Que las pasa a las consultoras que hacen webs? PRECIOS DISPARATADOS

vapeador · 12 Jun 2012

kudeiro dijo:
el tema de la seguridad ante exploits es un poco complejo, está claro que si es una programación a medida, tu eres el responsable, ¿pero si es un CMS? Por mucho que digan que son seguros he visto hackeos a Wordpreses, Prestashopes y muchos otros. Tengo una amiga con un Wordpress al que le están inyectando el famoso codigo "eval base64_decode..." en el index de la plantilla cada poco, y no tengo ni NPI de como lo hacen pues he revisado hasta la saciedad permisos, etc...
Que te hagan una inyección de codigo es un ****** no solo por el hecho en si, sino porque inmediatamente Google te tacha la página como "maliciosa" y al entrar sale el warning rojo tan famoso que no se va hasta que no corriges el codigo, y encima los hosting normalmente te restringen el acceso a la página hasta que no lo corrijas.

Hosting compartido? Has limpiado la instalación (reinstalar completo el código y restaurar la BBDD de un backup limpio)?

euriborfree dijo:
Generalmene una buena instalacion de Apache con suexec y suphp o fast*** no puede saltarse de cuentas, eso si, el webmaster debe tener cuidado en no poner permisos 666 o 777 que pueda servir para que le modifiquen un fichero, mod_suphp por ejemplo permite configurar la denegacion de ejecucion de ficheros php con permisos 666 o 777 con lo que evitas ejecutar ******s que sean susceptibles de ser modificados por terceros, obligas asi al webmaster a mantener unos permisos seguros.

Si, si no es por falta de herramientas, es por un mal uso de las mismas. Más allá de que configuraciones por defecto no sean seguras (hace más de 7 años se publico una forma de evadir suexec mediante enlaces simbólicos), o de que importaciones de discos vía NFS permitan accesos "no previstos"...

Estoy seguro que habrá hostings compartidos sin estos problemas, pero lo que si se puede garantizar, es que muchos a día de hoy, los tienen. Si conoces alguno que esté bien, avisa

kudeiro · 13 Jun 2012

la verdad es que el hackeo de ese WP es un misterio, ya he mirado y remirado todo y cada poco siguen hackeandolo, y es solo a ese, porque he instalado decenas de CMS y solo pasa con ese, algun hacker le ha cogido mania.
Lo peor es la actitud del hosting, 1and1, que si ya son pesimos por el servicio que dan en general, encima cuando hay problemas "tecnicos" se lavan las manos.
Al ser un hosting compartido a saber que pilinguiclub tendrán ahí organizado.

euriborfree · 13 Jun 2012

kudeiro dijo:
la verdad es que el hackeo de ese WP es un misterio, ya he mirado y remirado todo y cada poco siguen hackeandolo, y es solo a ese, porque he instalado decenas de CMS y solo pasa con ese, algun hacker le ha cogido mania.
Lo peor es la actitud del hosting, 1and1, que si ya son pesimos por el servicio que dan en general, encima cuando hay problemas "tecnicos" se lavan las manos.
Al ser un hosting compartido a saber que pilinguiclub tendrán ahí organizado.

el tecnico no se lava las manos, cuando quieres pasarle tu pardo al tecnico el que se las esta lavando eres tu, el solo te dice que no le pases tu pardo, que no es suyo.

En casos de hackeo de scri*pts es muy habitual que te suban algun algun fichero .php en algun directorio, un nuevo scri*pt que hace de puerta trasera que les permitira entrar siempre, estara en algun lugar poco llamativo, en una de las carpetas de wp-content/upload/ o incluso mezclado entre todos los ficheros del directorio wp-admin con un nombre poco llamativo para que pase desapercibido, tambien puede ser que hayan añadido el codigo de la puerta trasera en alguno de los scri*pt ya existentes.

En este momento ningun fichero que tengas en el servidor es fiable, deberias borrar todo, subir el scri*pt desde cero (una instalacion limpia) y si vas a resubir los uploads y el theme revisar bien que no te metan ningun fichero extra.

sabueXo · 13 Jun 2012

euriborfree dijo:
el tecnico no se lava las manos, cuando quieres pasarle tu pardo al tecnico el que se las esta lavando eres tu, el solo te dice que no le pases tu pardo, que no es suyo.

En casos de hackeo de scri*pts es muy habitual que te suban algun algun fichero .php en algun directorio, un nuevo scri*pt que hace de puerta trasera que les permitira entrar siempre, estara en algun lugar poco llamativo, en una de las carpetas de wp-content/upload/ o incluso mezclado entre todos los ficheros del directorio wp-admin con un nombre poco llamativo para que pase desapercibido, tambien puede ser que hayan añadido el codigo de la puerta trasera en alguno de los scri*pt ya existentes.

En este momento ningun fichero que tengas en el servidor es fiable, deberias borrar todo, subir el scri*pt desde cero (una instalacion limpia) y si vas a resubir los uploads y el theme revisar bien que no te metan ningun fichero extra.

También puede bajarse toda la web del servidor y compararla con alguna copia de seguridad que esté bien usando el WinMerge en busca de archivos distintos, añadidos o borrados.

A lo mejor sacas algo de ahí...

trancos123 · 13 Jun 2012

quimicoloco dijo:
Caray lo que estoy aprendiendo leyéndoos, sé algo de programación web (html, css y algo de javascriipt, he hecho alguna cosa apañada pero nada profesional, sin php no se puede mas) pero el tema de seguridad se me escapa totalmente. Por lo que decís me surgen dudas:

La seguridad frente a inyección de código (como por ej. mysql) la lleva el desarrollador de la web, porque es el que programa el código php, mysql y demás, correcto?

Si alguien toma el control de nuestra web por un error en la programación / cargar un módulo con vulnerabilidades en un CMS, o por poner la contraseña de admin por defecto, qué se puede hacer? Pedir al del hosting que borre todo y subir todo de nuevo mientras intentamos deducir cómo nos han quitado el control? El hosting nos puede ayudar en algo más?

La seguridad de los servidores depende del hosting? Osea, hay servidores más o menos seguros, o son todos iguales y la seguridad es cosa del programador?

Gracias a los que foreáis amigablemente, quería hacerme una página personal con la que intentar sacar algún durillo (para el hosting como mucho), nada de otro mundo, tal vez con joomla y cambiando el código a mi estilo, pero veo que el tema de seguridad se me escapa totalmente. Algún libro sobre qué cosas hay que tener en cuenta para hacer una web personal (no profesional)? Osea, desde contratar el dominio, servidores, seguridad... Abrazos!

Aqui tienes una introducción a la seguridad muy buena (obvia toda la parte de rails, los conceptos sirven para cualquier lenguaje).

Ruby on Rails Guides: Ruby On Rails Security Guide

P.D.: De nada

kudeiro · 14 Jun 2012

euriborfree dijo:
el tecnico no se lava las manos, cuando quieres pasarle tu pardo al tecnico el que se las esta lavando eres tu, el solo te dice que no le pases tu pardo, que no es suyo.

En casos de hackeo de scri*pts es muy habitual que te suban algun algun fichero .php en algun directorio, un nuevo scri*pt que hace de puerta trasera que les permitira entrar siempre, estara en algun lugar poco llamativo, en una de las carpetas de wp-content/upload/ o incluso mezclado entre todos los ficheros del directorio wp-admin con un nombre poco llamativo para que pase desapercibido, tambien puede ser que hayan añadido el codigo de la puerta trasera en alguno de los scri*pt ya existentes.

En este momento ningun fichero que tengas en el servidor es fiable, deberias borrar todo, subir el scri*pt desde cero (una instalacion limpia) y si vas a resubir los uploads y el theme revisar bien que no te metan ningun fichero extra.

el tecnico se lava las manos en el sentido que cuando una web sufre un hackeo, los de 1and1 te la desconectan sin mas, enviandote un mail en inglés de que tu web es malicious. Al menos otros hosting tienen la decencia de decirte que fichero ha sufrido la injection.

Y eso si la culpa es tuya, a veces es un hackeo propiciado por el hosting. Hace años trabajé en una empresa que llevaba el mantenimiento de la web de un conocido jugador del Barça. Un dia hackearon la web y nos cayó una reprimenda del copón a los técnicos, hasta que se demostró que habían entrado por una vulnerabilidad del servidor, de Dinahosting para mas segnas.

euriborfree · 14 Jun 2012

kudeiro dijo:
el tecnico se lava las manos en el sentido que cuando una web sufre un hackeo, los de 1and1 te la desconectan sin mas, enviandote un mail en inglés de que tu web es malicious. Al menos otros hosting tienen la decencia de decirte que fichero ha sufrido la injection.

Y eso si la culpa es tuya, a veces es un hackeo propiciado por el hosting. Hace años trabajé en una empresa que llevaba el mantenimiento de la web de un conocido jugador del Barça. Un dia hackearon la web y nos cayó una reprimenda del copón a los técnicos, hasta que se demostró que habían entrado por una vulnerabilidad del servidor, de Dinahosting para mas segnas.

Si la aplicacion ha sido hackeada no es obligacion del hosting investigar que scr1pt ha sido el atacado, otra cosa es que el tecnico lo haya visto durante las pesquisas y te lo diga por cortesia, pero no tienen obligacion de depurar tu codigo, lo normal es que te den el log de apache para que lo estudies.

Respecto a lo de dinahosting, hay muchos servidores que usan mod_php y en ese caso los mass-defacements son habituales, una vez entran en una cuenta pueden ir saltando de una a otra como una rana.

En otras ocasiones el kernel no esta actualizado y el atacante eleva sus permisos haciendose root y haciendo un mass-defacement, y cuando no es el root es algun programa que no esta actualizado (recuerdo un bonito agujero en el cron que te permitia crear tareas como root...

)

Sombra · 15 Jun 2012

Hablando de precios que es el tema del hilo:
Me han soltado hace poco un estudio de diseño web un presupuesto por una tienda personalizada y a medida por 25000 euros, el mismo trabajo por un freelance casi 3000€.

Posible o alguien de los dos está detrás del timo?

En fin, es complicado el tema del precio para los desarrolladores, no hay un standard por mucho que nos digan: 1000€ arriba 1000€ abajo te los endiñan.

loflipo · 15 Jun 2012

a ver Sombra...puede ser que no te time ninguno, uno o ambos. Expón la idea sin entrar en detalles pero al menos di si tiene algun tipo de necesidad, aplicacion o programacion especial, porque puede cambiar mucho el asunto.

Desde luego si es programacion a medida de verdad, yo creo que el freelance se te ha columpiado o bien tiene un cms propio bastante curradito que va modificando según necesidades, si el tio es bueno y serio podria ser corazonudo visto el precio y de lo contrario pues nones. (no soy desarrollador pero me toca de cerca)

los 25.000 jorobar son pasta, pero pudiera ser, dependiendo de qué incluya y de qué manera. Lo que sí te aconsejo es que si como parece te lo estás planteando en serio, que pidas presupuesto para la captación de tráfico, sea ppc,seo, smo o todo junto, y así puedes estudiar la inversión con datos en la mano. Porque lo mismo te estás metiendo en un berenjenal en el que el coste del desarrollo, sean los 25k o los 3k, resulte una parte muy pequeña de la inversión final o no, dependiendo de donde te quieras meter.

Piensa en inversion vs rentabilidad en plazos realistas y no la cuenta de la lechera. Y si hecho eso te da confianza, p'alante.

PD: si esto se hiciera en cualquier tipo de negocio antes de empezar a alquilar, hacer obra o desarrollar la web nos iría mucho mejor como país

PD[mode lol]: mi novia ha pedido 4 presupuestos para una obra de entre 7 y 10 días de ejecución (1 obrero al parecer). Media presupuestada de (sólo) la mano de obra: 2500€ + impuestos.

peseteuro · 15 Jun 2012

para montar un mcDonals en mi ciudad me piden una inversión minima de 500.000euros para un localillo no muy grande. Y si lo hago por mi cuenta puedo alquilar un local por menos de 800euros al mes y mi cuñado me lo pone chulo por cuatro cortesanas que sabe algo de albañilería, y las hamburguesas las cocina mi vecina colombiana que cocina de p progenitora.

mcDonals es un timador !

Sombra · 15 Jun 2012

peseteuro dijo:
para montar un mcDonals en mi ciudad me piden una inversión minima de 500.000euros para un localillo no muy grande. Y si lo hago por mi cuenta puedo alquilar un local por menos de 800euros al mes y mi cuñado me lo pone chulo por cuatro cortesanas que sabe algo de albañilería, y las hamburguesas las cocina mi vecina colombiana que cocina de p progenitora.

mcDonals es un timador !

Na, no es comparable. Mcdonald ofrece de por si un valor añadido contrastado, demasiado contrastado. Si yo sé que la diferencia de precio me va a hacer vender tantas hamburguesas como en el caso de poner un Mcdonald con respecto a una hamburguesería normal, de cabeza me meto en el MC, pero yo a parte de un proyecto a medida sin agujeros que es lo mínimo que pido, no quiero nada más, es decir, no voy a pagar al comercial, el alquiler en el centro de bcn, las oficinas y el estudio de lujo y media plantilla con Apples de 29`, (y como ha dicho Kudeiro por aquí, para que luego subcontraten al programador freelance y me cobre 4 veces más)

Pagar, se puede pagar, pero siempre lo que es justo. Con gusto pagaría 5000€ a ese freelance si me lo hace tan corazonudo como lo tengo en mente, aunque me lo presupueste por 3k.
Nadie está hablando de no pagar el buen trabajo, estamos hablando de la usura de este negocio como en todos, ya sea un paleta o un frutero.

kudeiro · 17 Jun 2012

es que las tiendas online son un tipo de desarrollo con mucho recorrido, porque puedes meter opciones y opciones casi hasta el infinito. Si hablamos de programación a medida, es imposible hacer un presupuesto sin tener un briefing con todas las opciones al detalle.
Y aun asi, cada empresa te va a dar una cantidad distinta, y muy dispares.
Si vas a encargar una tienda online con desarrollo a medida, lo primero haz un briefing con todo casi milimetrado, vale mas pensarlo durante varios dias e ir anotando todo lo que quieras que lleve. De esa forma evitas malentendidos posteriores.
Luego pides presupuesto a muchas empresas o freelances, al menos mas de 10, para encontrarlos está Linkedin.

Si pides presupuesto a un estudio de diseño, el 90% de las veces la programación la van a subcontratar, de ahí la disparidad en los presupuestos. Hay mucho programador "porqueyolovalguista", ya comenté en otro post aquella aplicación de Facebook que solo era un formulario de captación de emails y que a un cliente se lo presupuestaron por 2500 euros y acabé haciendo yo por 300 (5 horas de trabajo mas o menos).

aprendiz borrego · 18 Jun 2012

Yo pago 45€ al mes y me va genial mi tienda. Son muy profesionales y no he tenido problemas, me parece una burrada esos precios

Que las pasa a las consultoras que hacen webs? PRECIOS DISPARATADOS

vapeador

Madmaxista

kudeiro

Madmaxista

euriborfree

echo $titulo;

sabueXo

Madmaxista

trancos123

Madmaxista

kudeiro

Madmaxista

euriborfree

echo $titulo;

Sombra

Madmaxista

loflipo

Madmaxista

peseteuro

Madmaxista

Sombra

Madmaxista

kudeiro

Madmaxista

aprendiz borrego

Madmaxista