No hace falta tener el website más importante de la red para estar sujeto al ataque de hackers y visitantes no deseados. Esto siempre ha pasado, pero el número de amenazas, intentos de utilizar tu servidor de forma ilegal, como server de spam, o de ficheros sospechosos utilizándose scritps automáticos es creciente. Por este motivo, es crítico optimizar la seguridad del website. Para ello hay diferentes fórmulas que, no siendo perfectas, son aconsejables.
Mensajes de error en los formularios
Muchas empresas tienen la costumbre de personalizar los mensajes de alerta cuando un formulario no es rellenado correctamente. Esto ocurre por ejemplo cuando se tiene un formulario de contacto, o un formulario de autenticación. En el login, normalmente tenemos dos campos, uno para el nombre de usuario y otro para la contraseña. Un mensaje que especifica que uno de los campos es correcto/incorrecto facilita el ataque de fuerza bruta, pues el script utilizado por el hacker ya conoce uno y solo necesita centrarse en el siguiente.
Contraseña
La mayoría de los portales modernos aconseja a sus usuarios que tengan contraseñas complejas, y es una práctica recomendable aunque estos no siempre lo cumplan. Pero la seguridad es lo más importante y forzar un número mínimo de caracteres incluyendo algún número y letra mayúscula es importante.
Además de buenas recomendaciones, a nivel de servidor hay que encriptar los valores de las contraseñas utilizando algún algoritmo de hash, MDA o SHA. De esta forma solamente se comparan valores encriptados cuando los usuarios autentican. Otras técnicas de criptografía son utilizadas. Los CMSs más importantes del mercado ya vienen con un gestor de usuarios y en condiciones normales ya con las propiedades de seguridad integradas.
SSL (y TLS)
SSL, Secure Sockets Layer, o “capa de conexión segura” en castellano y TLS, Transport Layer Security, “seguridad de la capa de transporte” son protocolos que sirven para proporcionar seguridad en la red. Se recomienda utilizar un certificado de seguridad cuando se pasa información entre un servidor y la página web. A pesar de estar sujeto a vulnerabilidades, utilizando este protocolo con las herramientas correctas se puede impedir que se roben datos de acceso de usuarios y obviamente datos personales.
XSS
El XSS, Cross-site scripting es un clásico agujero de seguridad que los intrusos utilizan, de forma directa, o indirecta para introducir código malicioso, en Javascript por ejemplo, en un formulario. Es importante comprobar los datos enviados en los formularios de nuestro site y retirar las etiquetas HTML de cualquier cadena.
Software Actualizado
Si nuestro negocio tiene un website, hay que cuidarlo diariamente. Tener el software actualizado, siempre que posible, debe ser una prioridad. Eso se aplica tanto al software del servidor como al CMSs que tengamos configurado. Los hackers y sus scripts no duermen y cuanto más popular sea el software que utilicemos a más ataques estamos sujetos.
En relación al hosting, la preocupación por la seguridad debe ser mayor si el site no está alojado en un hosting compartido, un vez que la empresa contratada debe tener en cuenta las actualizaciones de seguridad.
Drupal, Wordpress, entre otros, notifican a los administradores de plataformas desarrolladas con estos sistemas sobre nuevas actualizaciones de seguridad, o en el dashboard, en el momento del login, o por e-mail.
Existen muchos más métodos y factores importantes para optimizar la seguridad del website y es importante no pasarlos por alto. La inyección SQL , y el control del tipo de ficheros que se permiten que los usuarios suban a la plataforma son dos de ellos.
Herramientas de Test
Hay diferentes herramientas de seguridad en la red. Algunas de pago, otras gratis. Estas permiten realizar testes que simulan el comportamiento de los scripts de los intrusos y permiten hacer un estudio de las vulnerabilidades existentes en nuestro sistema, o plataforma, permitiéndonos actuar antes que los hackers.
Wordpress & Drupal
Wordpress y Drupal tienen módulos (o plug-ins) que ayudan en este proceso de optimización y verifican la existencia de las vulnerabilidades más comunes en nuestra plataforma.
Copias de seguridad
Independientemente de que el website sea seguro, siempre es importante tener un backup de la plataforma. Siempre pasan cosas. Tener una copia de seguridad del contenido, base de datos y ficheros es importante debe ser hecho con regularidad.
Fuentes:
