Lo primero. Hay que comprar el certificado SSL. Yo he seleccionado el certificado SSL de NameCheap (muy barato) de la compañia COMODO “PossitiveSSL”.

Nos damos de alta en NameCheap y compramos el certificado. Para configurarlo hay que ir a SSL Certificates > Your SSL Certificates y hacemos click en “Activate Now”. Obtendremos una pantalla como esta.

Llegados a este punto nos piden que especifiquemos el tipo de servidor: Cpanel

Y que introduzcamos el CSR. Para hacer esto, tenemos que ir a nuestro panel WHM (si lo tenemos, si no, hay que contactar con el proveedor de hosting y hacer que nos genere el código) e ir a Main > SSL/TLS > Generate a SSL Certificate and Signing Request

Introducimos todos los datos. OJO! Hay que introducir el mismo host (dominio) para el que hemos solicitado el certificado SSL. La Key Size mínimo en 2048 bits. ¡Apuntaos el password y poned bien vuestro e-mail!. Una vez que pinchamos en “Create” generaremos un certificado SSL “autofirmado” como el que usamos para acceder a WHM o Cpanel de manera segura (siempre nos sale una advertencia del navegador diciendonos que es un certificado no valido, pero funciona igual de bien… Lo que vamos a conseguir comprando el certificado en NameCheap es eliminar este aviso ya que hay detrás una compañía que nos certifica).

En ese e-mail generado por WHM vamos a recibir el Certificate Signing Request (.csr), Certificate (.crt) y la Private Key (.key). Nosotros lo que necesitamos ahora es el CSR. Lo copiamos y lo pegamos en la pantalla “Enter CSR” en NameCheap y le damos a NEXT.

En la siguiente pantalla tendremos que hacer click en uno de los mails que nos indican (hacemos click en el nuestro, el que hemos dado al darnos de alta en NameCheap), y le damos a NEXT para aprobar el certificado vía e-mail.

En la siguiente pantalla nos pedirán los datos de contacto. Podemos elegir los mismos que hemos utilizado al darnos de alta en su servicio. Damos a SUBMIT ORDER y nos aparecera una pantalla como esta:

Donde nos dicen que recibiremos un correo (de COMODO) donde nos daran instrucciones para aprobar y generar el certificado SSL. En su página web podéis ver un video del proceso hasta este punto. En eses correo recibirimos algo como esto:

Domain Control Validation for tudominio.com

Dear,

We have received a request to issue an SSL certificate for tudominio.com.

*** Please ignore this email if neither you nor a trusted colleague made this request for a certificate ***

Otherwise, please browse here and enter the following “validation code”:

“código a introducir en la web que te indican”

Kind Regards,

Comodo Security Services

Pinchamos en “here” y en la siguiente pantalla introducimos el código que nos han remitido en el e-mail.

En pocos minutos volveremos a recibir un e-mail con los datos de nuestro certificado SSL PositiveSSL comprimidos en un archivo .zip con dos archivos:

1. PositiveSSL Certificate – tudominio.crt
2. Apache “bundle” file – tudominio.ca-bundle

Nos descargamos estos archivos a nuestro ordenador y volvemos a WHM/Cpanel:  Main > SSL/TLS > Install a SSL Certificate and Setup the Domain

En esta pantalla hay que tener cuidado.

Paso 1: En el primer cuadro, hay que pegar el certificado desde el archivo zip que has recibido de COMODO PositiveSSL (tudominio.crt). Lo abrimos con un editor de textos y copiamos el contenido teniendo cuidado de que no haya espacios antes y después de todo el código.

Paso 2: Completamos la información de dirección requerida de nombre dominio (tudominio.com) / usuario (usuario cpanel del dominio) / IP (OJO! La IP tiene que ser especifica para este dominio. Si no tienes una hay que comprarla). También podemos hacer click en Browse y nos aparecerán los datos de certificado SSL autofirmado que hemos generado antes (eligiendo el dominio que vamos a usar). Si hacemos esto hay que tener cuidado, ya que completara todos los cuadros con los datos de ese certificado, no con los del que hemos comprado. El único dato que nos valdría sería el del siguiente cuadro.

Paso 3: En el cuadro central, tienes que pegar la clave RSA privada “Private Key” (.key) que hemos generado inicialmente con WHM y que hemos usado para obtener el certificado (en el primer paso en NameCheap ya habíamos utilizado la CSR de este certificado autogenerado). Si hemos dado a Browse en el paso anterior, este campo ya estará completo.

Paso 4: En el último cuadro hay que pegar el archivo tudominio.ca-bundle que hemos recibido de COMODO. Pegamos todo lo que encontremos en este archivo, aunque parezca que hay varios apartados.

¡Y ya esta! Pinchamos en “Submit” y WHM nos generara (sino hay ningún problema. A mí no me lo genero porque la IP no era única para el dominio que estaba utilizando, por lo que tuve que asignarle una nueva IP) el certificado SSL en nuestro servidor de manera automática, con lo que podremos tener conexiones seguras https en nuestro dominio.

En la página web de COMODO tenéis un tutorial en el que nos muestra estos últimos pasos.

Hay dos magnificas opciones para obtener tu certificado SSL gratis o realmente barato: StartSSL y Namecheap

1.- Certificados SSL gratis en StartSSL

Sí… Totalmente gratis… ¿Cual es el truco? Que no los podemos emplear para actividades comerciales, por lo menos el de Clase 1, que es el gratuito.

2.-Certificados SSL muy baratos en Namecheap

Namecheap es una empresa que se dedica principalmente a la gestión de dominios, pero también nos ofrece certificados SSL muy, muy baratos desde 7,95$ al año. nos ofrecen distintos proveedores de certificados: Comodo, GeoTrust, VeriSign, Twate… En función de la compañía, serán más o menos baratos, pero el inicial de Comodo puede servirnos perfectamente.

Domain Validated: OK; Free Site Seal: OK; Issued in minutes; $10,000 Warranty; Unlimited Reissues: OK; 128/256 bit encryption desde 7,95$ al año

¿Que podemos hacer para solucionar este error?

Probablemente algún dominio o subdominio que tengas alojado en tu servidor tiene alguna regla de redirección configurada erróneamente. Para resolver esto de manera permanente hay que añadir las siguientes lineas al archivo “.htaccess” de esos dominios:

RewriteCond %{ENV:REDIRECT_STATUS} 100
RewriteRule .* – [L]

Pero… ¿Y si tengo muchos dominios alojados en el servidor? ¿Cual esta provocando el problema? Podemos ir a /usr/local/apache/domlogs y allí buscar la IP que ha tenido el error (La IP la encontraras en error_log) con el siguiente comando:

grep -irl sustituir.por.la.ip.que.provoca.el.error *

Y nos dirá los dominios que provocan el error. Ahora solo tenemos que añadir las lineas que antes he comentado al .htaccess y el problema desaparecerá del archivo de errores de apache.

Y cada vez se esta volviendo más importante asegurar PHP a traves de su archivo de configuración PHP.ini

Lo primero que tendríamos que hacer es encontrar el archivo PHP.ini. Si tenemos acceso ssh a nuestro servidor, podemos ejecutar el siguiente comando en la shell:

# php -i |grep php.ini

En cpanel tambien podeis ver su configuración y probablemente editar algunas de sus funciones. Sino encontrais el archivo, lo más sencillo es ponerse en contacto con el soporte de la empresa de hosting y que os generen uno para vuestro dominio.

Una vez que lo encontramos, procedemos a editar algunas opciones:

safe_mode (ON)

Poner PHP “Safe mode”  en ON es una de las maneras más sencilla de asegurar nuestra instalación y de limitar las funciones que utiliza PHP. En algunos casos puede resultar un poco restrictiva y provocar que determinadas aplicaciones no funcionen, pero siempre es recomendable poner esta orden en On en los Servidores Compartidos, por lo que probablemente, si estamos en un shared server, vuestro proveedor ya lo haya hecho por vosotros.

Si ponemos safe_mode en modo “on” parara la ejecución de funciones exec y otras del estilo que normalmente pueden provocar un fallo en la seguridad del servidor.

Deshabilitar determinadas funciones PHP

PHP puede provocar un hackeo del servidor a través de determinadas funciones que deberíamos deshabilitar para mejorar la seguridad:

Dentro de php.ini hay que buscar la linea donde tengamos:

disable_functions =

Y añadimos lo siguiente:

disable_functions = dl,system,exec,passthru,shell_exec

Register Globals (OFF)

Mediante register_globals pueden introducir en nuestro entorno muchas variables no deseadas, por lo que siempre es recomendable desactivar esta función. Muchos programas como moodle, te solicitan que así lo hagas durante la instalación.

Buscamos en PHP.ini

register_globals = On

y lo cambiamos por:

register_globals = Off

display_errors (OFF)

Con esto conseguiremos que no se muestren todos los errores de la aplicación que pueden proporcionar detalles sobre las rutas a los programas o sobre las consultas MySQL

allow_url_fopen y allow_url_include (OFF)

allow_url_fopen en OFF impide que algunas funciones PHP como include, require, y file_get_contents(), pidan datos externos.

allow_url_include en OFF impide el acceso remoto via include y require.

magic_quotes_gpc (OFF)

Lo mejor, para tener un “ambiente” seguro es ponerlo en OFF. En este articulo teneis algunas de las ventajas y desventajas de hacerlo o no What is Magic Quotes GPC (magic_quotes_gpc) in PHP and the php.ini?

open_basedir

Esta directiva tiene que estar configura a un determinado directorio para que PHP solo pueda acceder a él

Correr PHP a traves de PHPsuexec

El gran problema de PHP es que en servidores con cPanel, PHP corre mediante el usuario “nobody”. Cuando alguien pone un script con acceso 777, un usuario “nobody” puede escribir en el archivo. Y esto puede ser peligro en un Servidor Compartido (Shared Server) ya que lo que sucede en unas cuentas puede afectar a las demás. En otras palabras: no es necesario que tu cuenta este comprometida. Si lo esta la del vecino, la tuya también.

PHPsuexec hace que los permisos 777 no estén permitidos. ¿Inconveniente? PHP se vuelve más lento, pero es más seguro. Además, como cada proceso esta asociado a un usuario en concreto, es más sencillo seguir la pista a los errores.

Para que PHP funcione de este modo, hay que recompilar PHP con suexec. Si tienes Cpanel/WHM lo tienes que hacer mediante Easyapache. Si estas en un servidor Compartido, probablemente ya este activada la opción (No vas a poder recompilar PHP por tu cuenta).

¿Usas como CMS WordPress?

Sí es así, hay un excelente plugin que nos va a ayudar a comprobar la seguridad de nuestra instalación: TPC! Memory Usage

Vía Web Host Gear

Preludio: Experiencia en Godaddy (Shared Server). De 2007 a 2010.

Como mucha gente, empece alojando mis webs en un servidor compartido. Mi primer error fue alojar mis dominios en el mismo sitio donde los había comprado: Godaddy. Godaddy es una compañia excelente en cuanto al manejo de dominios, no recomendaría otra (buenos precios, buen panel de gestión, puedes hacer todo de manera muy sencilla). Un 10 para ellos en este aspecto.

Pero el alojamiento en Godaddy (Shared Hosting), no me fue muy bien. Páginas lentas, no tenían opción de gestionar el host con cpanel, algún que otro problema de seguridad… En fin, no se las experiencias de los demás, pero en mi caso (puede que tuviera mala suerte), después de aguantar casi 3 años, decidí moverme a otra compañía de alojamiento web: Hostgator.

Experiencia en Hostgator – Parte I: (Shared Server). De 2010 a 2012.

No puedo tener más que buenas palabras para el servicio que ofrece Hostgator en sus servidores compartidos:

• Excelente uptime
• Excelente servicio de atención al cliente mediante chat, tickets y telefono
• Precios muy competitivos
• Uso de cpanel para controlar tu cuenta
• Excelente seguridad en el servidor
• No venden por encima de sus capacidades el alojamiento del servidor

Lo dicho. Si quieres alojar tus web en un buen hosting compartido, no lo dudes, Hostgator es tu opción.

Experiencia en Hostgator – Parte II: (VPS). Dos meses en 2012.

Finalmente decidí moverme de un Servidor compartido a uno Virtual Dedicado (VPS) y como había tenido buena experiencia en Hostgator, decidi seguir con ellos.

Solicite la transferencia de todos mis dominios al nuevo servidor (VPS Level 3 (CPU – 1.13 GHZ; RAM: 768 MB; Disk Space: 30 GB; Bandwidth: 500 GB; cpanel/WHM + VZ por 49,95$/mes, configurado y controlado por sus técnicos), y como siempre, lo hicieron muy bien y rápidamente. En apenas unos días me había cambiado de servidor.

Y empezaron los problemas. Aquí quiero decir, que puede ser que lo que me ha pasado a mí sea un problema puntual, habrá gente que le vaya bien con ellos en sus VPS, pero la sensación que me he llevado es que hay mejores opciones en cuanto a elección de VPS.

Primer problema: Uptime pésimo. 98% en estos dos meses (controlado por pingdom.com), el servidor estuvo caído, mínimo, más de 15 horas. El soporte , en un primer momento no sabían decirme que sucedía. Pensaba que era un problema de mi VPS, no del servidor al completo (empece a ver picos de RAM en las estadísticas de Virtuozzo). Finalmente logre enterarme que había problemas en el servidor (no solo en mi contenedor VZ) debido a otro cliente (por lo menos no era culpa mía) y que lo resolverían. La verdad es que tardaron casi 20 días en solucionarlo. Espere pacientemente. Además me comentaron que los problemas de picos de RAM en mi VPs se debían a esta situación. Una vez solucionado el problema, me di cuenta de que mi contenedor seguía alcanzando picos de RAM en determinados momentos. Pregunte porque, si seguía habiendo problemas en el servidor. La contestación fue que era problema de mis scripts (WordPress) y que, o los optimizaba o tenía que contratar un plan de alojamiento superior ¿? Sinceramente no creo que fuera mi problema… ¿en un primer momento era problema provocado por otro cliente en el servidor y ahora era mio?

Segundo problema (inconveniente): En Hostgator, si quieres que te instalen, por ejemplo “Memcache” en tu servidor… ¡Te cobran!. Sí, te cobran… 25$… Me sorprendio mucho… Y así unas cuantas cosas más…

De cualquier manera, el servicio de atención al cliente de Hostgator fue en todo momento rápido y eficiente, eso sí, mejor poner tickets que empezar un chat, ya que el nivel técnico es superior “en la zona tickets”.

Conclusión: Me lance a cambiar de hosting de nuevo. Realice una busqueda concienzuda en Google, y encontre muy buenos comentarios de dos compañias en el foro Web hosting Talk: Future Hosting y Knownhost. Cualquiera de las dos tiene muy buenas críticas. Me decidi por Knownhost.

Experiencia en Knownhost VPS (Actualidad).

Elegí su paquete VS3 (1216 RAM; 60GB Disk Space; 3500GB bandwidth; cpanel/WHM + VZ por 50$/mes, configurado y controlado por sus técnicos)

Bien, lo primero que llama la atención, es que por el mismo precio, el servidor VPS contratado tiene mejores especificaciones. Knownhost es una compañía especialista en VPS, su negocio principal no son los servidores compartidos (como Hostgator) y eso se nota.

Me gustaría destacar unos cuantos puntos de esta compañía:

1. Excelente uptime: De los mejores de la industria
2. Excelente soporte: aunque no tiene chat, el sistema de tickets funciona a la perfección (no tardan en contestar más de 10-15 minutos)
3. El soporte que dan es muy didactico: Cuando les pides que hagan algo en tu VPS, lo hacen y te explican como lo han hecho… Incluso te ponen los comandos que han utilizado.
4. No te cobran por instalaciones extra en tu servidor: Memcache instalado de manera gratuita, por ejemplo…
5. El servidor esta claramente mejor optimizado. Realmente son especialistas en VPS. El nivel técnico de sus empleados me parece excepcional

Como podéis leer, estoy encantado con Knownhost. Creo que no soy el único. Buscad en Google otras opiniones sobre esta empresa de hosting. El 99% son buenas.

1. ¿Donde queremos alojar nuestra página web? ¿En nuestro país o en el extranjero? Siempre recomiendan que si queremos enfocarnos a un publico objetivo dentro de nuestro propio país, tenemos que elegir el hosting sin salirnos de él (mayor velocidad e acceso etc…). Yo nunca he tenido problemas con mis hostings en el extranjero, así que, no creo que sea importante…
2. ¿Cual es nuestro presupuesto? Hasta hace poco tiempo, el mercado más competitivo era el americano, ofreciéndonos sus compañías de hosting los mejores precios con las mejores características. Confieso que siempre me decanto por un hosting americano.
3. ¿Que soporte necesitamos? Es realmente importante que la compañía de hosting nos ofrezca un buen soporte (telefónico, chat, e-mail…). Aquí tenemos que valorar si nuestro conocimiento del ingles es suficiente para desenvolvernos con soltura y si preferimos usar solo el teléfono… A lo mejor una llamada a nuestro hosting en Estados Unidos nos sale por un ojo de la cara. Yo siempre utilizo el chat o el e-mail. Sin problemas.
4. ¿Servidores Linux o servidores windows? Nunca he utilizado un servidor Windows. Siempre me he decantado por Linux… no se… me dan más seguridad.
5. ¿Como queremos construir nuestra web? En la actualidad lo más demandado es Linux -Apache -Mysql – PHP (LAMP). Los CMS más importantes utilizan estas técnologías. Linux como sistema operativo. Apache como servidor web. Mysql como base de datos y PHP como lenguaje de programación. La mayoría de los hostings soportan estas tecnologías, pero no esta de más comprobarlo.
6. ¿Cual es el uptime y la seguridad de la empresa de hosting? Muy importante. Hay que visitar algunos foros y chequear que opina la gente. El uptime lo podemos chequear en HyperSpin y la opinión de otros usuarios, en el foro webhostingtalk. Regla general: Hay que decantarse por la empresa que se dedica específicamente al negocio. Por ejemplo, porque Godaddy sea muy buena en el negocio de los dominios, no significa que también lo sea en el alojamiento web.
7. ¿Cual es el uptime recomendado? Mínimo un 99,9%
8. ¿Que tipo de plan de hosting necesito? Es decir: ¿Compartido? (Shared Server), ¿Virtual Dedicado? (VPS), ¿Dedicado? Normalmente se empieza por el compartido, es el más barato y luego se va escalando de un plan a otro. Evidentemente si ya tenemos un plan de negocio en mente, y esperamos muchas visitas en breve, hay que valorar elegir un VPS o un dedicado.
9. ¿Que software de control del hosting me ofrecen? Creo que es importante, sobre todo a la hora de realizar migraciones a otros servidores. Yo me decanto por cPanel y VHM.
10. ¿Realmente el bandwidth y el espacio en disco que me ofrecen en el hosting es ilimitado? En principio sí, pero las limitaciones a tu cuenta van a llegar de otros lados. Por ejemplo en los servidores compartidos, normalmente solo vas a poder usar el 25% de la CPU del servidor durante un tiempo limitado (90 segundos); las conexiones simultaneas a la base de datos probablemente no puedan superar las 25 simultaneas. Así que hay que leerse las condiciones antes de comprar el paquete para alojar nuestra web. Normalmente también ponen limites al numero de archivos, carpetas que podemos alojar (entre unos 100,000-250.000 en algunas empresas en servidores compartidos o 1,000,000 en los VPS).
11. ¿Qué política de backups tiene nuestro hosting? con cPanel no hay problema. Los podemos hacer nosotros mismos, pero siempre es conveniente que la empresa ofrezca sus propios backups.
12. ¿Tengo acceso SSH al servidor? Fundamental para un mejor control del mismo
13. ¿Cuantos dominios quiero alojar? Depende del plan de hosting que vayas a contratar. Dentro de los compartidos, el plan más barato solo permite alojar 1 por regla general. A partir de ese, sueles poder alojar un numero ilimitado de dominios.
14. ¿Necesito una IP única para mi web? En VPS y servidores dedicados siempre tienes IP asignadas en los paquetes de hosting, en los compartidos normalmente no. Se necesita una IP para poder soportar conexiones SSL privadas. Tener o no una IP única no afecta en nada para el SEO.
15. ¿Alguna oferta para que mi hosting me salga más barato? Sí. Siempre hay cupones de oferta en www.webhostingsearch.com. En esta página también encontraremos interesantes comparativas de hostings.

Y después de todos estos puntos ¿Qué servicio de hosting recomiendo? En España tienen muy buena fama CDMON y ARSYS. En Estados Unidos, Hostgator y Bluehost. Si queremos alojar nuestra web en un VPS, el más recomendado es Knownhost (servidores ya configurado y listos para funcionar) y Linode (tu te configuras el servidor).

Llama poderosamente la atención Knownhost con un 99.975% de uptime, sobre todo teniendo en cuenta que las mediciones se han realizado sobre 217 servidores VPS durante más de 1000 días.

La verdad es que en el foro webhostingtalk hablan muy bien de esta compañía, que además tiene unos precios muy competitivos. Destacan tambien su servicio al cliente: dicen que es rápido y muy bueno.

En estos momentos tienen una oferta muy buena en Knownhost utilizando el siguiente código KHBESTUPTIME: Te ofrecen un descuento del 75% el primer mes, seguido de un 10% de descuento de por vida a partir de sus paquetes VS2 o superiores (vía webhostingtalk).

El paquete VPS VS2 tiene las siguientes especificaciones:

VS2 – $35/mes **Con la promo el primer mes se queda en $8.75/mes y luego en $31.50/mes**
2500 GB Bandwidth
960 MB RAM
40 GB en disco
IPs: 2

Y son VPS totalmente configurados. Ellos se encargan de toda la instalación y de las actualizaciones.

rkhunter: Escáner de rootkits. Herramienta de análisis que garantiza que tu VPS este limpio de rootkits al 99,9%. Esta herramienta analiza el sistema en busca de rootkits, backdoors y exploits locales mediante la ejecución de pruebas como:

- Hash MD5
- Busca los archivos predeterminados utilizados por los rootkits
- Permisos de archivo incorrectos para los archivos binarios
- Busca cadenas sospechosas en módulos LKM y KLD
- Busca archivos ocultos

tripwire: Es una herramienta que nos chequea la seguridad e integridad de los datos mediante la vigilancia y alerta sobre el cambio de archivos específicos.

logwatch: Logwatch es un sistema de análisis de registros personalizable. Logwatch analiza los logs del sistema y crea un informe que analiza las áreas que especifiques.

Snort: Ayuda a la prevención de intrusiones y nos proporciona un sistema de detección (IDS / IPS).

CSF Firewall: Firewall compatible con Cpanel para mantener lejos a los intrusos de nuestro servidor.

ClamAV: Antivirus que nos ayuda en la detección de troyanos, virus, malware y otras amenazas maliciosas. Es el estándar de facto para la detección de este tipo de problemas en el e-mail de nuestro servidor. Proporciona un escaneado de alto rendimiento, utilidades en línea de comandos para la exploración de archivos bajo demanda, y una herramienta inteligente para las actualizaciones automáticas de firmas.

/usr/local/apache/logs/error_log

Con el comando “tail -n 150 error_log” podemos visualizar en pantalla las ultimas 150 lineas del log o que a veces es muy útil por ejemplo, si hemos hecho un reboot del servidor.

Pero esto no es suficiente ne algunas ocasiones: ¿Como buscamos un error concreto dentro del log?

Con el comando grep: “grep -i ThreadLimit /usr/local/apache/logs/error_log”

con lo que buscamos ThreadLimit dentro del log.

Yo estaba buscando esto porque había hecho cambios en los parámetros de Apache para mejorar el rendimiento del servidor, y quería ver si había algún problema. En mi caso lo había:

“WARNING: Attempt to change ServerLimit or ThreadLimit ignored during restart”

Pero, ¿Que significa? Este warning con “ServerLimit o ThreadLimit” o cualquier otro parámetro de la configuración de apache en httpd.conf quiere indicarnos que hay diferentes valores de los mismos en varios archivos de configuración, en mi caso (uso WHM/cpanel) en httpd.conf y pre_main_global.conf.

¿Solución? Poner los mismos valores en ambos archivos de configuración.

Lo más destacado en el vídeo es: la comprensión de las variables más importante que se utilizan para ajustar la configuración de MySQL, y las pruebas de referencia con diferentes arquitecturas.

Básicamente, lo que nos quieren hacer comprender es que muchas veces nos es necesario incrementar la CPU o la RAM de nuestro servidor (yo tengo 768MB de RAM), sino que hay que dedicarle un par de días a optimizar y tunear los parametros de my.cnf hasta ajustarlos a los valores óptimos que hagan reducir la carga de nuestro nuestro servidor.

Tambien os podeis desrcargar la presentación en PDF