10 consejos para mejorar la seguridad de nuestro sitio web

Plus de détails

SOPORTE TÉCNICO

par Nathaly Vera

CASO LABORATORIO FERMEX S.A

par Leidy Palacios Ortiz

Gestión de Riesgos y Marcos de Referencia

par Tania Huerta

Mapa mental historia de la SST

par Sharisa Arteta

10 consejos para mejorar la seguridad de nuestro sitio web

5. Gestionar los permisos de los archivos

También nos encontramos tres tipos de usuarios diferentes:

Público: El resto de usuarios

Grupo: A cada archivo se le asigna un grupo y cualquier usuario que forme parte de ese grupo obtendrá esos permisos

Propietario: Por lo general hace referencia a quien lo ha creado, aunque esto se puede cambiar

Un fichero tiene disponible tres permisos y cada uno de ellos está representado con un valor:

Ejecutar (1): Ejecutar el archivo de programa o script

Escribir (2): Modificar el contenido del archivo

Leer (4): Ver el contenido del archivo

4. Instalar SSL

Este tipo de certificados de seguridad, lo que hace es encriptar la información que se envía por la página web, impidiendo que alguien que intercepte el tráfico pueda descifrar los datos enviados, a no ser que también consigue la clave de encriptación.

El uso de certificados de seguridad no mejoraría la seguridad de nuestro sitio, pero sí que ayudaría a mejorar la seguridad de la información que se mueve por ella.

3. Archivos de configuración del servidor

Dependiendo del tipo, podemos encontrarnos el archivo .htaccess en servidores Apache, nginx.conf en servidores que tengan instalado Nginx o web.config en aquellos que utilizan Microsoft IIS.Entre las cosas que sería interesante que configurásemos desde este tipo de archivos, podemos destacar:

Proteger los archivos sensibles. Desde este tipo de ficheros de configuración, podemos proteger ciertos archivos y carpetas que sean importantes para el buen funcionamiento del sitio.

Evitar imagen hotlinking. No se trata en sí de una mejora de la seguridad, pero sí que estaremos evitando que otras personas puedan enlazar las imágenes que tengamos subidas en nuestro servidor en sus webs.

Prevenir la exploración de directorios. Con esto, estaremos evitando que los usuarios puedan acceder al contenido de cada directorio que forma parte del sitio web.

2. Recomendaciones de seguridad a la hora de programar una pagina web

Si en vez de apostar por una herramienta de código abierto preferimos una página web hecha a medida, es muy importante tener en cuenta una serie de recomendaciones de seguridad a la hora de programar. Entre las mas importante tenemos:

Bloquear la carga de contenido de páginas remotas.

No permitir la carga de código HTML en aquellos campos que no sea necesario.

Eliminar caracteres especiales o escaparlos, eliminándolos si no son necesarios.

Establecer filtros necesarios para determinar si cada campo de entrada de datos tiene el formato y la longitud esperada.

1. Seguimiento de las aplicaciones instaladas

El proceso de actualización suele ser algo muy sencillo, por lo que prácticamente cualquier persona podría ser capaz de realizar esta acción.

Existen herramientas facilitan mucho el trabajo de poner en marcha un sitio web nuevo pero también se pueden convertir en un importante problema de seguridad si no realizamos un seguimiento de las actualizaciones que van lanzando periódicamente.

10. Apostar por un proveedor de hosting de confianza

Una buena práctica, consiste en bloquear los protocolos considerados de administración de tal forma que sólo se pueda acceder desde las direcciones IP que normalmente emplee el usuario para su gestión.

Es muy importante que un proveedor de hosting tenga algún sistema de detección y prevención de intrusos.

9. Configurar las cookies para que sean hrrponly y secure

Al marcarlas como "httponly", evitaremos que haya scripts que puedan acceder a la información almacenadas en ellas, reduciendo las posibilidades de sufrir un ataque de tipo cross-site scripting.

Si configuramos las cookies como "secure" estaremos consiguiendo que sólo se intercambien entre el navegador y tu aplicación por medio del protocolo HTTPS.

8. Buscar vulnerabilidades

Este tipo de herramientas, suelen lanzar gran cantidad de llamadas HTTP para tratar de obtener información que mostrar al usuario, indicando aquellas vulnerabilidades que hayan sido encontradas.

Es muy importante realizar algún tipo de auditoría en nuestro sitio en busca de cualquier tipo de vulnerabilidades. Hay varias herramientas que se encargan de realizar de forma automática este tipo de análisis, como pueden ser Nikto o W3AF.

7. Realizar copias de seguridad periódicas

No hagáis la copia en vuestro propio equipo, sino en algún soporte externo que esté guardado en un lugar diferente a donde tengamos el servidor.

Los backups también nos garantizan tener salvada nuestra información en caso de sufrir algún tipo de evento catastrófico.

6. Encriptar la información sensible

Es el caso de las contraseñas o de los números de cuentas bancarias, información que siempre debería estar encriptada utilizando algún algoritmo creado para ello.

Es buena idea encriptar los datos que se almacenan, para que en caso de que alguien entre a la base de datos de nuestro servidor no pueda leer la información, sino que únicamente verá letras y números sin sentido.