Windows. Siempre me he decantado por Linux… no se… me dan más seguridad.
5. ¿Como queremos construir nuestra web? En la actualidad lo más demandado es Linux -Apache -Mysql – PHP (LAMP). Los CMS más importantes utilizan estas técnologías. Linux como sistema operativo. Apache como servidor web. Mysql como base de datos y PHP como lenguaje de programación. La mayoría de los hostings soportan estas tecnologías, pero no esta de más comprobarlo.
6. ¿Cual es el uptime y la seguridad de la empresa de hosting? Muy importante. Hay que visitar algunos foros y chequear que opina la gente. El uptime lo podemos chequear en HyperSpin y la opinión de otros usuarios, en el foro webhostingtalk. Regla general: Hay que decantarse por la empresa que se dedica específicamente al negocio. Por ejemplo, porque Godaddy sea muy buena en el negocio de los dominios, no significa que también lo sea en el alojamiento web.
7. ¿Cual es el uptime recomendado? Mínimo un 99,9%
8. ¿Que tipo de plan de hosting necesito? Es decir: ¿Compartido? (Shared Server), ¿Virtual Dedicado? (VPS), ¿Dedicado? Normalmente se empieza por el compartido, es el más barato y luego se va escalando de un plan a otro. Evidentemente si ya tenemos un plan de negocio en mente, y esperamos muchas visitas en breve, hay que valorar elegir un VPS o un dedicado.
9. ¿Que software de control del hosting me ofrecen? Creo que es importante, sobre todo a la hora de realizar migraciones a otros servidores. Yo me decanto por cPanel y VHM.
10. ¿Realmente el bandwidth y el espacio en disco que me ofrecen en el hosting es ilimitado? En principio sí, pero las limitaciones a tu cuenta van a llegar de otros lados. Por ejemplo en los servidores compartidos, normalmente solo vas a poder usar el 25% de la CPU del servidor durante un tiempo limitado (90 segundos); las conexiones simultaneas a la base de datos probablemente no puedan superar las 25 simultaneas. Así que hay que leerse las condiciones antes de comprar el paquete para alojar nuestra web. Normalmente también ponen limites al numero de archivos, carpetas que podemos alojar (entre unos 100,000-250.000 en algunas empresas en servidores compartidos o 1,000,000 en los VPS).
11. ¿Qué política de backups tiene nuestro hosting? con cPanel no hay problema. Los podemos hacer nosotros mismos, pero siempre es conveniente que la empresa ofrezca sus propios backups.
12. ¿Tengo acceso SSH al servidor? Fundamental para un mejor control del mismo
13. ¿Cuantos dominios quiero alojar? Depende del plan de hosting que vayas a contratar. Dentro de los compartidos, el plan más barato solo permite alojar 1 por regla general. A partir de ese, sueles poder alojar un numero ilimitado de dominios.
14. ¿Necesito una IP única para mi web? En VPS y servidores dedicados siempre tienes IP asignadas en los paquetes de hosting, en los compartidos normalmente no. Se necesita una IP para poder soportar conexiones SSL privadas. Tener o no una IP única no afecta en nada para el SEO.
15. ¿Alguna oferta para que mi hosting me salga más barato? Sí. Siempre hay cupones de oferta en www.webhostingsearch.com. En esta página también encontraremos interesantes comparativas de hostings.

Y después de todos estos puntos ¿Qué servicio de hosting recomiendo? En España tienen muy buena fama CDMON y ARSYS. En Estados Unidos, Hostgator y Bluehost. Si queremos alojar nuestra web en un VPS, el más recomendado es Knownhost (servidores ya configurado y listos para funcionar) y Linode (tu te configuras el servidor).

Llama poderosamente la atención Knownhost con un 99.975% de uptime, sobre todo teniendo en cuenta que las mediciones se han realizado sobre 217 servidores VPS durante más de 1000 días.

La verdad es que en el foro webhostingtalk hablan muy bien de esta compañía, que además tiene unos precios muy competitivos. Destacan tambien su servicio al cliente: dicen que es rápido y muy bueno.

En estos momentos tienen una oferta muy buena en Knownhost utilizando el siguiente código KHBESTUPTIME: Te ofrecen un descuento del 75% el primer mes, seguido de un 10% de descuento de por vida a partir de sus paquetes VS2 o superiores (vía webhostingtalk).

El paquete VPS VS2 tiene las siguientes especificaciones:

VS2 – $35/mes **Con la promo el primer mes se queda en $8.75/mes y luego en $31.50/mes**
2500 GB Bandwidth
960 MB RAM
40 GB en disco
IPs: 2

Y son VPS totalmente configurados. Ellos se encargan de toda la instalación y de las actualizaciones.

Se trata de Million Short, un motor de búsqueda web experimental que permite eliminar la parte superior de los resultados (o 100.000, 10.000, 1000, 100).

Con Million Short vamos a poder descubrir esas páginas web que nunca llegan a las primeras páginas de resultados en google u otros buscadores. La mayoría de la gente no mira más allá de la primera página cuando se hace una búsqueda y ahora no tiene porque hacerlo.

Johnny Depp tiene pinta de que hace un papelón y me alegra mucho volver a ver Michelle Pfeiffer… Pensaba que ya no la iban a ofrecer más papeles de importancia.

¿Cual es la trama de Sombras Tenebrosas (Dark Shadows)?

En 1752, Joshua y Naomi Collins, con su hijo Barnabas, zarpan de Liverpool con destino a América para librarse de la misteriosa maldición que pesa sobre su familia. Pasan los años, y Barnabas (Johnny Depp), un playboy impenitente, se convierte en un hombre rico y poderoso que comete el error de romperle el corazón a Angelique Bouchard (Eva Green). Pero ella, que es una bruja, lo condena a un destino peor que la muerte: lo convierte en vampiro y lo entierra vivo. Dos siglos después, en 1972, Barnabas consigue salir de su tumba y se encuentra con un mundo irreconocible.

Sombras Tenebrosas (Dark Shadows) es una adaptación de la serie de televisión creada por Dan Curtis en 1966, y que ya tuvo un remake en 1991.

Mientras esperamos a su estreno, podemos ver el trailer de Sombras Tenebrosas (Dark Shadows)