Consejos básicos para asegurar una web
24 de marzo de 2010 | Autor: patripe
Medidas de seguridad básicas:
- Si instalas un Gestor de Contenidos como Joomla, Drupal, WordPress, … instala las actualizaciones y parches que se publican periódicamente. Además de aplicar medidas de seguridad básicas.
- Si instalas un componente de terceros, añadéle alguna medida adicional de seguridad. Por ejemplo si es un componente de contacto o formulario, crea un campo de texto y colócalo en una capa <div> oculta, si algún robot de spam completa ese campo (ya que no se visualiza en pantalla), haz que el formulario se envÃe al correo electrónico como chivato. Esta técnica se puede aplicar para cualquier formulario.
¿
Cómo saber que me atacan?
Puedes poner chivatos en varios sitios de la web, pero desconfÃa si:
- Revisando los logs del servidor hay una ip (o un rango de ip) probando toda la web muchas veces al dÃa.
- Hay una ip que intenta completar los formularios constantemente.
- Mi sitio ha aumentado de visitas. (Échale un vistazo a los logs, por si acaso)
¿Qué puedo hacer?
- Lo primero, que no cunda el pánico, si tienes unas medidas de seguridad básicas mediante el fichero .htaccess, el robots.txt, los permisos del servidor, etc… Es solo un aviso, y todavÃa se puede actuar:
- Restringe los permisos del servidor y habilitalos solamente en los directorios donde sea necesario escribir. Cambiar permisos a 755 aplicando a todos los subdirectorios y ficheros.
- Si un componente de terceros necesita permisos en muchos directorios de escritura 777 casi es mejor no instalarlo fuera de un entorno de desarrollo. Es una vulnerabilidad importante en el servidor.
- Evita usar flash: Hay componentes que quedan muy bonitos (como flash), pero que son tremendamente inseguros, intenta utilizarlos lo menos posible. Existen alternativas en javascript, jquery, mootols, más seguras.
- Haz pruebas sobre tu sitio web como si fueras un atacante. Aquà tienes programas para hacer pruebas tanto de caja negra como de caja blanca.
- Haz copias de seguridad semanales o diarias, en función del tráfico del sitio y de las actualizaciones. Esto siempre te permite volver a un estado anterior a la catarsis.
Y sobre todo recuerda: Solo los paranoicos sobreviven...
Este artÃculo es un poco como las capÃtulos de las series, que recuerdan la última temporada con mogollón de recortes (hasta he reutilizado la foto), 
Publicado en A Fondo [Desarrollo Web], General, Sistemas de Administración de Contenidos (CMS), Sistemas operativos | 
Etiquetas: asegurar un sitio, ataque, caja blanca, drupal, joomla, prevenir, pruebas de caja negra, segura, seguridad, spam, web