Usted está aquí: Inicio Artículos Mantén tu sitio seguro

Mantén tu sitio seguro

Mi sitio web fue hackeado, ¿qué hacer? Esta es la pregunta habitual que recibo de quiene se inician en la programación web o tienen instalaciones de Joomla, Wordpress, etc. Esta es una guia que cubre casi todos los aspectos de seguridad que son de su responsabilidad como titular de la cuenta de hosting. Si usted sigue estas recomendaciones, su cuenta permanecerá segura y no será hackeada nuevamente.

Estos son algunos consejos para mantener tu sitio seguro. Esto fue escrito oportunamente en respuesta a un sitio hackeado:

1. Lo primero que tienes que hacer es comprobar en los sitios del vendedor o desarrollador de todos los códigos, scripts y aplicaciones webs utilizadas en tu cuenta, como así también de cualquier actualización que hubiera incluyendo cualquier mod que estés usando en tu aplicación web. Esto es de máxima prioridad si estás usando alguna aplicación web de código abierto, seguramente será el principal sospechoso. Debes comprobar todos tus componentes y mantenerlos actualizados a la fecha. Comprueba la base de datos de www.secunia.com que incluye todas las vulnerabilidades conocidas de dominio público.

2. Una vez que haya verificado que el 100% de los scripts más reciente son estables, tendrás que ir a través de todos los archivos de tu cuenta y asegurarte de que no haya ningú archivo subido por los hackers o que haya archivos viejos de alguna instalación anterior. Podrías encontrar archivos en las carpetas que nunca imaginarías. Puedes utilizar FTP o el administrador de archivos del cpanel para ir a través de todos los archivos bajo public_html y compararlos con tu copia local. (Es recomendable tener siempre una copia local de esta comparación, así como copia de seguridad)

3. Asegurate de que todas las contraseñas son una mezcla de letras, símbolos y números, sean de al menos 10 caracteres de largo y no sean palabras de diccionario. Sólo por pensar en una palabra difícil de diccionario no la hace fuerte.

4. El acceso a la base de datos MySQL para todas las aplicaciones web deben utilizar usuarios separados db. No se debe utilizar la cuenta de usuario principal para ello. También hay que ser precavidos y no dejar nunca el nombre de usuario y clave principal de la cuenta almacenada en ningún fichero en la zona html_public.

5. En el panel de control, active la opción archivo de sus registros web en Raw Log Manager. Esto le dará la oportunidad de comprobar cómo los hackers explotan uno de los scripts. De lo contrario todos los registros sin procesar se borran después de generar estadísticas. Si ya ha sido hackeado, es demasiado tarde ahora, pero usted puede archivar los registros para futuros ataques.

6. Si ha personalizado una aplicación web con un mod, asegúrese de que sea también el último estable. Muchas aplicaciones web populares puede ser estables, pero si uno de los módulos, componentes, plugins, etc. ya no son actualizados por sus desarrolladores, es posible que sean vulnerables ahora o en el futuro.

7. Si has escrito algún código vos mismo, asegurate de que todas las variables de entrada son desinfectadas (comprobado por datos válidos antes de usarlos). De lo contrario una sola línea de código mal puede dar acceso a toda la cuenta. El error habitual consiste en incluir un archivo basado en un ingreso del usuario. Una vez más, asegurate de que todas las entradas a una secuencia de comandos sea comprobada como datos válidos. Todos los exploits se basan en los datos de entrada. Si tu sitio no tiene ninguna entrada, estará 100% seguro de exploits web, es decir, si se ejecuta el 100% web en html estática en cualquier parte de tu cuenta.

8. En el caso de código php, cualquier aplicación que utilice register_globals como activo tiene más posibilidades de ser explotable. Evita las aplicaciones de este tipo.

9. Si tienes algún script de correo electrónico, asegurate de que esté a salvo de inyecciones de cabecera (head inyection). En esencia comprobar que la dirección de correo electrónico, tema y otras partes de datos que está siendo presentado por el usuario no contenga saltos de línea.

10. Utilizando las aplicaciones de código abierto web gratis es genial, pero hay que mantenerlo con las actualizaciones regulares o se pueden perder datos, archivos o incluso el sitio entero si un nuevo exploit se conociera de él. Como propietario, webmaster o encargado de una cuenta de hosting, usted tiene la responsabilidad de haber instalado sólo las aplicaciones estables en la cuenta.

11. Si tu sitio ha estado funcionando muy bien durante años, eso no quiere decir que no había agujeros de seguridad en el mismo. En realidad, significa que el exploit era desconocido o que tuviste la suerte de que nadie lo haya explotado ántes.

12. Para mayor seguridad, cambiá los permisos de los archivos de configuración (con credenciales de base de datos, etc) a 660 (o a 400 si uno es un poco paranoico). Puede hacerlo a través de FTP o usando el administrador de archivos.

13. Para mayor seguridad, se pueden bloquear el acceso a ciertas secciones administrativas del sitio mediante permisos de acceso a las direcciones IP sólo autorizados y bloquear el acceso de todas los demás, o mediante una contraseña a la carpeta de administración.

14. Si hay algún archivo para subir en su cuenta, asegúrese de que sólo los miembros autorizados pueden usarlo. Asimismo, el archivo cargado no debe ser accesible a través de URL web directamente (es decir, almacenan fuera de public_html), a menos que:

  1. sólo está cargado por un administrador del sitio (persona responsable)
  2. verificó y validó no ser explotable

15. Si hay alguna redirección URL o servicios asociados al webmail, hay que asegurarse de que solo la usen usuarios autorizados, sinó podría ser utilizada para enviar spam.

16. Si estás haciendo una prueba o probando algo, que sólo vos necesitas ver y que no esté totalmente seguro, deberías bloquearlo detrás de una contraseña de inmediato.

17. Todas las cuentas de servidores compartidos, vps y para revendedores de HostingMDQ vienen con phpsuexec, por lo que no es necesario ningún archivo o carpeta con permisos de escritura para todo el mundo (777). Los permisos de las carpetas normales no debe exceder de 755. Y los archivos php y html deberían ser 644 (o inferior a través de ssh). Los archivos CGI y los script de Perl pueden ser 755.

18. Cualquiera que escriba el código de aplicaciones web o instale aplicaciones de código abierto en php, debe estar familiarizado con la seguridad. Les recomiendo este libro: http://www.oreilly.com/catalog/phpsec/. Abarca todos los apectos de las vulnerabilidades encontradas hoy en día en las aplicaciones web. Otor sitio para viositar es: http://phpsec.org

Menú principal

Joomla Templates and Joomla Extensions by JoomlaVision.Com

Sitios asociados

Tecnología

centos

mysql logo

xeon-chip

 logo-php

Python-logo

cpanel logo

 

 

logo-solo

La Rioja 2349 7D
Tel: (0223) 494-1544
Cel: 223 (15) 4363320
7600 Mar del Plata - Argentina
Website: http://www.hostingmdq.com
Email: info@hostingmdq.com