Jordi Oller

Volviendo un poco a la seriedad y siendo hoy el Día internacional de la seguridad, me estaba planteando en crear una pequeña primera Guia de Seguridad para tiendas online, que básicamente se podría portar a casi cualquier aplicación PHP.

Principales archivos a modificar:

php.ini (Configuración general del PHP, si phpsuexec activado, tendremos que editarlo en la carpeta de la aplicación que vayamos a programar)

httpd.conf (configuración del apache)

.htaccess (sobreescribir las directivas del php.ini si nos lo permiten y no está activado phpsuexec)

Para tener una primera vision de la configuración general, y valorar si tenemos puntos comprometidos, deberemos crear un archivo php con el siguiente código y visitarlo con nuestro navegador:

<?php phpinfo() ?>

Pasos a seguir:

1) No mostrar errores a nuestros intrusos, para ello definiremos en el .htaccess 

php_flag display_errors Off
php_flag log_errors On
php_value error_log "Ruta completa al fichero de log"

- Que no se muestren los errores en pantalla, y cambiarlo a que se guarden en la maquina en un fichero local solo accesible para el webmaster.

2) El famoso Register globals que por defecto ahora viene desactivado. En las tiendas oscommerce a partir de la RC1 ya no hace falta tenerla activada (en MS2 y anteriores si), por lo que ya no tendremos ese problema de configuración. Tenerlo activo no es un problema de seguridad en sí, si el código está bien implementado, pero si por defecto ya viene desactivado, estamos obligados a no jugar con “fuego” al poder pasar parámetros por GET y POST dentro de las variables globales de nuestra aplicación. Para desactivar esta directiva:

php_flag register_globals Off

3) Usar SAFE_MODE o no… en mi opinión solo és útil para servidores compartidos, donde hay varios usuarios, y así evitar que unos accedan o incluyan los ficheros de los otros. El único y gran problema es que al tenerlo activo, tendremos incompatibilidades con otros módulos y funcionalidades. Habría que valorar si es realmente necesario tenerlo activo en nuestro servidor.

4) Doble protección de nuestros ficheros de administración. Por ejemplo… toda la carpeta administrador o backend de la aplicación implementar protección mediante formulario de login, y además añadir protección mediante apache desde nuestro panel de control de hosting o a mano.

5) Denegar el acceso a nuestros directorios y ficheros de configuración o “sensibles” con la siguiente instrucción en el .htaccess (dentro del directorio donde se encuentran los archivos a proteger)

Proteger ficheros php:

<Files *.php>
   Order Deny,Allow
Deny from all
</Files>

Proteger todos los ficheros del directorio que se especifique:

<Directory /includes>
    Order Allow,Deny
</Directory>

6) Sistemas de pago. El más sensible sin duda es la tarjeta de crédito. Los más seguros son los que usan webservices, y sin salir de la web, pero a día de hoy solo es viable con BBVA y algún otro banco.  Mi recomendación es usar el sistema TPV de servired, que podremos encontrar en casi todas las cajas y caixas (La caixa, Caixa catalunya, Caja madrid, etc) que através de una firma Sha1 completa ampliada y una clave personal se transmite la información de forma “segura” entre la página del banco (quien se encargará por nosotros de recoger los datos de la tarjeta y comprobar su veracidad) y nuestra tienda, que será la que reciba la confirmación y autorización del pago.

Compártelo

Muchos me preguntan como controlar por analytics el flujo de datos de nuestras tiendas virtuales, y en especial de tiendas online desarrolladas bajo la plataforma osocmmerce.

Vista comercio electrónico en Analytics:

Pasos a Seguir:

1) Activar en Analytics la nueva pestaña de comercio electrónico, para ello iremos a la primera pantalla y sobre el dominio correspondiente haremos clic en editar, y luego en “Información del perfil del sitio web principal” volveremos a editar, para seleccionar el botón de radio de “Sí, es un sitio de comercio electrónico.”

2) Seguidamente hay que bajarse el siguiente módulo de analytics para oscommerce e instalarlo siguiendo las indidcaciones (Recomiendo el 2.1 beta)

3) Modificar el código “UA-xxxxxxx-x” en los scripts por el nuestro própio que obtendremos en la web de analytics.

 4) Observar al dia siguiente las estadísticas ampliadas de nuestras ventas en la nueva pestaña de comercio electrónico.

5) En el caso de que no uséis oscommerce, podréis emplear el siguiente script rellenando las variables correspondientes en el código donde se confirme el pedido.

<script src="http://www.google-analytics.com/ga.js" mce_src="http://www.google-analytics.com/ga.js" type="text/javascript"></script>

<script type="text/javascript">
  var pageTracker = _gat._getTracker("UA-XXXXX-1");
  pageTracker._initData();

  pageTracker._addTrans(
    "1234",                                       // Nº Pedido
    "Mountain View",                     // Fabricante
    "11.99",                                      // Total
    "1.29",                                        // IVA
    "5",                                             // Portes
    "San Jose",                                // Poblacion
    "California",                              // Provincia
    "USA"                                       // Pais
  );

  pageTracker._addItem(
    "1234",                                      // Nº Pedido
    "DD44",                                     // Referencia
    "T-Shirt",                                 // Nombre producto
    "Green Medium",                   // Categoria
    "11.99",                                    // Precio
    "1"                                            // Cantidad
  );

  pageTracker._trackTrans();
</script>

Ejemplos de Uso: 

Finalmente y como recomendación para consultar si las campañas de publicidad son rentables (Ejemplo: Adwords) … podemos cruzar los datos con otras pestañas en nuestro analytics, de manera que en cada sección se verá una nueva pestaña llamada Comercio Electrónico:

Y por ejemplo se pueden sacar resultados excelentes sobre:

- Que enlaces nos producen más ventas (Webs que nos referencian)
- Que campañas de Adwords o anuncios orientadas por palabra clave se convierten en transacciones.
- Ver que palabras de búsqueda son las que más dinero nos reportan en nuestra tienda…
- Y un largo etc…

Imágenes sacadas de Tripix un excelente blog de Informes y analítica web.

Compártelo

Son muchos o la mayoría de comercios online que optan por publicitarse en Adwords, para conseguir clientes rápidamente que generen pedidos y no tan solo visitas. Muchos también me preguntan como incluir el sistema de conversiones y “transacciones” (Importes de los pedidos) en sus tiendas osCommerce. Seguidamente os explicaré los pasos a seguir:

1.  Entrar en Adwords -> Admin campañas -> Seguimiento de conversiones
2. Dar de alta conversiones de compra venta y obtener el script a incluir en nuestros comercios
3. Bajamos y editamos el checkout_success.php
4. Buscar el string TEXT_THANKS_FOR_SHOPPING
5. Debajo poner el siguiente código:

<!-- Google Code for purchase Conversion Page -->
<script language="JavaScript" type="text/javascript">
<!--
var google_conversion_id = ************;
var google_conversion_language = "es";
var google_conversion_format = "1";
var google_conversion_color = "666666";
if (1.0) {
  var google_conversion_value = <?php echo round($order_total['value'],2);?>;
}

var google_conversion_label = "purchase";
//–>
</script>
<script language="JavaScript" src="<a href="http://www.googleadservices.com/pagead/conversion.js" mce_href="http://www.googleadservices.com/pagead/conversion.js">http://www.googleadservices.com/pagead/conversion.js">
</script>
<noscript>
<img height=1 width=1 border=0 src="<a href="http://www.googleadservices.com/pagead/conversion/************/imp.gif?value=1.0&label=purchase&script=0" mce_href="http://www.googleadservices.com/pagead/conversion/************/imp.gif?value=1.0&label=purchase&script=0"/>http://www.googleadservices.com/pagead/conversion/************/imp.gif?value=1.0&label=purchase&script=0">
</noscript>

Donde ************ corresponderá a vuestro código sacado anteriormente.
Como podéis comprobar recogerá el total de los pedidos y los enviará al código de conversiones, por la cual cosa luego podremos hacer estadísticas con ellos a través de informes o en el analytics, para poder calcular el ROI y otras tantas variables.

Compártelo

Estamos en la era web 2.0 , las páginas estáticas ya no sirven para atraer visitas, hay que generar un flujo contínuo de información y para ello nació el RSS.

Mi segundo consejo para el éxito es dotar a nuestras tiendas de un RSS Feed, donde se les informe a nuestros clientes automáticamente de novedades o modificaciones de nuestros productos. Esto hará que sin llegar a ser molesto, vayamos informando a nuestros clientes de:

1. Nuevos productos en la tienda virtual
2. Modificaciones de productos
3. Inserción de nuevas ofertas interesantes
4. Reposiciones de Stocks

En el caso de osCommerce os recomiendo esta contribución: http://addons.oscommerce.com/info/1513

NOTA: Las entregas de Claves hacia el éxito se escribirán 1 vez por semana

Compártelo

Hoy me he propuesto explicaros los pasos a seguir para realizar el seo en una tienda oscommerce en condiciones y siguiendo por orden los pasos siguientes:

 ……………………………………………………………………………………………….
1er Paso) SEO URLS: hay dos opciones:

- Si tenemos pocos productos: 1-500 : SEO-G (necesita retoques manuales a las URL, pero salen mas limpias sin coletillas c-12, p141) Yo uso el (SEO-G v1.20)
http://addons.oscommerce.com/info/5080

- Si tenemos muchos productos 500-50.000 : Ultimate Seo URLS (totalmente automático) yo siempre utilizo el (Ultimate SEO URLs - 2.1d) : http://addons.oscommerce.com/info/2823

 ……………………………………………………………………………………………….

2º Paso) META TAGS:

-Utilizaremos indiscutiblemente el que mejor trabaja de todos, ya que cambia títulos dinamicamente, metas, y todo en relación al producto y categorías. Estoy hablando del Header tags controller: http://addons.oscommerce.com/info/207 exactamente el (Header Tags Controller V2.6.3 Complete)

 ……………………………………………………………………………………………….

3er Paso) Google Sitemaps:

- Antes que nada crearemos una cuenta Gmail y la daremos de alta en Google webmasters: https://www.google.com/webmasters
- Después añadiremos nuestro sitio y lo validaremos, yo prefiero hacerlo subiendo el html vacío, así no tocamos el código del header tags.
- Nos bajaremos la contribución mas sencilla y efectiva para generar los XML que se hace con esta contribución: http://addons.oscommerce.com/info/5539
- Añadimos en Google webmasters las dos paginas y eso es todo.

……………………………………………………………………………………………….

4º Paso) Hacer un sitemap visible del sitio:

- Lo conseguiremos con la contribución: Dynamic SiteMap v 3.1 with complete XML sitemaps (Pero sin usar los XML sitemaps) : http://addons.oscommerce.com/info/3306

 ……………………………………………………………………………………………….

5º Paso) Validar HTML en W3C:

- Este ya es un proceso un poco mas profundo tan solo para unos pocos, ya que hay que entender estructuras de tables, forms y demás diseño web para resolver errores. A google le gustan las páginas sin errores ya que investiga el código en busca de técnicas prohibidas tanto dentro del html como fuera en los CSS… y si encuentra una página sin errores y sin blackhat, seremos premiados.
Validar HTML: http://validator.w3.org/
Validar CSS: http://jigsaw.w3.org/css-validator/

……………………………………………………………………………………………….

6º Paso) Alta en Directorios:

- Este es un paso muy importante ya que conseguiremos enlaces de páginas con pagerank alto y además de mucha fluidez de visitas que por pocas que nos llevemos ya nos estaremos promocionando.
- Darse de alta en:
www.mercamania.com (Importante dar de alta tienda y hacer el Feed XML)
www.solostocks.com (Lo mismo hacer el feed xml)
www.acambiode.com
www.tiendas-online.com.es
www.publisurf.com/directorio/tiendas_online
Etc, etc… y así otros 50.

 ……………………………………………………………………………………………….

7º Paso) Alta productos en Google Base:

http://base.google.com/

- Podemos subir nuestros productos tanto con el feed XML, como con el programa que se conecta a nuestro admin, el Google base store connector donde hay una versión exclusiva para oscommerce (Genial! Google toma en cuenta el oscommere …)
- Si usamos una versión anterior a la RC1 el programa no servirá con lo que nos ayudaremos de esta contribución: http://addons.oscommerce.com/info/4270

 ………………………………………………………………………………………………. 

Aún quedan algunas cosas más por hacer, pero estas serian las principales si queremos salir muy arriba en los buscadores y que todos nuestros productos se indexen a la perfección.

Compártelo