Usar Cloudflare gratis para obtener un certificado SSL y mostrar como seguro el sitio en Chrome y otros navegadores

Para poder utilizar Cloudflare a fin de asignar un SSL virtual a tu dominio, necesitas primero crear una cuenta en este proveedor: https://dash.cloudflare.com/sign-up

Ya que tienes una cuenta y has ingresado necesitas añadir el dominio de tu sitio web.

Paso 1. Da clic en "Add a Site"





Una vez que añades el dominio debes confirmar que deseas continuar y seleccionar el plan gratis (Free).

Paso 2. Indica el dominio.


Paso 3. Da clic en "Next".



Paso 4. Selecciona el plan gratis (Free) y da clic en "Confirm Plan"




Paso 5. Confirma nuevamente que estás seleccionando el plan gratis y da clic en "Confirm".





Paso 6. Espera a que Cloudflare obtenga los registros A, CNAME, MX y TXT actuales si ya los tiene tu dominio. Ya que son los registros que indican dónde está alojado tu sitio, tu correo, y otros detalles relacionados.

Una vez que los cargue verifica que sean correctos, añade cualquier registro que falte y da clic en continuar hasta abajo de la pantalla.





Los registros que tienen la nube naranja quiere decir que el tráfico pasa primero por Cloudflare y además de ahorrar datos de transferencia al web hosting hará funcionar el https. Por eso los registros A principales de tu dominio deberían tener esta nube naranja. En mi caso estos dos registros serían el A correoweb.mx y el registro A www.correoweb.mx


Paso 7. Cloudflare confirmará los DNS (nameservrs) que tiene tu dominio y cuáles debe tener. Cópialos y realiza el cambio con el proveedor que te proporciona el registro de tu dominio (GoDaddy, Akky, Neubox, Su empresa, etcétera).



Paso 8. Ya que has hecho todo lo anterior resta probar el https. Si han pasado al menos 24 horas desde que cambiaste los DNS (nameservers) esto ya debe haber replicado y al ingresar a tu navegador tu dominio con https:// antes debería funcionar.

Ejemplo probado en Google Chrome:




NOTA IMPORTANTE.Si tienes un sitio con WordPress, Joomla o cualquier otro gestor de contenidos, es posible que al usar el https se rompa algo de tu sitio. Por ello es importante el probar antes de forzar el https para todo que si funcione bien tu sitio con este.
Para WordPress por ejemplo, existen varios plugins para forzar que el contenido funcione con https y no tengas que hacer mucho más. Verifica cuál te funciona a ti.



Si todo va bien hasta aquí necesitas regresar a cloudflare, a la configuración de este dominio y dar clic en estos elementos:

Crypto:


Luego hacia abajo ve que queden las siguientes opciones así:











¡Y listo!

A disfrutar de un sitio con SSL de Cloudflare.





















Comparte:

"Mi sitio no es seguro" el mensaje de Google Chrome que está alertando a todos.




Recientemente Google y su equipo han decidido que las versiones recientes del navegador web Google Chrome muestren como "no seguros" los sitios que no pueden utilizar el protocolo https en su dirección web (URL).

Esto ocurre porque no hay un certificado de seguridad (SSL) asociado al web hosting de ese dominio. Cuando esto ocurre solo se puede usar el tradicional protocolo http:// y no el que Google quiere imponer como estándar: https://


¿Por qué tener un SSL? y ¿Por qué mi sitio está catalogado como no seguro al no tener un certificado de seguridad?


Lo que ocurre cuando no tienes un certificado de seguridad es que si entras a un sitio http:// y este te pide ingresar un usuario, contraseña u otros datos como pueden ser tarjeta de crédito/débito, datos personales, etcétera; toda esta información que se transmite desde tu equipo hasta el servidor dónde está alojado ese sitio va sin cifrar.

Esto significa que si alguien tiene acceso a ver los datos transferidos en tu red local por ejemplo, podrá decifrar fácilmente la información enviada.

Lo que no quiere decir exactamente que tu sitio no sea seguro, sino que no provee una seguridad para que los datos entre el cliente (tú o cualquier visitante) y el servidor (dónde se aloja el sitio) viajen seguros (encriptados).

Si a través de tu sitio web solicitas datos como usuarios, contraseñas, tarjetas o datos personales es deseable que tu sitio cuente con un certificado de seguridad SSL para poder utilizar el protocolo https.


¿Qué debo hacer?


Ya que Google pretende hacer del https un estándar seguramente va a posicionar mejor a los sitios que tengan un certificado y de hecho es una buena práctica tenerlo así que te sugiero consultar con tu proveedor de web hosting si ellos te pueden brindar alguno ya sea gratuito o de pago y verificar con quien le da mantenimiento a tu sitio web para que una vez que lo tengas actualice todo tu contenido para que todos los enlaces e imágenes vinculadas en tu sitio sean llamadas a través de https, de lo contrario verás algo como esto aunque tengas un certificado:



Recuerda, el contar con un certificado SSL no protege tu sitio, protege a los usuarios de tu sitio para que la información que comparten no sea fácilmente interceptada.

Claro que no sirve de nada un certificado si el usuario del sitio web tiene malware en su equipo o si el malware se encuentra en el lado del servidor con los archivos del sitio web, algo frecuente con Wordpress (y cualquier otro CMS) no actualizado.





Comparte:

Tenía un sitio hecho en WordPress y me lo hackearon

A veces sucede que nos desarrollan o nosotros mismos hacemos un sitio en WordPress y no lo actualizamos. Es más nos acordamos de el solo cuando nos avisa alguien que nos lo han hackeado.


Te preguntarás ¿Y ahora que hago?

Lo primero que debemos pensar es: ¿Tengo algún respaldo?

Por respaldo de un sitio hecho en WordPress entenderemos que al menos se tiene el contenido de la carpeta wp-content y la base de datos (MySQL) de WordPress.

Es muy posible que no tengas ni idea de qué significa esto que te comento. Si es el caso debes saber que si en tu sitio aparece un mensaje que indica que tu sitio ha sido "hackeado", no necesariamente está todo perdido.

Quien realizó tu sitio te puede haber entregado un archivo comprimido con tu respaldo o directamente todos los archivos del mismo.

Si no los tienes, inmediatamente contacta a la empresa con la que alojas tu sitio para pedirles accesos y si está incluido en tu servicio, probablemente ellos tengan un respaldo.

Si no hay respaldo, hay que acceder a donde están los archivos del sitio y posiblemente queden aún los que contienen la información de WordPress. Enfócate en recuperar todo lo de la carpeta wp-content. Todo el resto del contenido puede estar infectado ahora mismo y no nos sirve de mucho.

Lo demás que necesitas es el respaldo de la base de datos. Esta base contiene toda la configuración del sitio y los textos del contenido de tu sitio. Si no recuperases los archivos al menos tendrás eso.

Por favor contacta a tu proveedor de hosting lo más tranquilo posible, en plan amable y entendiendo que en el 99% de los casos ellos no tienen la culpa. Si buscas culpables debes buscar en el espejo. ¿Por qué? Por no actualizar tu sitio y por no tener un respaldo.


Ok, ¿pero en concreto qué hago?


  • Consigue los datos de acceso al servicio de FTP de tu hosting y del panel para obtener el respaldo de la base de datos.
  • Pregunta como obtener el contenido de tu sitio y en especial la carpeta wp-content y de la base de datos. Obtén esa información descargándola a tu computadora. Esto será un respaldo previo a hacer modificaciones por si acaso.
  • Luego consigue una versión actual de WordPress en https://es.wordpress.org/ que es el sitio oficial.
  • Descarga la versión y descomprímela en la computadora. 
  • Ahora si alguien te puede ayudar pide que borre todo lo que haya en la carpeta raíz del sitio excepto wp-content y el archivo wp-config.php
  • Genera un nuevo archivo wp-config.php con el archivo wp-config.php-sample que descargaste al bajar WordPress del sitio web oficial.
  • Elimina wp-config.php del hosting y sustitúyelo por el que has creado. Si lo subes como wp-config.php-sample simplemente renómbralo a wp-config.php
  • Ahora sube todos los archivos de WordPress y si te pide que hacer si sobreescribe o no los archivos existentes di que si.

Ya que esto terminase probablemente hayas recuperado tu sitio. Si no debes entonces buscar por fuerza un respaldo o generar un nuevo sitio a partir del contenido de texto que recuperes de tu base de datos.

Es posible que queden archivos maliciosos por lo que pide a tu hosting si tiene el servicio para escanear si queda algo malicioso en wp-content y demás carpetas o bien usa un servicio de tercero como Sucuri (https://sucuri.net/) para escanear y limpiar todo.


¿Por qué ocurrió esto?


Debemos entender algo: WordPress es una forma de crear y gestionar el contenido de tu sitio. Por lo que requiere de mucho análisis constante para mejorar sus partes y corregir errores.

Vamos a imaginar que hoy existe la versión "X" y pasan dos meses y los "hackers" han analizado de que forma romper la seguridad que tiene y poder manipularlo para inyectarle otra información distinta y así hacerse con el control de cualquier sitio desarrollado en WordPress.

En el mismo tiempo, los programadores pudieron darse cuenta de esta vulnerabilidad que los hackers encontraron y la han corregido publicando una nueva versión, por ejemplo "Y".

¿Qué crees que va a ocurrir si a ti no te interesa tu sitio y no se actualiza de la versión "X" a la versión "Y"? Probablemente ya te hayas dado cuenta que tu sitio será vulnerable y cualquier "hacker" (en este caso cracker) que sepa como romper la versión "X" lo hará.

Entonces debemos entender que la mayor responsabilidad de tener un sitio hecho bajo WordPress (o Joomla, Moodle, Drupal y otros gestores de contenidos) es tenerlo siempre actualizado.

Además debemos saber que WordPress no tiene todas las capacidades necesarias para todos los sitios. Por ejemplo si requieres algo que te genere un formulario de contacto sin saber programar, WordPress no lo incluirá probablemente y necesitarás instalar un agregado o "Plugin" a WordPress para que ahora ya pueda hacer esto.

Bueno, pues esos plugins también necesitan actualizarse porque pasa lo mismo como WordPress, pueden tener vulnerabilidades no conocidas que cuando se vuelven conocidas cualquiera puede romper tu sitio gracias a eso.


Recomendaciones

  • Ten siempre un respaldo de tu sitio hecho en WordPress, incluyendo la base de datos. Si se hace una actualización baja un nuevo respaldo.
  • Guardar de forma segura y a la mano los datos de acceso del servicio de hosting donde esté alojado nuestro sitio.
  • Mantener siempre actualizado WordPress y sus complementos (plugins y temas)
  • No tener instalados en WordPress plugins que no utilicemos

Si te puedes permitir pagar un poco más de lo normal por tu sitio y está hecho en WordPress, busca proveedores que ofrezcan alojamiento específico para este tipo de sitios. Usualmente pueden ofrecer en un paquete tanto los respaldos automáticos como una plataforma más segura por si te has olvidado de algo no sea tan grave si algo pasa ni tampoco tan fácil que ocurra.











Comparte:

¿Cuánto tarda en eliminarse un dominio .mx?

Muchas veces ocurre que queremos un dominio que ya está registrado o que lo hemos perdido y tenemos que esperar a que quede libre.

En el caso de los dominios de México que tienen costo (.com.mx, .net.mx, .org.mx y .mx) tienen ciertos periodos que son definidos por las políticas de NIC México que es la entidad que regula estos dominios en el país.

NIC México hace unos años creó la figura de los "Registrars" que son distribuidores de dominios, teniendo la facultad de registrarlos (crearlos) renovarlos, modificar sus datos de contacto y poder eliminarlos.

Para ello se definen tiempos y condiciones. Si bien algunos tiempos pueden variar otros si son definitivos para todos los Registrars.

Tiempos:


  • Un dominio que termina en .mx puede ser registrado mínimo por un año y máximo por diez.

  • Un dominio que vence será suspendido y en un periodo que va de cinco a 45 días desde el vencimiento será eliminado del registro del Registrar original quedando en un periodo de "Pending delete" o pendiente de borrado. Mientras no esté en ese estatus de pendiente de borrado aún puede ser renovado, claro que el proveedor (Registrar) se reserva el derecho de cobrar algún monto adicional por mora.

  • Un dominio que acaba de ser puesto en "Pending delete" durará allí 30 días. Tras ese tiempo el dominio quedará libre y cualquiera podrá registrarlo de nuevo sin importar quien lo haya tenido antes de ser eliminado. Si quieres recuperar un dominio que está en "Pending delete" puedes hacerlo y eso si, deberás pagar una penalización ya que NIC México le cobra una cantidad al Registrar por recuperarlo y esa cantidad te será como mínimo trasladada a ti e incluso puede ser incrementada.

Me ha tocado ver proveedores como Triara, 1&1 y algunos otros que se rehusan a dar información de cómo recuperar un dominio desde "Pending delete" y en muchas ocasiones aún cuando con conocimientos les argumentas no te quieren ayudar, peor si no sabes nada del tema.



Si quieres consultar los datos de contacto y estatus de un dominio puedes recurrir al Whois de NIC México, cuya liga es: http://whois.mx/

Recuerda ingresar el dominio sin www, ya que esto no es parte del nombre de dominio.



Comparte:

¿Qué es el Whois?

Hay un servicio para consultar los datos de contacto que tiene asignado un dominio, este se llama Whois.




No importando que extensión (.com, .net, .mx, etcétera) tenga un dominio, siempre va a tener contactos asignados ya que estos serán los autorizados para ciertas tareas y que podrán recibir cierta información.

Por lo regular hay cuatro contactos:

Registrante: Es el titular y es el que tiene derecho a hacer con el dominio lo que le venga en gana, transferirlo, cambiar los otros contactos, cambiar los DNS (nombres de servidores) y otras cosas.

Administrativo: Puede ser en algunos casos el mismo que el Registrante y tiene la posibilidad de administrar el dominio, por lo regular solicitar el código de autorización del dominio (que se enviará al correo del Registrante o del mismo administrativo dependiendo el dominio).

De pago: Es al que invariablemente le llegarán los avisos del proveedor para renovar el dominio. Aunque esto no siempre se cumple con los dominios regionales como son los .mx, .es, etcétera.

Técnico: Es el contacto autorizado para realizar cambios como los DNS y cuestiones meramente técnicas.

Ahora bien. La información de los contactos es pública. Esto hace que se tengan problemas de privacidad o que te envíen Spam o incluso correos para estafar como hemos visto en otros temas.

Por ello te sugiero indicar solo los datos que sean relevantes y del correo electrónico, si bien anota uno que no vayas a perder u olvidar como acceder a el, pero que no sea tu correo principal para que no recibas todos los correos molestos todo el tiempo. Eso si, te recomiendo revisarlo de vez en cuando por si hay algo importante respecto a tu dominio.

Ten en cuenta que con tu proveedor seguramente podrás tener un correo para tu cuenta de cliente donde te avisarán lo que debas saber y aparte podrás definir los datos de contacto del dominio.

Es importante mencionar que no hay una base centralizada de Whois con la información de todos los dominios. Son servidores y servicios distintos, además de no conectados entre si. Así que cualquier actualización a los contactos tardará en reflejarse en los distintos servicios de Whois, aveces tardando un par de horas y a veces días.

Un ejemplo de servicios Whois:
http://whois.sc/
http://whois.mx/ (exclusivo para dominios de México que terminan en .mx)


Si quieres que tus datos de contacto sean privados revisa las alternativas con tu proveedor y verifica el costo que regularmente lo tiene.


Comparte:

Registré mi dominio con alguien que no me lo quiere dar.



Es muy común que cuando necesitamos un nombre de dominio recurrimos a un conocido o recomendado que "entiende" de esas cosas ya que nosotros no. Muchas veces es un freelance que simplemente contrata y pone las cosas a su nombre con lo cual tu no tienes ningún derecho ante el proveedor.

Esto es un riesgo muy grande. He visto muchísimas veces infinidad de casos:


  • "No localizo a mi diseñador y el tiene mi dominio".
  • "Me pelee con "x" y no me quiere dar el dominio".
  • "Lo que pasa es que "x" se murió y no sé que hacer para recuperar mi dominio".
  • "Es que lo despedí y ahora me cobra "x cantidad" por devolverme el dominio".

Por esto recomiendo que si tienes actualmente un dominio y el contacto titular del mismo no eres tú, lo arregles cuanto antes.

Para ello es necesario que el dominio esté vigente al menos por 30 días más, sino ve la forma que sea renovado.

Ahora, busca un proveedor con que transferir el dominio. Te recomiendo busques un proveedor serio. Hay uno que pese a promocionar mucho sus otros servicios dentro del sitio y tener un panel con demasiadas opciones que pudieran confundir, te dará la certeza que tu dominio está seguro: GoDaddy.com

Sino busca un proveedor grande, no necesariamente caro. Por ejemplo, en México está Neubox que mantiene una política aceptable y sus precios son decentes, aunque su servicio técnico puede ser lento.

Ya que viste que el dominio esté vigente y a dónde lo vas a transferir (para que el proveedor entienda así se dice, no migrar, no traspasar, no ceder; si Transferir).

Pide a quien administra el dominio que vea con el proveedor que el dominio que de Desbloqueado para transferencias y te brinde el Código de autorización o EPP (Domain Auth Code). Este código es como la llave para autorizar una transferencia del dominio.

¡Ojo! Cada dominio tiene algo que se llaman contactos. Estos contactos tienen un dato importantísimo que es un correo electrónico. El contacto titular o "Registrante" es el único autorizado para hacer que una transferencia se procese.

Para ello al solicitarse la transferencia desde tu nuevo proveedor (pide ayuda al mismo si no sabes cómo), se enviará un correo a la dirección de contacto registrada, esa dirección debe existir para poder hacer la autorización.

Ten en cuenta que para transferir un dominio se debe renovar por otro año, así que el nuevo proveedor te cobrará este concepto y la vigencia se añadirá por un año a partir de la fecha que tenga de vencimiento el dominio.

La transferencia una vez aceptada puede tomar de uno a 10 días naturales dependiendo del proveedor y la extensión del dominio.

La extensión del dominio es la parte final del mismo y separado por un punto del nombre:
.com, .com.mx, .mx, .org, .net, etcétera.

Espero que esta información te sea útil.








Comparte:

Error garrafal: Buscar la URL del correo web (webmail) en Google

Muchas veces no recordamos una dirección por lo que la solución más obvia parece ser siempre Google o algún otro buscador como DuckDuckGo si te gusta la privacidad. Incluso Bing si quieres probar suerte con el buscador de Microsoft.



¿Pero que pasa cuando buscar no es la mejor opción?

Tal vez no lo has pensado, pero buscar la dirección de tu webmail en Google no es la mejor opción. La respuesta es que te vas a encontrar con miles de resultados y no necesariamente con el correcto. En el mejor de los casos habrás accedido a un webmail legítimo de alguien que tiene un dominio distinto al tuyo y solamente no van a servir tus datos de acceso al ingresar allí.

¿Por qué? Porque simplemente estás queriendo acceder a tu correo en un servidor que no es el tuyo y no sabe quién eres.

Y digo en el mejor de los casos, porque también podrías ingresar a un sitio malicioso que imite ser un webmail de algún dominio y al proporcionarle tus datos a ese sitio estarás regalándolos a un atacante que como mínimo borrará tu información, sino es que la usará para fines poco éticos, pudiendo perder datos personales, cuentas de redes sociales y otros sitios, así como DINERO.

Si tienes por ejemplo esa cuenta asociada a PayPal o tienes un mensaje de correo con ciertos datos bancarios que nadie más deba tener (mala idea), puedes acabar perdiendo valiosos recursos económicos, tranquilidad y tiempo al tratar de solucionar esto.

Por eso recuerda guardar siempre la dirección de tu webmail. Puedes guardarla en tu navegador como un marcador más o incluso crear un enlace en tu escritorio. Si no sabes como hacer nada de esto puedes buscar un tutorial sencillo en Youtube para verlo tal cual como se hace.

Sino siempre ten en cuenta que en el 90% de los casos los proveedores de correo te darán una dirección que use tu dominio como webmail.fakemail.com siendo fakemail.com el dominio. Así que solo pon "webmail." antes del dominio y listo... ¡ah! y por favor, no lo intentes jamás con www.

¡El www no debe ir en todo eh! ;-)




Comparte: