website más importante de la red para estar sujeto al ataque de hackers y visitantes no deseados. Esto siempre ha pasado, pero el número de amenazas, intentos de utilizar tu servidor de forma ilegal, como server de spam, o de ficheros sospechosos utilizándose scritps automáticos es creciente. Por este motivo, es crítico optimizar la seguridad del website. Para ello hay diferentes fórmulas que, no siendo perfectas, son aconsejables.
Mensajes de error en los formularios
Muchas empresas tienen la costumbre de personalizar los mensajes de alerta cuando un formulario no es rellenado correctamente. Esto ocurre por ejemplo cuando se tiene un formulario de contacto, o un formulario de
autenticación. En el
login, normalmente tenemos dos campos, uno para el nombre de
usuario y otro para la
contraseña. Un mensaje que especifica que uno de los campos es correcto/incorrecto facilita el
ataque de fuerza bruta, pues el script utilizado por el hacker ya conoce uno y solo necesita centrarse en el siguiente.
Contraseña
La mayoría de los portales modernos aconseja a sus usuarios que tengan contraseñas complejas, y es una práctica recomendable aunque estos no siempre lo cumplan. Pero la seguridad es lo más importante y forzar un número mínimo de caracteres incluyendo algún número y letra mayúscula es importante.
Además de buenas recomendaciones, a nivel de servidor hay que
encriptar los valores de las contraseñas utilizando algún algoritmo de
hash,
MDA o
SHA. De esta forma solamente se comparan valores
encriptados cuando los usuarios autentican. Otras técnicas de criptografía son utilizadas. Los
CMSs más importantes del mercado ya vienen con un gestor de usuarios y en condiciones normales ya con las propiedades de seguridad integradas.
SSL (y TLS)
SSL, Secure Sockets Layer, o “capa de conexión segura” en castellano y TLS, Transport Layer Security, “seguridad de la capa de transporte” son protocolos que sirven para proporcionar seguridad en la
red. Se recomienda utilizar un certificado de seguridad cuando se pasa información entre un servidor y la página web. A pesar de estar sujeto a
vulnerabilidades, utilizando este protocolo con las herramientas correctas se puede impedir que se roben datos de acceso de usuarios y obviamente datos personales.
XSS
El XSS, Cross-site scripting es un clásico
agujero de seguridad que los intrusos utilizan, de forma directa, o indirecta para introducir
código malicioso, en
Javascript por ejemplo, en un formulario. Es importante comprobar los datos enviados en los formularios de nuestro
site y
retirar las etiquetas HTML de cualquier cadena.
Software Actualizado
Si nuestro negocio tiene un
website, hay que cuidarlo diariamente. Tener el software actualizado,
siempre que posible, debe ser una prioridad. Eso se aplica tanto al software del servidor como al CMSs que tengamos configurado. Los hackers y sus scripts no duermen y cuanto
más popular sea el software que utilicemos a más ataques estamos sujetos.
En relación al hosting, la preocupación por la seguridad debe ser mayor si el
site no
está alojado en un
hosting compartido, un vez que la empresa contratada debe tener en cuenta las actualizaciones de seguridad.
Drupal, WordPress, entre otros, notifican a los administradores de plataformas desarrolladas con estos sistemas sobre nuevas actualizaciones de seguridad, o en el dashboard, en el momento del
login, o por e-mail.
Existen muchos más métodos y factores importantes para optimizar la seguridad del
website y es importante no pasarlos por alto. La
inyección SQL , y el control del tipo de ficheros que se permiten que los usuarios suban a la plataforma son dos de ellos.
Herramientas de Test
Hay
diferentes herramientas de seguridad en la
red. Algunas de pago, otras gratis. Estas permiten realizar testes que simulan el comportamiento de los scripts de los intrusos y permiten hacer un estudio de las vulnerabilidades existentes en nuestro sistema, o plataforma, permitiéndonos actuar antes que los
hackers.
WordPress & Drupal
WordPress y
Drupal tienen módulos (o
plug-ins) que ayudan en este proceso de optimización y verifican la existencia de las vulnerabilidades más comunes en nuestra plataforma.
Copias de seguridad
Independientemente de que el
website sea seguro, siempre es importante tener un
backup de la plataforma. Siempre pasan cosas. Tener una copia de seguridad del contenido, base de datos y ficheros es importante debe ser hecho con regularidad.
Fuentes:
]]>
