WordPress posicionamiento web y optimizacion

WordPress 3.9.2 disponible | WordPress, Google y SEO

Actualización de seguridad, esa gran olvidada

Hoy voy a hablarte de WordPress pero como hilo conductor hacia un tema más importante y universal: la seguridad básica en los sitios web; como digo, con WP como ejemplo típico.

Tópicos en el menú: WP, hackers, Google y Black Hat SEO, dividido en 2 bloques, primero WP y backups y segundo cómo afecta al SEO no mantener alta la guardia.

Tiempo de lectura estimado: las ganas que tengas que se te metan en tu web


La nueva actualización WordPress 3.9.2 está disponible y se recomienda su implementación debido a una potencial vulnerabilidad relacionada con la denegación de servicios en el procesador XML de PHP, hecho descubierto por el equipo de seguridad de Salesforce.com

deberías probar la viabilidad de las copias de seguridad

Recuerda que antes de hacer cambios importantes en tu WordPress, como por ejemplo actualizaciones y de forma recomendable también “de vez en cuando” por lo menos:

  • Copia de los ficheros de instalación (vía FTP), las carpetas de instalación mínimas son las archiconocidas wp-admin, wp-includes y muy especialmente wp-content si no has cambiado tu carpeta de contenido como medida de seguridad antihacker, entonces no olvides copiar la carpeta equivalente y cualquier otra que hayas configurado diferente de la instalación por defecto, como por ejemplo la carpeta de Uploads. No olvides los ficheros básicos de WP que encontrarás al mismo nivel que las mencionadas carpetas, en la raíz de la instalación.
  • Backup de la base de datos MySQL con PHPmyAdmin o mediante un plugin adecuado
  • Exporta tu contenido! Si eres especialmente cuidados@ harás un export a bulto y luego por tipo de contenido

Atención si haces backups de base de datos mediante plugins, deberías probar la viabilidad de las copias de seguridad, que pueden ser completas o incrementales.
Si te fías de un robot puedes acabar como John Connor!

Si tienes pocos medios en general te conviene mantener tu instalación WordPress ligera, por ejemplo elimina los temas que no uses y como mucho deja uno muy ligero (de KB) por si acaso, por ejemplo uno de los temas básicos del propio WordPress que se ajuste mejor a tu web, recomiendo Twenty Fourteen por 2 razones, la primera que está “a tope” en limpieza de código y responsive design y la segunda porque permite mucho más juego que sus dos antecesores, usa un tema profesional para tu web y si eres manitas considera usar un tema hijo para poder actualizar tu plantilla sin riesgo a sobreescribir tus propias adaptaciones.
Al mantener tu instalación ligera de peso en disco los backups completos de ficheros tardarán menos y también ocuparán menos, ya sea en tu PC, servidor o hosting compartido. De esta forma puedes mantener un número razonable de ellos en stock por si detectas tarde algún problema o alguna intrusión en el código, como htaccess o wp-config alterados.

WordPress 3.9.2 y Google, WordPress y SEO

Google conoce bien WordPress 3.9.2, no creas que ahora tengan que entender de repente como funciona todo: básicamente es lo mismo pero con menos agujeros de seguridad, por otra parte de nuevo en esta actualización aparece un miembro del equipo de seguridad de Google:

[...] añade protección contra ataques e fuerza bruta contra tokens CSRF, detectado por David Tomaschik del equipo de seguridad de Google.

No me cabe en la cabeza que Google no tuviera expertos versados en los principales CMS del mundo, en términos de cuota de mercado, para saber por ejemplo cómo manejar su rastreo de forma más eficiente conociendo de antemano qué carpetas no es útil rastrear: fíjate que haciendo una búsqueda a lo bruto en Google en plan “/wp-includes/” aparecen resultados relacionados con desarrollo y tutoriales o Q&A pero nada que se considere contenidos de esa carpeta, en cambio si buscas “/wp-content/” tenemos unos cuantos PDF en el Top10 y se puede ver por la ruta del snippet que son EL contenido de la carpeta…

… El párrafo anterior sería deseable, pero se vé que todavía no han tenido tiempo de pensarlo y en cambio las SERP de Google ofrecen al mundo un sinfín de webs basadas en WordPress et alter que no han protegido mínimamente su instalación y están esperando que les metan mano los Black Hat SEO que hacen link building o redirigen tráfico a base de inyecciones de código:

Video SEO: ejemplo de Black Hat SEO por inyección SQL

Páginas de Universidades Norteamericanas que han sido manipuladas mediante inyecciones de código a través de SQL, muestra los resultados en las SERP de Google buscando señales de Black Hat SEO para conseguir tráfico hacia sitios de venta online de medicamentos como Viagra, en el ejemplo.

Black Hat SEO por inyección SQL


http://alumni.uwest.edu/get/site/wp-content/plugins/contact-form-7/jquery.form.js?ver=2.52

GET /get/site/wp-content/plugins/contact-form-7/jquery.form.js?ver=2.52 HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive
If-Modified-Since: Wed, 23 Apr 2014 10:06:58 GMT
If-None-Match: "13fb25c3db5ecf1:0"

HTTP/1.1 304 Not Modified
Last-Modified: Wed, 23 Apr 2014 10:06:58 GMT
Accept-Ranges: bytes
Etag: "13fb25c3db5ecf1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
----------------------------------------------------------

http://alumni.uwest.edu/get/site/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5

GET /get/site/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5 HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive
If-Modified-Since: Wed, 23 Apr 2014 10:06:58 GMT
If-None-Match: "755d28c3db5ecf1:0"

HTTP/1.1 304 Not Modified
Last-Modified: Wed, 23 Apr 2014 10:06:58 GMT
Accept-Ranges: bytes
Etag: "755d28c3db5ecf1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
----------------------------------------------------------

http://alumni.uwest.edu/get/mpeg.php?q=ez+online+pharmacy+buy+viagra+usa

GET /get/mpeg.php?q=ez+online+pharmacy+buy+viagra+usa HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive

HTTP/1.1 200 OK
Content-Type: text/html
Server: Microsoft-IIS/7.5
X-Powered-By: PHP/5.3.3, ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
Content-Length: 268

Aprovecha tu actualización a WordPress 3.9.2 para hacer un backup completo
WordPress 3.9.2 puede ser una oportunidad para asegurar tu SEO contra el Black Hat SEO por Ricard Menor, esta página trata sobre seguridad en WordPress 3.9.2, precauciones básicas de continuidad de tu web y cómo manipulan tu web los Black Hat SEO

Perfiles fraudulentos Linkedin

Contactos LinkedIn fraudulentos

Una vez más recibo una petición de contacto LinkedIn y la ignoro, con la salvedad de que en esta ocasión lo comparto en público para avisar a quién interese.

[...] cuando te llegue la petición de contacto tómate tu tiempo [...]

Los perfiles y contactos LinkedIn fraudulentos no son ningún misterio al igual que no lo son en el resto de Redes Sociales o Profesionales (me gusta hacer esta distinción entre Social y Profesional, ayuda a mantener el foco). De hecho una forma de hacerse experto en LinkedIn consiste en hacer pruebas con los perfiles, publicaciones y conectores; claro, uno no quiere hacer eso con su perfil personal o su página de empresa y hay que crear un alter-ego que haga el trabajo sucio.

En LinkedIn hay que ser especialmente crítico con tus conexiones (valiosos contactos) y existen incontables usuarios que actúan como auténticos parásitos intentando llegar a los usuarios-nodo, es decir que dispongan de una amplia cartera de contactos para poder spammear a todos sin contemplaciones.

Ejemplo de contacto LinkedIn fraudulento

Aquí tenemos un caso de burda ingeniería social enfocada a sujetos masculinos, cual crisálida un tal Jerry Scott se transforma en una “saludable” señorita:

contactos fraudulentos en LinkedIn

Contacto fraudulento en LinkedIn

La simple lectura de la biografía del perfil me indica de buenas a primeras que se trata de uno de esos milagrosos desarrolladores que pueden con todo en cortos plazos de tiempo, con un inglés bastante correcto y tópicamente indio (quede claro que idiomáticamente eso ya lo deja por encima de much@s de mis conciudadan@s).
Así pués me pica la curiosidad ¿se puede ser tan burdo?

Me remito a mi viejo e infravalorado amigo Tineye para ver si mis sospechas son ciertas. ¿Sorpresa? Para nada :)

Linkedin: foto falsa en perfil fraudulento

Linkedin: foto falsa en perfil fraudulento

Ya puestos déjame recomendarte una vuelta por Tineye ya que entre otras cosas puedes ver si te están plagiando tus imágenes o si se usan para derivados evidentes, esto es algo que Google Images no siempre ha sabido hacer.

Este caso es muy evidente pero lo que debe quedar claro tras la lectura es que mañana puede que en vez de una persona que te resulte inócua, a medio mundo de distancia, quién llame a tu puerta sea un competidor encubierto o a cara descubierta, recuerda que toda la información está ahí fuera: si saben de tu perfil LinkedIn y te invitan a conectar es que tienen el suyo propio, además a menos que “te lo curres” en LinkedIn es probable que sean otros tus perfiles sociales que aparezcan en las SERP de Google y posiblemente lleguen a ti a partir de esos otros perfiles… Lo cuál indica de nuevo que tus “amigos” dejan rastros visibles porque seguramente tienen perfil en esas otras redes.

NADIE debería urgirte jamás a aceptar un contacto, es decir que cuando te llegue la petición de contacto tómate tu tiempo: normalmente basta con [Ver perfil] pero en ocasiones vale la pena pararse a olisquear no vaya a ser que haya un depredador en los alrededores: ten en cuenta que le estás dando acceso a todos tus contactos, que te habrá costado años y esfuerzo conseguir. Puedes prevenir este quebradero de cabeza si configuras tu cuenta de modo que solamente tú puedas ver tus contactos, con la excepción de aquellos que compartas con quien te pide contacto o los que hayan validado alguna de tus aptitudes.

Contactos LinkedIn: pregúntate qué puedes aportar a quien de invita... ¿Tiene sentido?
Atención a los contactos LinkedIn fraudulentos por SEO Freelance en LinkedIn, esta página trata sobre precauciones que debes tomar con los contactos Linkedin

WordPress posicionamiento web y optimizacion

WordPress 3.9 Beta 3

La tercera (y tal vez última) beta de WordPress 3.9 ya está disponible para su descarga

Traducción y adaptación al español del original publicado el 29 de marzo 2014
(Andrew Nacin en WordPress.org)

La tercera (y tal vez última) beta de WordPress 3.9 ya está disponible para su descarga.
Esta Beta 3 incluye más de 200 cambios, entre ellos:

  • Nuevas características como las vistas previas de widgets en vivo y el nuevo instalador de temas, afinadas para el estreno, échales un vistazo.
  • Mejoras de interfaz de usuario al editar imágenes, y en la gestión de medios en el editor. También hemos traído de vuelta algunos de los ajustes de visualización avanzadas para imágenes
  • Si quieres probar las listas de reproducción de audio y vídeo, aparecerán los enlaces en el gestor de medios una vez que hayas subido un archivo de audio o video
  • Para los desarrolladores de temas, hemos añadido soporte HTML5 para los pies de imagen (Nota de traducción: originalmente caption) (# 26642) para que coincida con el nuevo soporte de galería (# 26697)
  • La función de formato que convierte comillas rectas en comillas tipográficas (entre otras cosas) sufrió algunos cambios para acelerar mucho su trabajo, por eso avisa si ves algo raro…

Necesitamos tu ayuda. Todavía confiamos estar listos para el lanzamiento de la versión estable de WordPress 3.9 en abril, lo que significa que la próxima semana será fundamental para identificar y aplastar bugs (Nota de traducción: los bugs o defectos de programación se traducen literalmente como “bichos o “insectos”, de ahí el juego de palabras con “aplastar”). Si acabas de unirte a nosotros, por favor ojea el mensaje de anuncio de la Beta 1 para saber hacia donde mirar en busca de errores.

Si piensas que has encontrado un error, se puede publicar en la zona alfa / beta en los foros de soporte, donde los amistosos moderadores están a la espera. Desarrolladores de plugins, si no habéis probado WordPress 3.9 aún, ahora es el momento – y asegúrate de actualizar el “probado hasta” la versión de los plugins por lo que queden listados como compatibles con WordpRess 3.9

Este software se encuentra aún en desarrollo, por lo que no recomendamos que se ejecute en un entorno de producción. Considerad la creación de un sitio de prueba sólo para jugar con la nueva versión. Para probar WordPress 3.9, prueba el plugin WordPress Beta Tester (no te pierdas los bleeding edge nightlies). También puedes descargar la versión beta aquí (zip).

Vamos a hacerlo ya oficial! La fecha de lanzamiento de WordPress 3.9 será el 16 de Abril

Como siempre, puedes solicitar tu consultoría SEO WordPress sin compromiso

La versión Beta 3 de WordPress 3.9 trae consigo más de 200 cambios
WordPress 3.9 se acerca, la fecha oficial es el 16 de Abril de 2014 por Ricard Menor, consultor SEO especialista en WordPress, esta página trata sobre el lanzamiento de la Beta 3 de WordPress 3.9