10 consejos para mejorar la
seguridad de nuestro sitio web

6. Encriptar la información
sensible

Es buena idea encriptar los datos que se almacenan, para que en caso de que alguien entre a la base de datos de nuestro servidor no pueda leer la información, sino que únicamente verá letras y números sin sentido.

Es el caso de las contraseñas o de los números de cuentas bancarias, información que siempre debería estar encriptada utilizando algún algoritmo creado para ello.

7. Realizar copias de seguridad
periódicas

Los backups también nos garantizan tener salvada nuestra información en caso de sufrir algún tipo de evento catastrófico.

No hagáis la copia en vuestro propio equipo, sino en algún soporte externo que esté guardado en un lugar diferente a donde tengamos el servidor.

8. Buscar vulnerabilidades

Es muy importante realizar algún tipo de auditoría en nuestro sitio en busca de cualquier tipo de vulnerabilidades. Hay varias herramientas que se encargan de realizar de forma automática este tipo de análisis, como pueden ser Nikto o W3AF.

Este tipo de herramientas, suelen lanzar gran cantidad de llamadas HTTP para tratar de obtener información que mostrar al usuario, indicando aquellas vulnerabilidades que hayan sido encontradas.

9. Configurar las cookies para
que sean hrrponly y secure

Si configuramos las cookies como "secure" estaremos consiguiendo que sólo se intercambien entre el navegador y tu aplicación por medio del protocolo HTTPS.

Al marcarlas como "httponly", evitaremos que haya scripts que puedan acceder a la información almacenadas en ellas, reduciendo las posibilidades de sufrir un ataque de tipo cross-site scripting.

10. Apostar por un proveedor
de hosting de confianza

Es muy importante que un proveedor de hosting tenga algún sistema de detección y prevención de intrusos.

Una buena práctica, consiste en bloquear los protocolos considerados de administración de tal forma que sólo se pueda acceder desde las direcciones IP que normalmente emplee el usuario para su gestión.

1. Seguimiento de las
aplicaciones instaladas

Existen herramientas facilitan mucho el trabajo de poner
en marcha un sitio web nuevo pero también se pueden convertir en un importante problema de seguridad
si no realizamos un seguimiento de las actualizaciones que van lanzando periódicamente.

El proceso de actualización suele ser algo muy sencillo, por lo
que prácticamente cualquier persona podría ser capaz de realizar esta acción.

2. Recomendaciones de seguridad
a la hora de programar una pagina
web

Si en vez de apostar por una herramienta de código abierto preferimos una página web hecha a medida, es muy importante tener en cuenta una serie de recomendaciones de seguridad a la hora de programar. Entre las mas importante tenemos:

Establecer filtros necesarios para determinar si cada campo de entrada de datos tiene el formato y la longitud esperada.

Eliminar caracteres especiales o escaparlos, eliminándolos si no son necesarios.

No permitir la carga de código HTML en aquellos campos que no sea necesario.

Bloquear la carga de contenido de páginas remotas.

3. Archivos de configuración
del servidor

Dependiendo del tipo, podemos encontrarnos el archivo .htaccess en servidores Apache, nginx.conf en servidores que tengan instalado Nginx o web.config en aquellos que utilizan Microsoft IIS.Entre las cosas que sería interesante que configurásemos desde este tipo de archivos, podemos destacar:

Prevenir la exploración de directorios. Con esto, estaremos evitando que los usuarios puedan acceder al contenido de cada directorio que forma parte del sitio web.

Evitar imagen hotlinking. No se trata en sí de una mejora de la seguridad, pero sí que estaremos evitando que otras personas puedan enlazar las imágenes que tengamos subidas en nuestro servidor en sus webs.

Proteger los archivos sensibles. Desde este tipo de ficheros de configuración, podemos proteger ciertos archivos y carpetas que sean importantes para el buen funcionamiento del sitio.

4. Instalar SSL

El uso de certificados de seguridad no mejoraría la seguridad de nuestro sitio, pero sí que ayudaría a mejorar la seguridad de la información que se mueve por ella.

Este tipo de certificados de seguridad, lo que hace es encriptar la información que se envía por la página web, impidiendo que alguien que intercepte el tráfico pueda descifrar los datos enviados, a no ser que también consigue la clave de encriptación.

5. Gestionar los permisos
de los archivos

Un fichero tiene disponible tres permisos y cada uno de ellos está representado con un valor:

Leer (4): Ver el contenido del archivo

Escribir (2): Modificar el contenido del archivo

Ejecutar (1): Ejecutar el archivo de programa o script

También nos encontramos tres tipos de usuarios diferentes:

Propietario: Por lo general hace referencia a quien lo ha creado, aunque esto se puede cambiar

Grupo: A cada archivo se le asigna un grupo y cualquier usuario que forme parte de ese grupo obtendrá esos permisos

Público: El resto de usuarios