HTTP/2 – Hypertext Transfer Protocol 2

La puesta en marcha del nuevo estándar HTTP/2 está muy próxima

Hypertext Transfer Protocol 2 ya tiene forma definitiva y su irrupción en escena solamente depende de la adopción por parte de los navegadores, se especula que en cuestión de semanas.

El grupo de trabajo de Mozilla Firefox anunció en su Wiki que el soporte para HTTP/2 ya fue adoptado a partir de Firefox v34

HTTP/2 es un desarrollo sobre el protocolo SPDY de Google, con el que se pretendía subsanar algunas limitaciones importantes de los anteriores HTTP/1.0 y HTTP/1.1 como podrían ser la secuencia en serie de peticiones HTTP y carga de medios o la vulnerabilidad del tráfico HTTP comprimido con el ya conocido Gzip ante el método CRIME.

HTTP/2 usa el nuevo formato de compresión HPACK que evita la posibilidad de intrusión en el flujo de datos.

Lee el artículo siguiente (inglés) donde se ofrece más detalle sobre este importante cambio en la escena WWW:

http://arstechnica.com/information-technology/2015/02/http2-finished-coming-to-browsers-within-weeks/

Hypertext Transfer Protocol 2
Hypertext Transfer Protocol 2 por Ricard Menor, esta página trata sobre la llegada del nuevo protocolo HTTP/2

filtrar trafico spam

Eliminar tráfico spam de afiliados en Google Analytics

¿Tráfico extraño en Analytics? Sigue leyendo…

Desde hace un tiempo puede que hayas notado picos aleatorios de tráfico en tus gráficas de Google Analytics. Bueno, en la mayoría de culturas eso serían buenas noticias pero lamentablemente hay que desconfiar un poco de todo, más cuanto más fácil y aparentemente aleatorio sea el hecho registrado.

En el caso que explico hablaremos específicamente del tráfico spam de afiliados, con el ejemplo concreto de semalt.com pero aplicable a otros muchos que seguramente irán aumentando con el tiempo, por citar unos pocos tenemos:

  • lumb.co/co.lumb
  • darodar.com
  • econom.co

¿Cómo detectar este tráfico spam? spam afiliados google analytics

Inicia sesión en Google Analytics y elige la cuenta y propiedad que quieras inspeccionar.
Después busca “Todo el Tráfico” en la sección de “Adquisición” (ver ilustración a la derecha). Según cada caso puedes encontrar las fuentes de tráfico spam enseguida o bien entremezcladas entre las principales fuentes de tráfico. En el caso que utilizo como ejemplo hay muy poco tráfico y las fuentes de spam saltan a la vista inmediatamente:

tráfico spam de afiliados en google analytics

El tráfico spam de afiliados en Google Analytics tiene una característica típica de visitas de robots, mira los valores recuadrados de tasa de rebote, páginas/sesión y tiempo medio.

El comportamiento de estos spammers puede contaminar gravemente tu analítica web.

Existe una forma sencilla de remediar este tráfico y el perjuicio que trae a la fiabilidad de tus datos, esta radica en filtrar estas visitas mediante un añadido en el fichero htacess de la web que quieras proteger.

Si estás familiarizado con el htaccess puedes saltarte la siguiente sección y pasar a la información que debes insertar en el fichero.

Fichero htaccess

El fichero htaccess contiene reglas que el servidor web seguirá, suele utilizarse para redirigir URLs o para sobreescribirlas en forma amigable para SEO, usabilidad, etc. Podrás acceder a él mediante cualquier cliente de FTP (Filezilla y otros) y las credenciales adecuadas o bien habitualmente podrás acceder a él mediante un gestor de ficheros remoto que con toda probabilidad encontrarás en el panel de control de tu proveedor de hosting.

Si este fichero no existiera puedes crearlo en tu propio ordenador con el bloc de notas u otra herramienta de texto plano como Ultraedit o Notepad++ y tras editarlo con la información de la sección siguiente (“Filtrar spam con Htaccess”) puedes subirlo a la raíz del sitio web y cambiar su nombre y permisos, el nombre debe ser literalmente .htaccess y los permisos deben ser restrictivos, por lo menos 644. El punto delante del nombre del fichero hará que este fichero sea “invisible” una vez subido al servidor web, a menos que configures tu cliente FTP para mostrar dichos ficheros ocultos.

Configurar Filezilla: mostrar htaccess y otros ficheros ocultos

Configurar Filezilla: mostrar htaccess y otros ficheros ocultos

Para asignar permisos restrictivos (por seguridad) al fichero htaccess debes hacer lo siguiente: botón derecho sobre el htaccess remoto y…

asignar permisos ftp htaccess 644 en Filezilla     permisos ftp htaccess restrictivos en Filezilla

Filtrar spam con Htaccess

Ahora estos son los datos que debes añadir a tu htaccess para filtrar el tráfico que provocan estos robots spammers. Se recomienda esta acción debido a que estos spammers ignoran las reglas de robots.txt y su política de bajas (opt-out) es de todo menos fiable.

Puedes reaprovechar la primera línea para añadir Referers que pretendas quitar de en medio:

SetEnvIfNoCase Referer semalt.com spambot=yes
Order allow,deny
Allow from all
Deny from env=spambot

Filtrar tráfico spam directamente desde Google Analytics

Existe una alternativa más sencilla aún pero que necesita de la colaboración de los gestores de los spambots, cosa con la que no se puede contar. Google utiliza los servicios de inventario y listado de bots de la empresa IAB para mover el mecanismo que se esconde tras la casilla de filtrado automático de spiders o bots conocidos. Si no conocías la existencia de este mecanismo de autofiltrado puedes encontrarlo de esta forma:

  • Inicia sesión en Google Analytics
  • Vé a la sección de Administrador (si tienes el nivel de acceso adecuado)
  • Escoge la Cuenta y Propiedad sobre la que vas a añadir este autofiltrado
  • Escoge la Vista sobre las que aplicar el filtrado automático de spiders conocidos
  • Abre la [Configuración] de dicha Vista y busca el campo adecuado hacia el final de las opciones de configuración
Google Analytics  configurar autofiltrado spiders

Configurar tus Propiedades en Google Analytics para autofiltrar robots spiders.

google analytics configurar autofiltrado spiders

Activar autofiltrado de robots conocidos en Google Analytics.

Actualización del artículoActualización sobre los 2 métodos de filtrado

Tras unos días de observación  en la analítica he podido constatar un hecho a priori sorpresivo, parece ser que ambas soluciones tienen sus puntos fuertes pero atención:

Aplicar ambas soluciones a la vez parece invalidarlas y permite el paso de tráfico fantasma a Google Analytics

Aquí muestro los datos empíricos recogidos en 2 vistas gemelas de una de mis webs laboratorio, podréis comparar y ver que a mismo rango de fechas y viendo específicamente el tráfico de Referencia, la versión “sólo htaccess” cumple con su misión de filtrar a los spiders semalt, webbuttons, darodar, iloveitaly y otros:

Test filtrado trafico fantasma semalt - Recogiendo tráfico spam

Test filtrado trafico fantasma semalt – Recogiendo tráfico spam

Test filtrado trafico fantasma semalt

Test filtrado trafico fantasma semalt – No se observa tráfico spam

 

 

No permitas que el tráfico spam contamine tu analítica
Filtrar tráfico spam por Ricard Menor, esta página trata sobre el uso del fichero htaccess para evitar tráfico spam en Google Analytics

WordPress posicionamiento web y optimizacion

Hacking SEO | WordPress, Google y SEO

Actualización de seguridad, esa gran olvidada

Hoy voy a hablarte de WordPress pero como hilo conductor hacia un tema más importante y universal: la seguridad básica en los sitios web; como digo, con WP como ejemplo típico.

Tópicos en el menú: WP, hacking SEO, Google y Black Hat SEO, dividido en 2 bloques, primero WP y backups y segundo cómo afecta al SEO no mantener alta la guardia, es decir cuanto llega a doler una intrusión de hacking SEO.

Tiempo de lectura estimado: las ganas que tengas que se te metan en tu web


La nueva actualización WordPress 3.9.2 está disponible y se recomienda su implementación debido a una potencial vulnerabilidad relacionada con la denegación de servicios en el procesador XML de PHP, hecho descubierto por el equipo de seguridad de Salesforce.com

deberías probar la viabilidad de las copias de seguridad

Recuerda que antes de hacer cambios importantes en tu WordPress, como por ejemplo actualizaciones y de forma recomendable también “de vez en cuando” por lo menos:

  • Copia de los ficheros de instalación (vía FTP), las carpetas de instalación mínimas son las archiconocidas wp-admin, wp-includes y muy especialmente wp-content si no has cambiado tu carpeta de contenido como medida de seguridad antihacker, entonces no olvides copiar la carpeta equivalente y cualquier otra que hayas configurado diferente de la instalación por defecto, como por ejemplo la carpeta de Uploads. No olvides los ficheros básicos de WP que encontrarás al mismo nivel que las mencionadas carpetas, en la raíz de la instalación.
  • Backup de la base de datos MySQL con PHPmyAdmin o mediante un plugin adecuado
  • Exporta tu contenido! Si eres especialmente cuidados@ harás un export a bulto y luego por tipo de contenido

Atención si haces backups de base de datos mediante plugins, deberías probar la viabilidad de las copias de seguridad, que pueden ser completas o incrementales.
Si te fías de un robot puedes acabar como John Connor!

Si tienes pocos medios en general te conviene mantener tu instalación WordPress ligera, por ejemplo elimina los temas que no uses y como mucho deja uno muy ligero (de KB) por si acaso, por ejemplo uno de los temas básicos del propio WordPress que se ajuste mejor a tu web, recomiendo Twenty Fourteen por 2 razones, la primera que está “a tope” en limpieza de código y responsive design y la segunda porque permite mucho más juego que sus dos antecesores, usa un tema profesional para tu web y si eres manitas considera usar un tema hijo para poder actualizar tu plantilla sin riesgo a sobreescribir tus propias adaptaciones.
Al mantener tu instalación ligera de peso en disco los backups completos de ficheros tardarán menos y también ocuparán menos, ya sea en tu PC, servidor o hosting compartido. De esta forma puedes mantener un número razonable de ellos en stock por si detectas tarde algún problema o alguna intrusión en el código, como htaccess o wp-config alterados.

WordPress 3.9.2 y Google, WordPress y SEO

Google conoce bien WordPress 3.9.2, no creas que ahora tengan que entender de repente como funciona todo: básicamente es lo mismo pero con menos agujeros de seguridad, por otra parte de nuevo en esta actualización aparece un miembro del equipo de seguridad de Google:

[…] añade protección contra ataques e fuerza bruta contra tokens CSRF, detectado por David Tomaschik del equipo de seguridad de Google.

No me cabe en la cabeza que Google no tuviera expertos versados en los principales CMS del mundo, en términos de cuota de mercado, para saber por ejemplo cómo manejar su rastreo de forma más eficiente conociendo de antemano qué carpetas no es útil rastrear: fíjate que haciendo una búsqueda a lo bruto en Google en plan “/wp-includes/” aparecen resultados relacionados con desarrollo y tutoriales o Q&A pero nada que se considere contenidos de esa carpeta, en cambio si buscas “/wp-content/” tenemos unos cuantos PDF en el Top10 y se puede ver por la ruta del snippet que son EL contenido de la carpeta…

… El párrafo anterior sería deseable, pero se vé que todavía no han tenido tiempo de pensarlo y en cambio las SERP de Google ofrecen al mundo un sinfín de webs basadas en WordPress et alter que no han protegido mínimamente su instalación y están esperando que les metan mano los Black Hat SEO que hacen link building o redirigen tráfico a base de inyecciones de código:

Video SEO: ejemplo de Hacking SEO por inyección SQL

Páginas de Universidades Norteamericanas que han sido manipuladas mediante inyecciones de código a través de SQL, muestra los resultados en las SERP de Google buscando señales de Black Hat SEO para conseguir tráfico hacia sitios de venta online de medicamentos como Viagra, en el ejemplo.

Black Hat SEO por inyección SQL

http://alumni.uwest.edu/get/site/wp-content/plugins/contact-form-7/jquery.form.js?ver=2.52

GET /get/site/wp-content/plugins/contact-form-7/jquery.form.js?ver=2.52 HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive
If-Modified-Since: Wed, 23 Apr 2014 10:06:58 GMT
If-None-Match: "13fb25c3db5ecf1:0"

HTTP/1.1 304 Not Modified
Last-Modified: Wed, 23 Apr 2014 10:06:58 GMT
Accept-Ranges: bytes
Etag: "13fb25c3db5ecf1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
----------------------------------------------------------

http://alumni.uwest.edu/get/site/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5

GET /get/site/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5 HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive
If-Modified-Since: Wed, 23 Apr 2014 10:06:58 GMT
If-None-Match: "755d28c3db5ecf1:0"

HTTP/1.1 304 Not Modified
Last-Modified: Wed, 23 Apr 2014 10:06:58 GMT
Accept-Ranges: bytes
Etag: "755d28c3db5ecf1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
----------------------------------------------------------

http://alumni.uwest.edu/get/mpeg.php?q=ez+online+pharmacy+buy+viagra+usa

GET /get/mpeg.php?q=ez+online+pharmacy+buy+viagra+usa HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive

HTTP/1.1 200 OK
Content-Type: text/html
Server: Microsoft-IIS/7.5
X-Powered-By: PHP/5.3.3, ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
Content-Length: 268

Aprovecha tu actualización a WordPress 3.9.2 para hacer un backup completo
WordPress 3.9.2 puede ser una oportunidad para asegurar tu SEO contra el Hacking SEO por Ricard Menor, esta página trata sobre seguridad en WordPress 3.9.2, precauciones básicas de continuidad de tu web y cómo manipulan tu web los auténticos Black Hat SEO