9 consejos de seguridad básicos para proteger tu web
seguridad web
Seguridad web
Los sitios web están en peligro todo el tiempo. La mayor parte de los ataques a los sitios web no son para robar sus datos, sino para usar tu servidor para de correo electrónico spam o servir archivos de naturaleza ilegal . Otras formas muy comunes incluyen el uso de sus servidores como parte de una botnet o extraer Bitcoins. Incluso usar un ransomware.
El pirateo se basa en el uso de scripts automáticos para explorar Internet y explotar los agujeros de seguridad del sitio web. Estos son nuestros nueve consejos son para mejorar la seguridad de su sitio web.
01. Actualiza el software de tu sito web
Mantener todo el software actualizado es el primer y más importante consejo. Empezando por el sistema operativo del servidor y cualquier software que se ejecute en su sitio web. Si no se actualiza los hackers encontrarán fallos en la seguridad del sitio. Las actualizaciones corrigen esos fallos y dificultan el trabajo de los hackers.
En los alojamiento administrados, no necesitas preocuparte, ya que la empresas de alojamiento se encargan de esto.
Si utilizas software de terceros en su sitio web, tipo CMS o foro, debes aplicar rápidamente los parche de seguridad que se implementen.
02. Ataques mediante inyección SQL
La inyección SQL es uno de los ataque más comunes. Consisten en el uso de un campo de formulario web o parámetro de URL para acceder o manipular la base de datos. Esto puede evitarse fácilmente mediante uso de consultas parametrizadas, la mayoría de los idiomas web tienen esta característica y es fácil de implementar.
03. Ataques XSS como bloquearlos
Los ataques de scripting inyectan JavaScript malicioso, luego este se ejecuta en los navegadores de sus usuarios, y puede cambiar el contenido de la página o robar información. Asegúrese de que los usuarios no puedan inyectar contenido JavaScript en sus páginas.
04. Los mensajes de error dan información peligrosa
Cuidado con la cantidad de información que proporcionan sus mensajes de error. Por ejemplo, claves API o contraseñas de bases de datos. No proporcione detalles completos de excepciones, ya que estos pueden facilitar los ataques como inyección SQL. Muestre sólo la información que necesitan a los usuarios .
05. Validar en en los dos lados
La validación debe hacerse siempre en el navegador como y en el servidor. Debe asegurarse de verificar estas validaciones y un servidor de validación más profundo, ya que si no lo hace, facilita la inserción de código malicioso o código de script en la base de datos.
06. Usa contraseñas seguras en tu sitio web
Es importantísimo usar contraseñas seguras para el servidor y el área de administración del sitio web, debemos insistir esto a los usuarios para que protejan la seguridad de sus cuentas.
Las contraseñas deben almacenarse como valores cifrados.
Afortunadamente, muchos CMS añaden administración de usuarios para usar estas características de seguridad integradas.
07. Permisos en la subida de archivos
Permitir la carga de archivos en su sitio web por los usuarios aumente el riesgo de la seguridad del sitio web. Cualquier archivo cargado, podría contener un script que cuando se ejecuta, hacker completamente su sitio web.
Desea evitar que los usuarios puedan ejecutar los archivo que carguen. Puede cambiar el nombre del archivo al cargarlo para garantizar la extensión correcta del archivo o cambiar los permisos del archivo.
Puede además evitar el acceso directo a los archivos cargados. Así, los archivos se almacenan en una carpeta fuera de la raíz web. La mayoría de los proveedores de alojamiento manejan la configuración del servidor por usted.
08. Usar el protocolo HTTPS
El protocolo HTTPS es utilizado para proporcionar seguridad a través de Internet. Let’s Encrypt proporciona certificados totalmente gratuitos y automatizados. Google lo velará en las clasificaciones de su buscador. Si usas HTTPS, lo que también le brinda un beneficio de SEO.
09. Aprovéchate de las herramientas de seguridad del sitio web
Comprueba la seguridad de su sitio web. La mejor forma es mediante el uso de estas herramientas de seguridad.
Hay muchas de pago y gratuitas que pueden hacer la tarea.
Algunas herramientas gratuitas que vale la pena mirar:
Netsparker (edición comunitaria gratuita y versión de prueba disponible). Bueno para probar inyección SQL y XSS
OpenVAS afirma ser el escáner de seguridad de código abierto más avanzado. Bueno para probar vulnerabilidades conocidas, actualmente escanea más de 25,000. Pero puede ser difícil de configurar y requiere la instalación de un servidor OpenVAS que solo se ejecuta en * nix. OpenVAS es la bifurcación de un Nessus antes de convertirse en un producto comercial de código cerrado.
SecurityHeaders.io (verificación en línea gratuita). Una herramienta para informar rápidamente qué encabezados de seguridad mencionados anteriormente (como CSP y HSTS) ha habilitado y configurado correctamente un dominio.
Xenotix XSS Exploit Framework Una herramienta de OWASP (Open Web Application Security Project) que incluye una gran selección de ejemplos de ataques XSS, que puede ejecutar para confirmar rápidamente si las entradas de su sitio son vulnerables en Chrome, Firefox e IE.
Hay algunos pasos adicionales que puede seguir para tratar de comprometer manualmente su sitio alterando los valores POST / GET. Un proxy de depuración puede ayudarlo aquí, ya que le permite interceptar los valores de una solicitud HTTP entre su navegador y el servidor. Una buena aplicación gratuita llamada Fiddler es un buen punto de partida.
Entonces, ¿qué debería estar tratando de alterar en la solicitud? Si tiene páginas que solo deberían ser visibles para un usuario conectado, intente cambiar los parámetros de URL, como la identificación del usuario o los valores de cookies, en un intento de ver los detalles de otro usuario. Otra área que vale la pena probar son los formularios, que cambian los valores POST para intentar enviar código para realizar XSS o cargar un script del lado del servidor.
Cuéntanos tu proyecto y te ayudamos a ponerlo en marcha