Medidas de seguridad para los sitios web - Expressiones - Hosting Express | Registro de dominios | Web Hosting | Shoutcast | Resellers | Servidores | Streaming | VPS | Email Marketing | Coldfusion

Vaya al Contenido

Menu Principal:

Medidas de seguridad para los sitios web

Publicado por HostingExpress en Conceptos Generales · 18/12/2014 10:23:00





Es importante que mantenga actualizados los scripts que instale, directamente o a través de cualquier auto-instalador.\n Si no lo haces acabarán por explotar alguna vulnerabilidad o problema \nde seguridad que se le haya descubierto en la versión que uses y se \nencontrará con su web hackeada, bases de datos cambiadas o con que le \nhan robado las contraseñas, los datos de sus visitantes o han hecho spam\n desde su cuenta mediante algún script.

Estos problemas son mas \nfrecuentes y los sitios vulnerables por tanto uso de scripts freeware \n(cms, foros, contadores, libros de visitas, formmails). Los hackers \nexplotan las mismas funciones que los usuarios usan regularmente, por lo\n que no se pueden desactivar todas las funciones pues son las mismas \nfunciones que necesitan los usuarios para los scrips. Deshabilitar todas\n las funciones posibles que un hacker puede utilizar dejaría su servidor\n o servicio completamente no funcional.

Más del 99% de los hacks \nvienen de scripts php inseguros (cms). Estas inseguridades en los \nscripts php provienen del código de programación, y por lo tanto no hay \nabsolutamente ninguna manera de encontrar "todos" los scrips inseguros. \nHackeos remotos son extremadamente raros. Si no hay contraseñas débiles,\n y no hay guiones inseguros de php, tiene una oportunidad muy rara de \nser hackeado. Al mantener todos sus script a la fecha, eliminar las \nsecuencias de comandos sin usar y eliminar las secuencias de comandos \ninseguros, entonces las probabilidades de ser hackeado por el método más\n común es muy reducido.

La protección extra en el servidor, se \nocupa de limitar los posibles daños, algunos ejemplos de protección de \nlos servidores, son las normas anti-exploit o anti-inyecciones\n SQL, las cuales, cuando detectan algun “patrón malicioso” dentro de un \nacceso URL, lo bloquean. Los servidores también disponen de \nmod_security, mod_evasive, mod_rewrite y corta fuegos y antivirus que, \nfrustran muchos de los intentos de intrusión no deseados sin apenas \narrojar falsos positivos, pero su actuar se dificulta cuando el sitio \nweb es la raíz del problema.

POR LO ANTERIOR LE SOLICITAMOS LE INDIQUE A SU WEB MASTER LLEVA A CABO LAS SIGUIENTES MEDIDAS,

*\n Utilice siempre contrasenas alfanumericas minimo de 10 caracteres y \ncambiar las contrasenas con frecuencia. ( Por favor no use contraseñas \ndel tipo minombre2010 aunque es alfanumerica es muy sencilla por la \nsecuencia logica )

* Mantenga las actualizaciones al dia de sus \nPHP cms. Siempre debe mantener los scripts actualizados a la ultima \nversion estable.

Hay que tener siempre en cuenta que, las \ncorrecciones de seguridad, a mas alto o bajo nivel, se aplican sobre las\n siguientes liberaciones del CMS, por lo tanto y por ejemplo, si en su \ncms ya sea joomla, worpress, PHP NUKE o cualquier otro, se detectaron \nfallas de seguridad a niveles criticos, estas, no se corrigieron en \ndicha version, sino mas bien a partir de las siguientes.

Existen \ngran cantidad de extensiones programadas por terceros (a instalar \nposteriormente al CMS) que no estan bajo el control de calidad del cms \nsino de los respectivos autores de cada una de dichas extensiones, estas\n extensiones regularmente las encuentran gratis para su descarga pero \nbajo un aspecto de procedencia no segura, pueden haber sido pobremente \nprogramadas maliciosamente por sus respectivos autores o carecer de \nsoporte o actualizacion en ese sentido.

* Usar scrips de \nsecuencias de comandos de los desarrolladores de confianza que tienen un\n buen historial registro de mantenimiento y actualizacion de sus \nguiones.

* Permisos de uso seguro-Nunca utilizar los permisos 777 o 666 en las carpetas de archivos.

* MUY IMPORTANTE: Elimine cosas que no estan utilizando-Una\n practica muy comun es explotar cuentas abandonados y scrips que no se \nactualizan. Los clientes a menudo instalan scripts para las pruebas y se\n olvidan de ellos, posteriormente son explotados y utilizados para \nsecuestrar todas las cuentas de hospedaje.

No use su sitio para almacenar.

* Deshabilitar las cuentas de FTP anonimo.

Revisen\n los modulos de terceros que han instalado, pues aunque actualicen sus \ncms los modulos de terceros sin soporte no se actualizan y siempre \ntienen algun tipo de riesgo de seguridad.

Por favor, asegúrese de\n que el equipo que administrara esta cuenta este libre de virus, \ntroyanos y malware, pues son comúnmente utilizados para robar \ncontraseñas y después hacer mal uso de su cuenta.

No use \nprogramas piratas o crackeados ( Sobre todo antivirus ), ese tipo de \nprogramas no son confiables y pueden traer su propio código malicioso.

Es muy importante que no usen programas piratas o de los llamados crakeados para construir sus sitios.

Tenga\n en cuenta que no importa cuánto de seguridad se tiene, la seguridad \nnunca es suficiente, tenerla 100% a prueba de piratas informaticos es \nimposible, incluso empresas multimillonaria, tales como bancos, el \ngobierno, las compañías de tarjetas de crédito, que invierten millones \nen este tema tienen problemas de hackeo.

Sabemos que a veces es \nlaborioso hacer estas actualizaciones, aunque cuando se han hecho un par\n de veces uno se da cuenta de que no es tan difícil. Y no es excusa para\n no actualizar sus scripts y mantener su sitio web lo mas seguro \nposible.



sin comentarios

 
Regreso al contenido | Regreso al menu principal