Consejos de Seguridad Web

A quién deben ir dirigidos los consejos para tener una página Web segura

Si echamos un vistazo a los consejos habituales sobre cómo mantener tu Web segura, probablemente nos perdamos en detalles técnicos. Suelen estar más orientados a profesionales o intermediarios de la seguridad en internet.

Pero, ¿acaso un cliente final está buscando información sobre consejos para tener una página Web segura? Probablemente no, pero siempre se le puede asesorar y quien lea esto puede seguir este argumentario para hacer 2 cosas:

  • Explicar al cliente porqué es importante un plan de seguridad para su Web existente o la que está por crear.
  • Explicar cuáles son los puntos básicos en la seguridad de la Web de manera que el o ella lo pueda entender.

Vamos a repasar rápidamente cuáles son los imprescindibles en la seguridad de tu página Web en un orden poco habitual y vamos a separar a cliente y desarrollador en el proceso:

Los 4 consejos de Seguridad Web para el cliente:

  1. Copia de seguridad (Pregunta a tu empresa de hosting si hace copias automáticas):
    La mayoría de artículos Web mencionan este punto en los últimos lugares porque no está considerado parte del sistema preventivo de seguridad ni reemplazo de éste, sin embargo es el pilar fundamental en todo plan de seguridad. Es el plan B cuando la seguridad principal falla pero lo que de verdad te dejará tranquilo de cara a afrontar el desastre.

    1. Debes tener copias automáticas y de varios días a la vez.
    2. Debes tener una copia fija mensual, trimestral o anual en el peor de los casos descargada y offline.
    3. Debe ser sencillo de restaurar en caso de un desastre. De nada sirve una copia de seguridad si no puedes usarla para restaurar tu Web ante un problema.

  2. Actualizaciones (Pregunta al desarrollador de tu Web si actualizará tu Web):
    Mantener tu Web actualizada es el capítulo primero de toda seguridad activa. La mayoría de Webs actuales están basados en un sistema CMS como WordPress, Joomla, Prestashop, Magento, etc. y se vuelven vulnerables cuando no se actualizan en un tiempo.

        1. Las actualizaciones deberían producirse todos los meses y ejecutarse de manera manual. Una mala actualización puede dejar una Web inoperativa por lo que no es buena idea dejar que tu Web se actualice sola. Es importante que una persona encargada realice dicha operación y compruebe después que todo está en orden. En caso de no estarlo, poder restaurar una copia de seguridad.
        2. Para obtener la máxima seguridad, es recomendable contratar un Firewall WAF (cortafuegos para Web) que pueda mantener tu Web segura aunque no esté actualizada. Sucuri.net ofrece servicios de Limpieza de Malware además de cortafuegos para Web.


  3. Política de contraseñas (Puedes hacerlo tu)
    Este es uno de los puntos que menos esfuerzos y recursos requiere pero a pesar de ello, siempre se pasa por alto.

    1. Crea tus propias contraseñas y que sean completamente aleatorias. El mejor sistema es teclear de manera aleatoria para crear la contraseña sin pensar en palabras legibles.
    2. Que tu contraseña tenga al menos 9 caracteres. Lo óptimo son más de 12 caracteres.
    3. Que tus contraseñas tengan siempre minúsculas, mayúsculas y una cifra. Para mayor seguridad, incorpora un símbolo como @ o %.
    4. Utiliza contraseñas diferentes para el backoffice de tu Web, correo electrónico, panel de control de tu proveedor de hosting, etc.
    5. Apunta tus contraseñas en un documento txt en un pendrive y ponlo a buen recaudo. A ser posible, que no esté conectado de manera permanente a tu ordenador. Evidentemente, si tus contraseñas son seguras, lo más probable es que no te acuerdes de ellas por tanto si quieres tener a mano el poder visualizar esas contraseñas en todo momento, puedes utilizar un programa para almacenar contraseñas como Keypass

  4. SSL en tu Web (Pregunta a tu empresa de hosting si tiene certificado SSL gratuito)
    El certificado SSL no hace nada por proteger tu página Web contra ataques. A quien protege es al usuario a la hora de navegar por tu página Web porque asegura que nadie pueda interceptar sus datos cuando introduce datos en la Web como los que introduce cuando se registra para una compra o rellenar un formulario de contacto.

Consejos de seguridad Web adicionales para el desarrollador:

  1. Instancias de Hosting aisladas
    Alojar muchos sitios Web en un solo servidor es económico y puede parecer la solución ideal, sobre todo si tienes un plan de hosting “ilimitado”. Sin embargo cuanto más sitios Web alojes en un solo lugar, mayor es el área de ataque y más atractivo resulta para un hacker. Lo que resulta aún peor, es que los planes no estén “aislados” entre si y una Web alojada en un “hueco” del servidor sea accesible por un script alojado en otro “hueco” del mismo servidor.
    En alojamientos Web o servidores que no están correctamente configurados para proporcionar instancias de hosting completamente aisladas unas de otras, es común ver una Web ser infectada y propagarse la infección al resto de Webs del mismo servidor. Es lo que comúnmente se llama cross-site-contamination (Contaminación cruzada de sitios Web).
    Asegúrate de tener un servicio de Hosting o Servidor dedicado con instancias de alojamiento aisladas unas de otras.


  2. Cambiar los valores del CMS por defecto
    La mayoría de ataques perpetrados contra sitios Web están automatizados. Estos ataques generalmente dependen de que la Web tenga configurada opciones por defecto. Por ejemplo, una página Web WordPress, tal como viene configurada por defecto tendrá la url con /wp-admin como acceso al área privada. Recuerda cambiar las opciones por defecto de una instancia CMS.


  3. Selecciona con cuidado los Plugins (extensiones) que vayas a utilizar
    Selecciona bien los plugins con los que vas a trabajar mirando:

    1. Cuándo se actualizó el plugin por última vez.
    2. El número de instalaciones totales del plugin.
    3. Que esté disponible desde un sitio legítimo como https://es.wordpress.org/plugins/ o https://themeforest.net.

  4. Comprueba los ficheros de configuración del servidor
    Repasar la seguridad de los ficheros de configuración del servidor Web mirando:

    1. Prevenir listar el contenido de un directorio para que los atacantes no puedan ver el contenido de los directorios Web de un servidor.
    2. Proteger ficheros sensibles a ser atacados. Los ficheros de configuración de una Web son sensibles a ataques dado que suelen contener el acceso a la base de datos en texto plano.
    3. Prevenir el “hot-linking” de ficheros para prevenir que desde Webs externas puedan enlazar a las imágenes en tu sitio Web.

  5. Permisos de ficheros
    Comprobar que los permisos de los ficheros Web sean los correctos. Generalmente los CMS vienen ya configurados por defecto con los permisos correctos por lo que no es recomendable cambiar los permisos siempre que alguien te diga que la solución a un problema de permisos es ortorgar permisos a una carpeta concreta.