7 pasos para mejorar la seguridad de tu sitio web creado en CMS - Parte 2

7 pasos para mejorar la seguridad de sitios web creados en CMS – Parte 2

23 abril, 2015

Continuando con el artículo de seguridad de sitios web, te presentamos a detalle los 3 puntos restantes para mejorar la seguridad de tu sitio web creado en CMS.

5. Parches

Es fácil olvidar la importancia de actualización del software, nos cuesta trabajo mantener actualizados nuestros sistemas operativos, nuestros smartphones, nuestros programas y sobre todo, nuestros sitios web. A veces no tomar en cuenta actualizaciones para mejorar el rendimiento no es tan grave, pero diariamente se descubren vulnerabilidades de seguridad y es vital parcharlas.

Un parche o patch es un trozo de software diseñado para arreglar un problema, actualizar un programa o la información que soporta. Esto incluye las ya mencionadas vulnerabilidades y otros bugs que pueden poner en jaque nuestro sitio.

Afortunadamente, la mayoría de los CMS modernos permiten actualizar desde el mismo sistema, así que hay asegurarnos de asignar un tiempo de inactividad para buscar e instalar actualizaciones.

Existe el termino «trae tu propio malware«, se refiere a que no solo nuestro sitio debe mantenerse actualizado y debidamente protegido, también los equipos (computadoras personales, servidores, smartphones, tablets) que utilizamos para diseñar, desarrollar y administrar nuestros sitios web, pues son fuentes de infección de software malicioso.

Algunas medidas que se pueden tomar son las siguientes:

  • Actualizar tu CMS.
  • Revisar y actualizar extensiones y módulos.
  • Checar con el servicio de hospedaje sus políticas de actualización y mantenimiento de sus servidores.
  • Mantener al día las actualizaciones de tus PCs, laptops, smartphones y demás dispositivos que utilicemos para administrar sitios web.
  • Instalar un buen antivirus con antispyware.

6. Registros

Los registros o logs son una importante herramienta para manejar la seguridad de nuestro sitio. Existen varios tipos de registros:

  • Registros de acceso del servidor.
  • Registros de acceso del FTP.
  • Registros del CMS.
  • Registros de errores: del sistema, del correo, de acceso y otros más.

El problema es que son difíciles de leer, aburridos y muy complicados de entender. Pero si sabemos qué y dónde buscar, son extremadamente útiles.

Un formato común para un registro de servidor es el siguiente:

LogFormat «%h %l %u %t \»%r\» %>s %b» common

  • %h– IP de origen, que aunque puede ser falso, la mayoría de las veces es real.
  • %l y %u – son los «- -» y significan no hay información.
  • %t– fecha y hora de la visita.
  • \»%r\»– registro del método y/o recurso (qué y cómo se solicitó).
  • %>s– código de estado de la solicitud.
  • %b– bytes transferidos del servidor al navegador del cliente.

Por ejemplo:

38.140.103.106 – – [27/feb/2014:11:07:06 -0500]
«GET /images/background/whitenoise/noise_bg.jpg HTTP/1.1» 200 4302

Nos describe una visita, donde el navegador solicita la imagen que se muestra como fondo de esta página web. En algunos casos, se muestra todavía más información, como el tipo de navegador y sistema operativo que se utilizó, pero esto depende del servidor donde se encuentre nuestra página.

Al revisar nuestros registros, podemos detectar ataques, como por ejemplo:

  1. Fuerza bruta Cientos de intentos de ingreso en unos pocos minutos al área de administración del sitio.
  2. Inyección SQL Múltiples registros con constantes solicitudes SQL «unión + select» para obtener la información de la base de datos de usuarios.
  3. Demasiados bytes enviados – tal vez se está enviando información que no se debería de enviar o es una forma de consumir el ancho de banda disponible.

Algunas medidas que se pueden tomar son las siguientes:

  • Aprender a leer los registros.
  • Establecer políticas de retención de registros, se sugiere que al menos se guarden de los últimos 30 días.
  • Revisas los registros para detectar ataques de diferentes tipos, esto nos puede indicar quién y cómo se realizó y tomar las medidas necesarias para evitar más ataques en un futuro.

7. Respaldo y Restauración

Estas pueden ser las mejores herramientas para proteger un sitio web. Es importante realizar respaldos, pero es igual de importante saber si estos respaldos sirven, en algunas ocasiones deberíamos realizar restauraciones de prueba, sólo para saber si son útiles.

Existen muchas herramientas, desde el panel de control (cPanel) del servicio de hospedaje hasta el mismo CMS, que nos permiten crear respaldos. Pueden realizarse respaldos completos o parciales; de los directorios, de las bases de datos, de los correos electrónicos, prácticamente cada parte de nuestro sitio puede ser preservada.

Algunas medidas que se pueden tomar son las siguientes:

  • Establecer políticas de realización de respaldos diarios, semanales o mensuales, dependiendo de la cantidad de información, tanto del sitio web como de las bases de datos.
  • Existen sistemas automáticos de respaldo en la nube y así evitar utilizar el espacio de nuestro sitio web.
  • No depender de estos tipos de respaldos, también es conveniente mantenerlos en un disco duro externo, fuera del servidor o de la nube, por si acaso.
  • Realizar un plan de restauración, indicando donde se encuentran los respaldos (en algún disco duro externo, en DVDs), quién los restaurará (qué ocurre si el administrador no se encuentra, etc.) y siempre teniendo un plan de contingencia.
  • Establecer un plan de pruebas para confirmar que nuestras políticas de respaldo y restauración se encuentran en condiciones correctas.

Todos estos pasos son apenas un inicio para crear y mantener lo más seguros posibles nuestros sitios. Siempre debemos tomar en cuenta que las amenazas se mantienen en continua evolución y de la misma manera nuestras estrategias deben ampliarse continuamente. La conectividad sin precedentes de la era de Internet nos brinda tantas ventajas como desafíos.



Contacto