SEGURIDAD EN UNA PÁGINA WEB

1 – Actualiza, Actualiza, Actualiza

Esto es algo que no podemos hacer suficiente hincapié aquí en Sucuri. Innumerables sitios web están en peligro todos los días debido al software obsoleto e inseguro utilizado para ejecutarlos. Es increíblemente importante actualizar su sitio tan pronto como un nuevo plugin o la versión de CMS está disponible. La mayoría de hacking en estos días es totalmente automático, con los robots constantemente escaneando cada sitio buscando oportunidades de explotación.

2 – Las Contraseñas

Trabajando en los sitios del cliente, a menudo necesito iniciar sesión en su sitio / servidor utilizando sus datos de usuario de administrador. Con frecuencia estoy preocupado por lo inseguro que sus contraseñas de raíz son. Es un poco de miedo que tengo que decir esto, pero admin / admin no es un nombre de usuario y una contraseña segura. Si su contraseña aparece en esta lista de las contraseñas más comunes, se garantiza que su sitio será hackeado en algún momento.

Incluso si su contraseña no está en esa lista, hay un montón de ideas falsas sobre las contraseñas “fuertes”.

3 – Un Sitio = Un Servidor

Entiendo la tentación. Usted tiene un plan de web “ilimitado” de alojamiento y averiguar por qué no aloja sus numerosos sitios en un solo servidor. Por desgracia, esta es una de las peores prácticas de seguridad que veo con frecuencia. Hosting muchos sitios en el mismo lugar crea una superficie de ataque muy grande.

4 – Acceso de Usuario Sensible

Esta regla sólo se aplica a los sitios que tienen varios accesos. Es importante que cada usuario tenga el permiso adecuado que necesitan para hacer su trabajo; si requieren permisos de escalada momentáneamente, otorgarlo, y reduzca una vez que el trabajo esté completo. Este es un concepto conocido como Menos Privilegiada.

5 – Cambiar la Configuración Predeterminada de la CMS

Las aplicaciones CMS de hoy, aunque fácil de usar, son horribles desde una perspectiva de seguridad para los usuarios finales. Los ataques más comunes contra sitios web son totalmente automatizados, y muchos de estos ataques se basan en la configuración predeterminada que se utiliza. Esto significa que usted puede evitar un gran número de ataques simplemente cambiando la configuración predeterminada durante la instalación del CMS de elección.

6– Selección de Extensión

Una de las cosas bellas acerca de aplicaciones CMS de hoy es que es extensibilidad. Lo que la mayoría no se dan cuenta sin embargo es que, ese mismo extensibilidad es su mayor debilidad. Hay una enorme cantidad de plugins, add-ons y extensiones que proporcionan prácticamente cualquier funcionalidad que pueda imaginar. Sin embargo la realidad es que a veces la enorme cantidad de extensiones puede ser un arma de doble filo. A menudo hay varias extensiones que ofrecen una funcionalidad similar.

7 – Las Copias de Seguridad

Como todo en el mundo digital, todo puede perderse en un evento catastrófico. A menudo no soportamos lo suficiente, pero le agradecerá si usted toma algún tiempo para considerar las mejores soluciones de copia de seguridad web para su sitio web.

Hacer copias de seguridad de su sitio web es muy importante, pero el almacenamiento de estas copias de seguridad de su servidor web es un riesgo de seguridad importante. Estas copias de seguridad contienen invariablemente versiones no actualizados de su CMS.

8 – Los Archivos de Configuración del Servidor

Usted realmente debe conocer a sus archivos de configuración del servidor web. Servidores web Apache utilizan el archivo .htaccess, servidores Nginx utilizan nginx.conf y Microsoft IIS servidores utilizan web.config. Muy a menudo se encuentran en el directorio web raíz, estos archivos son muy poderosos. Estos archivos le permite ejecutar reglas del servidor, incluidas las directivas que mejoran la seguridad de su sitio web.

9 – Instalar SSL

En realidad soy de dos mentes sobre si procede o no incluir este punto porque ha habido tantos artículos incorrectamente indicando que la instalación de SSL va a resolver todos sus problemas de seguridad. SSL no hace nada para proteger a su sitio contra cualquier ataque malicioso, o que deje de distribuir malware. SSL encripta la comunicación entre el Punto A y el Punto B – el servidor web y el navegador. Este cifrado es importante por una razón específica: se impide que alguien pueda ser capaz de interceptar ese tráfico, conocido como un ataque de Hombre en el Medio(MITM).

10 – Permisos de Archivo

Los permisos de archivo definen quién puede hacer qué en un archivo.

Cada archivo tiene 3 permisos disponibles y cada permiso está representado por un número:

·         ‘Leer‘ (4): Ver el contenido del archivo.

·         ‘Escribir‘ (2): Cambia el contenido del archivo.

·         ‘Ejecutar‘ (1): Ejecute el archivo de programa o script.

También hay 3 tipos de usuarios:

·         Propietario – Por lo general, el creador del archivo, pero esto se puede cambiar. Sólo un usuario puede ser el propietario.

·         Grupo – Cada archivo se le asigna un grupo, y cualquier usuario que forma parte de ese grupo obtendrá estos permisos.

·         Público – Todos los demás.