Protocolo de Seguridad Básico para un Portal Web
Protocolo de Seguridad Básico para un Portal Web

Protocolo de Seguridad Básico para un Portal Web

Destacado
Es común que los hackers ataquen nuestras webs, en la mayoría de las ocasiones, sin que nos demos cuenta de ello, por eso te propongo un Protocolo de Seguridad que puedes hacer, para mejorar el nivel de seguridad de tu sitio web, apoyándote en herramientas como cPanel.

Antes que nada, salgamos de un tema conceptual para poder comprender el contexto, y poder avanzar.

 

¿Qué es un Servidor?

Cuando se habla de un "servidor", se debe tener en cuenta dos cosas:

  1. La máquina.
  2. El software que se instala sobre la máquina que se dedica a prestar servicios.
Cuando hablamos de la máquina como tal, hablamos del computador ensamblado al que se le instala un sistema operativo, por lo general Linux, y sobre este sistema operativo, se instala el correspondiente software servidor, es decir, el Apache, que es el servidor de páginas web, el servidor de bases de datos, que para nuestro caso corresponde al MariaDB 10.1, y el lenguaje de programación, para nuestro caso PHP.
 
Así, tenemos lo que se conoce como una estructura L.A.M.P. = Linux + Apache + MariaDB + PHP.  Este conjunto de software más máquina, es a lo que comunmente denominamos "El Servidor".
 

¿Cuál es el problema en si en la Seguridad de un Portal Web?

 
Se explica esto, porque se debe tener en cuenta que una máquina como tal puede no sufrir de tiempos muertos o "downtimes"; las ocurrencias que normalmente suelen presentarse, se deben a desconocimiento de los propietarios de que estos eventos en realidad ocurren, y normalmente suelen dejarle esta "papa caliente" a su webmaster, quien en muchas ocasiones, no sabe cómo proceder para cuidar el activo virtual.
 

Implementación de Protocolo de Seguridad

 
Ante este tipo de ocurrencias, se solicita ser precavidos en la tenencia de los sitios web alojados en un servidor web público, y para ello, sugerimos la implementanción de un protocolo de seguridad que conste como mínimo, de los siguientes puntos en tus portales:
 
1. Obligar el sitio a navegación segura o https.  Se puede activar configurando esto en el archivo .htaccess o instalando los plugins correspondientes desde los software de gestión de contenido como Joomla!, PrestaShop, Magento o WordPress.
 
01 Obligar Un Sitio A Navegacion Segura Https
 
2. Instalar Captcha para protección de formularios. Al no tener un reconocimiento de humanos, se pueden recibir ataques a los sistemas de comentarios o de tipo spam, y esto hace que se sature el MSQL, PostgreSQL o MariaDB según sea el caso.
 
02 Agregar Captcha A Formularios
 
3. Mantener el sitio en la última versión estable liberada. Todos los software de gestión de contenido como Joomla!, PrestaShop, Magento o WordPress, entre muchos otros, tienen una casa matriz que se encarga de liberar las últimas versiones estables de sus productos, la idea es mantener tu software al día, para evitar vulnerabilidades en estos.
 
03 Tener Ultimas Versiones Actualizadas
 
4. Hacer copias de seguridad cada vez que se realice alguna actualización crítica en tu portal web.
 
5. Evaluar las visitas a su web y bloquear accesos sospechosos.  Por ejemplo, si usted tiene una tienda virtual con venta exclusivamente para Colombia, y en el sistema awStats de su cPanel (Panel de Control de su WebHosting), aparece que la mayoría de las visitas provienen de países sospechosos como China, Alemania, Egipto u otros en los cuales no se han realizado campañas de meracadeo y que no son cubiertos por su estrategia, debe sospechar de estas visitas, por esto debe observar en el TOP URL del adStats, para verificar cuáles son las direcciones que más se están accediendo por parte de sus visitantes.  Si descubre que las visitas se dan al sistema de administración de su tienda, sospeche aún más, ya que en definitiva, lo que sus visitantes están buscando, es hacer daño evaluando potenciales vulnerabilidades que se puedan explotar.  Aunque es difícil calcular el tipo y nivel del daño, lo mejor es utilizar la herramienta de bloqueo del cPanel para ello.
 
Acceso al awStats:
 
04 Evaluar Datos Estadisticos
 
Luego, acceder a las estadísticas, ya sea de visitas no seguras, o visitas por conexión segura o https:
 
05 Acceder Al Awstats De Cpanel
 
Luego, evaluar el origen de las visitas (tomamos un caso simulado para el ejemplo):
 
06 Evaluar Las Visitas Por Paises
 
En este caso, las visitas predominantes son de Francia, lo cual no tiene sentido para la estrategia, así que se debe determinar a dónde están accediendo los visitantes:
 
07 Evaluar Que Direcciones Son Accesadas
 
Luego identificamos las IP que generan altas conexiones:
 
08 Evaluar Las Visitas Por Direccion Ip
 
Verificamos el origen de la IP:
 
09 Identificar El Origen Geografico De Una Direccion Ip
 
Por último, podemos procedemos a bloquear la IP sospechosa:
 
10 Activar El Bloqueador De Ip
 
Accedemos al sistema de bloqueo, y bloqueamos la IP:
 
11 Bloquear La Ip
 
6. Mantenga una política de contraseñas fuertes.  Entre mejor sea el nivel de complejidad de una clave, más difícil se la ponemos a los hackers. Por ejemplo:
 

wPGW4+V%t[xz@ASJ

 
Esta es una contraseña mucho más segura.
 
7. Elimina bases de datos que no uses. Las bases de datos que no se usan, ayudan a saturar la memoria RAM, y esto no le conviene a ninguno de los usuarios de un mismo servidor.
 
Aunque estas son apenas las recomendaciones mínimas ya que existen muchas otras especializadas, y sabemos que no hay ingún sistema de seguridad con la suficiente fortaleza para evitar a los hackers, la idea con este protocolo es poner el nivel de dificultad mucho más alto, y poder anticipar los riesgos potenciales que supone estar en la web.
 
Agradecemos que por favor realices una revisión de tu portal, para así tener un sitio web limpio de vulnerabilidades, y disponible al 100% para todos tus visitantes.
 
Si tienes dudas de por dónde empezar, contáctame para poder ayudarte vía WhatsApp al +573115311489.
 
Si llegaste hasta el final, gracias por manifestar tu deseo de aprender más y más sobre la seguridad de los portales web.
 
Si has tenido algún tipo de incidente, me gustaría que lo compartieras aquí en los compentarios para poder aprender de la experiencia de todos nuestros lectores.
 
Dale "Me gusta" y Comparte para que esta nota le sirva a otras personas que tienen problemas con la seguridad de sus sitios web.
Modificado por última vez enMartes, 05 Septiembre 2017 21:56
(0 votos)
Visto 54 veces