Consejos de 7 para ayudar a proteger su sitio web contra ataques de piratería

Artículo escrito por:
  • Artículos destacados
  • Actualizado: mayo 06, 2019

La web no se trata solo de negocios. Miles de millones de páginas y entradas de blog se escriben todos los días., cada segundo, por pequeños propietarios de sitios web y blogueros que buscan compartir sus puntos de vista con el mundo. Ese es el encanto de la Web: proporciona un espacio para todos y para cualquier tipo de proyecto.

Posibilidades infinitas.

Pero Internet también es una jungla salvaje: oculta peligros en todos los rincones y nada de lo que usas es simplemente una magia a prueba de tontos. Si ejecuta una empresa en línea sin fines de lucro o de negocios en solitario, en particular, se da cuenta de que trasladar todas las transacciones a la Web puede traducirse en precaución adicional con respecto a sus servicios.

La seguridad es un aspecto verdaderamente crucial que se debe tener en cuenta al planificar su sitio web: ¿cómo puedo proteger mi contenido y mi trabajo duro contra los atacantes? ¿Cómo puedo proporcionar la mejor experiencia de usuario posible? Estas son preguntas que debe hacerse cada vez que actualice su sitio web.

¿Por qué este artículo y por qué 7 Tips?

Asegurar su sitio de una manera fácil, n00b-ish puede ser más utopía que realidad, pero eso no significa que alguien que no sea un programador o un informático no pueda agregar algo de seguridad a su sitio web. Elegí siete consejos que son fáciles de aplicar y lo suficientemente profundos como para despertar tu curiosidad por los problemas de seguridad, para que TÚ te conviertas, lenta pero implacablemente, en tu propio experto en seguridad web. Todos los consejos son específicos para la piratería web y también presentaré técnicas que puede usar para probar su sitio web en busca de agujeros de seguridad. No se preocupe: nada demasiado difícil de hacer, pero es importante que se familiarice con las herramientas y técnicas simples que pueden evitar ataques, por el bien de sus proyectos. :)

¡Que se diviertan!

Consejo #1: invierte un poco más en tus contraseñas

El agujero de seguridad web número uno es el uso de la misma contraseña en más sitios web o servicios web. Un hacker que descubra una contraseña habrá descubierto todas sus contraseñas y tendrá fácil acceso a todos sus datos, ya sea su blog o su cuenta PayPal. Mantener una lista de sus contraseñas en papel o archivo tampoco es una alternativa segura (a menos que proteja sus archivos con contraseña) porque alguien que piratee su computadora tendrá acceso fácil a su base de datos.

Pero, ¿qué pasa si no puede llegar a una contraseña decente?

  1. Usa un generador de contraseñas fuerte para generar una contraseña difícil de descifrar, que incluya símbolos alfanuméricos y alternativos. Cuanto más aleatoria o pseudoaleatoria sea una cadena de símbolos (es decir, los símbolos de la contraseña no tienen memoria interna, no están relacionados entre sí, por lo que cada símbolo tiene las mismas posibilidades de aparecer después de otro), más seguro es.
  2. Usa Password Safe para guardar y cifrar todas sus contraseñas, que puede desbloquear recordando una frase de contraseña. El programa utiliza el Algoritmo doble para cifrar todas las contraseñas Password Safe es un proyecto de código abierto de Windows desarrollado por Bruce Schneier. Si no usas Windows, Contraseña gorila es una alternativa válida de código abierto para Password Safe.

Aquí hay una vista frontal de Password Safe con una base de datos llamada 'Sitios web':

Vista segura del programa de contraseña

Aquí están los detalles de un archivo dentro de la base de datos 'Sitios web':

Ver archivo seguro de contraseña

Consejo #2 - Cuida bien tus guiones

Es bien sabido que los scripts del sitio web y las plataformas CMS son el vehículo principal de los ataques de piratería. Si aloja scripts escritos en PHP, ASP y JavaScript, sepa que pueden tener agujeros de seguridad y errores que sus desarrolladores podrían haber pasado por alto. Además de ponerse en contacto con el desarrollador inmediatamente después de descubrir uno de los problemas mencionados anteriormente, existen métodos no técnicos que puede utilizar para asegurarse de que sus scripts no lo dañarán:

  • Lea detenidamente el documento de versión de su script: a menudo contiene detalles sobre parches y correcciones de errores
  • Enumere las advertencias de su instalador de software o del panel de administración o incluso de Google (a través de las Herramientas para webmasters): si necesita actualizar o editar / eliminar un archivo, hágalo
  • No instale todos los complementos existentes: compruebe primero las compatibilidades y las notas de seguridad.

Además, y este es quizás el factor más importante, siempre mantenga siempre actualizados sus scripts y CMS. El último paquete de un software generalmente contiene parches para los errores y problemas de seguridad de la versión anterior.

Ejemplo: advertencia de actualización de WordPress desde Softaculous

Advertencia de actualización suave

Consejo #3 - Realice las revisiones regulares de la carpeta y del panel de administración

A veces, los piratas informáticos se entrometen en su sitio de forma silenciosa, furtivos como gatos, pero dejan atrás los desastres: falsificaciones del sitio, archivos multimedia que contienen virus, ejecutables y páginas web recodificadas. Revise sus carpetas regularmente, al menos una vez cada dos semanas, para asegurarse de que sus archivos no tengan problemas. Si detecta archivos que no reconoce, elimínelos de inmediato. Si eso no funciona, comuníquese con su proveedor de alojamiento web y obtenga asistencia (Esto es cuando más se necesita un buen servidor web.). En esos casos:

  • Cambie su contraseña del panel de administración (y nombre de usuario, si es posible)
  • Realice una comprobación de todos los archivos para ver si han sido dañados
  • Si tienes un antivirus instalado, ejecútalo.

Consejo #4 - Autenticación segura

Los expertos en seguridad web utilizan muchos métodos para proporcionar una seguridad óptima a los sistemas y transacciones web en las que trabajan: criptografía de clave pública, cadenas de confianza, firmas, SSL y TSL (Seguridad de la capa de transporte). Si bien definitivamente debe aprender algo sobre la criptografía, es importante que comience aprendiendo cómo usar herramientas de autenticación multifactor simples preparadas por expertos:

Por qué lo necesitas autenticación de múltiples factores? Porque tomará para conocer su nombre de usuario, contraseña Y su token de uso una vez y luego desechar para obtener acceso a su contenido; De lo contrario, el acceso será denegado.

Si puede, busque un experto para que lo guíe a medida que aprende sobre seguridad web o use tutoriales y cursos en línea.

Consejo #5 - Cuidado con los ataques DDoS

Ataques de denegación de servicio evolucionan rápidamente y son peligrosos, junto con el secuestro del servidor y la sustitución de sus servicios por otros falsos.

Un ataque DDoS obliga al servidor a un estado en el que sus servicios normales no funcionan, y todo el sistema ya no está disponible para los usuarios finales.

¿Qué podría causar un ataque DDoS?

  • Una configuración de red abierta.
  • Aplicaciones no actualizadas con errores
  • Configuración de servidor no segura
  • Sin mantenimiento y / o monitorización de la actividad de la red.

Informe a su ISP sobre esta forma de ataque y también infórmese. Lo que puede hacer el host de su sitio web es configurar cada servidor con una lista de direcciones DNS alternativas, de modo que cuando el DNS predeterminado no esté disponible, todo el sitio web seguirá funcionando. Un pirata informático solo puede tener éxito en sus acciones cuando logra bloquear TODOS los servidores de la lista: trabajo duro, ¿no cree? Otra contramedida puede ser el filtrado de todos los paquetes entrantes con tiempos inusuales y / o de direcciones IP de alto riesgo. Su anfitrión debe tener conocimiento sobre los ataques de denegación de servicio, por lo que debe discutir con ellos sobre la prevención DDoS.

Consejo #6 - Acceso FTP seguro con SFTP

Nada cambia para usted, funciona igual que el FTP normal, pero SFTP, o FTP seguro, tiene muchos beneficios, desde el punto de vista de la seguridad:

  • Utiliza SSH para cifrar datos y comandos durante la transferencia de archivos
  • Utiliza las claves públicas del servidor del cliente para validar el servidor después de la conexión, para garantizar que no sea un intermediario
  • Hace imposible que un hacker escuche el tráfico de su red

El problema con el comando FTP 'regular' es que no está encriptado: todas las cargas y descargas hacia y desde el servidor se transmiten como datos claros.

Para acceder a FTP a través de la línea de comandos (si es un usuario de Unix / Linux / Mac OS) puede usar

sftp [email protected]

o simplemente descargue un programa FTP gratuito que admita SFTP, como FileZilla (fuente abierta).

Consejo #7 - Aprenda acerca de la inyección SQL para proteger su sitio contra él

Tenga cuidado con este desagradable método de piratería, mantenga sus scripts actualizados y comuníquese inmediatamente con el desarrollador de scripts si se encuentra con una violación de seguridad. Aquí se explica cómo ejecutar una prueba simple:

  • Ingrese el siguiente código SQL en su formulario web (nombre de usuario y contraseña):
    'O' t '=' t '; -
    que se convierte, a nivel de SQL:
    SELECCIONA * DESDE usuarios DONDE userid = 'admin' AND password = '' OR 't' = 't'; - '
  • ¿Devuelve el contenido de su base de datos?

El código podría funcionar (digo 'might' porque podrías tener la suerte de haber instalado un script muy seguro) porque 't' = 't' es una declaración matemáticamente verdadera, por lo que la solicitud SQL siempre se ejecutará. Un pirata informático bien informado podría construir declaraciones SQL muy elaboradas para lograr sus objetivos, así que asegúrese de contactar al desarrollador del script y obtener asistencia si el script que utiliza es fácilmente atacable. O cambiar el guión.

BONUS Tip #1 - Verifique regularmente los registros de su panel de administración

Sección de Registros de cPanel

Su panel de administración (cPanel, Plesk, etc.) incluye herramientas integradas para el análisis del tráfico, el acceso y los registros de seguridad que debe vigilar al menos una vez por semana.

Si usa cPanel, le recomiendo que revise su Estadísticas analógicas herramienta cada dos días, ya que la herramienta muestra informes detallados uno:

  • Solicitudes HTTP
  • Informes mensuales / diarios / por hora de la actividad del tráfico.
  • Remitentes, navegadores y sistemas operativos de los que proviene su tráfico

Las herramientas de registro son lo primero que debe ver cuando cree que su sitio web ha sido atacado.

BONUS Tip #2 - Realice copias de seguridad quincenales

Copia de seguridad cada dos semanas, o cada semana, si puede. Con plugins como Supsistica y a la Seguridad iThemes, incluso podría hacer copias de seguridad todos los días o cada tres días. Lo que cuenta es que constantemente descargas copias nuevas de tu contenido, listas para ser restauradas si algo malo sucede en el camino. Este artículo le mostró qué tipo de ataques podría sufrir su sitio web, y cómo combatirlos y prevenirlos, pero su arma más poderosa es realmente esta: reserva. Es la única forma de devolver su sitio web a su estado original, como si un pirata informático nunca pudiera jugar sus trucos sucios.

Resumen

Entonces, ¿qué necesitas hacer, esencialmente?

  1. Aprender. ¡El conocimiento es poder! Aprenda sobre criptografía, inyección de DDoS y SQL, scripting entre sitios (XSS) y otros tipos de ataques. Todo lo que pueda ayudarlo a desarrollar una visión completa de lo que sucede cuando su sitio web es pirateado. Cuanto más sepa, más podrá hacer para contraatacar.
  2. Mantenerse al día. Con descubrimientos, herramientas y actualizaciones de scripts. Este artículo ha destacado la importancia de actualizar y actualizar el software de su sitio para garantizar una protección más sólida contra los atacantes.
  3. Realiza controles regulares y copias de seguridad. Si hace una copia de seguridad, puede restaurar!
  4. Informe. Cuando las cosas se salgan de su control, informe los problemas a los desarrolladores de scripts, a las autoridades y a su host. Pueden hacer lo que tú no puedes.

Trucos de seguridad de la ingeniería de software

La ingeniería de software es un campo encantador que todo buen ingeniero e informático debe aprender a aplicar cuando desarrolle software. Pero, ¿sabías que también funciona al revés? Usted, el usuario, puede utilizar los conceptos de Ingeniería de software para tomar decisiones inteligentes entre los programas de sitio que le ofrecen los desarrolladores. Usted puede:

  1. Comprenda que un error puede provocar un grave pirateo de sus sistemas y la pérdida de datos
  2. Conozca las dimensiones de confiabilidad de 4 y úselas a su favor: disponibilidad, confiabilidad, seguridad y seguridad.
  3. Identifique todos sus posibles problemas de seguridad: pérdida de datos confidenciales / importantes, falla de ciertos servicios, altos costos de reconstrucción (tiempo, dinero).

¿Qué debe preguntarse antes de instalar y usar un script?

Confianza. ¿Puedo confiar en este software?

  • Disponibilidad ¿El script está fácilmente disponible para mí? ¿Es su desarrollador contactable para obtener ayuda de?
  • Confiabilidad ¿El guión funciona bien? ¿Tiene errores o me da problemas cuando realizo acciones relevantes para mis objetivos?
  • Seguridad ¿Los fallos de funcionamiento y los errores afectan gravemente la seguridad y el rendimiento?
  • Seguridad ¿El software tiene un módulo de seguridad incorporado? ¿Es algo que pueda manejar?
  • Reparabilidad Si algo sale mal, ¿puedo manejarlo?
  • Mantenibilidad ¿Puedo mantener este software por mi cuenta?
  • Supervivencia ¿El software seguirá funcionando bajo ataque? ¿Puedo recuperarme bien del ataque?

Tabla de Vulnerabilidades

  • Software loco; transmisión de datos transparente; errores; registros públicos
  • Humano contraseñas de baja resistencia; directorios desprotegidos; divulgación de datos sensibles; falta de mantenimiento del sistema y actualización / actualización

Acerca de Luana Spinetti

Luana Spinetti es una escritora y artista independiente radicada en Italia, y una apasionada estudiante de informática. Ella tiene un diploma de preparatoria en Psicología y Educación y asistió a un curso de 3 en Comic Book Art, del cual se graduó en 2008. Como persona multifacética como es, desarrolló un gran interés en SEO / SEM y en Web Marketing, con una inclinación particular hacia las redes sociales, y está trabajando en tres novelas en su lengua materna (italiano), que espera Indie publicar pronto.