Revista Comunicación

10 Medidas de Seguridad en Páginas Web que Protegerán tu SEO

Publicado el 07 junio 2017 por Aaroncat

Grupo de Hackers atemorizantes.

Imagina que un día te despiertas y no puedes acceder a tu sitio web porque varios de tus archivos están infectados y por si fuera poco tu proveedor de hosting te notifica que tu cuenta de hosting está en riesgo de ser cancelada por poner en riesgo la integridad de otros sitios alojados en el mismo servidor.

Si aún no te ha pasado esto; entonces, cuentas con suerte lo que no significa que sea inmune, es por eso que lo más sensato es que te prepares para evitar estas situaciones o al menos minimizar los riesgos de que suceda.

Veamos entonces…

¿Cuáles son las consecuencias para el SEO de que tu sitio sea vulnerable a un ataque?

Esto de la seguridad es para tomárselo en serio para ti y/o para los sitios de tus clientes; tanto así que en la Consola de Búsqueda de Google para Webmasters existe un panel llamado “Problemas de Seguridad” donde el buscador te muestra problemas potenciales y existentes relacionados a la integridad de tu sitio.

Entonces, ¿Tienes que preocuparte por el SEO si tu sitio ha sido vulnerado?

Sí, porque afecta la

  1. Experiencia del Usuario
  2. La Reputación de tu sitio en internet y,
  3. La Calidad de tu web

Piensa como si fueras el programador de un pequeño directorio de sitios web:

¿Mostrarías en tu directorio un sitio web que pudiera representar un peligro para tus usuarios?

Tal cual Google harías lo siguiente:

  1. No mostrarías ese sitio en tu directorio.
  2. Notificarías al propietario del sitio web que has detectado una vulnerabilidad.
  3. Tomarías un tiempo antes de colocarlo en tu directorio para comprobar que el sitio en realidad está libre de malwares y vulnarabilidades.

Cae de su peso que sí debes prestarle mucha atención a la seguridad de tu página web para así garantizar la mejor experiencia a tus usuarios.

¿Qué medidas de seguridad debemos ejecutar para proteger una página Web?

1. Empecemos por el Hosting

No está de más anotar que nuestro sitio web debe estar alojado en un proveedor que garantice la mínima seguridad a nivel de “hardware” de nuestros sitios y a nivel de software al garantizar la integridad de la comunidad de páginas web que operan en un mismo servidor.

¿A qué me refiero con garantizar la integridad de la comunidad de páginas web en un servidor?

Que las políticas del proveedor de hosting incluyan lineamientos que salvaguarden la colectividad de todos los sitios web alojados en un solo servidor, por ejemplo:

  • Notificar a los propietarios de webs de infecciones en sus páginas.
  • Establecer límites a los sitios web para realizar los ajustes necesarios en caso de infecciones.
  • Prohibir sitios con contenido pornográfico y para adultos.

¡Atención! Tu Proveedor de Hosting No Protegerá tu Sitio Web

Tu proveedor de hosting no protegerá tu sitio web, a menos que pagues por ello y eso se debe a que el fin de ellos es alquilarte un espacio donde almacenar los archivos y bases de datos de tu sitio, solo eso.

Como tu proveedor de hosting no ofrece ese servicio (al menos no gratuitamente); entonces, tu debes encargarte de la seguridad manualmente o a través de servicios automatizados que mantenga una protección y monitorización constante.

2. Proteger la Integridad del Código de tu Sitio

Proteger la integridad del código es lo mismo que tomar las medidas necesarias para que hackers no modifiquen el código de los archivos que conforman tu página web o la base de datos con el fin de utilizar tu sitio web para extraer información sensible de los usuarios que la visitan, propagar malwares o simplemente “tumbar un servidor”.

Aunque la protección de la integridad del código de un sitio web abarca muchos puntos los servicios de seguridad de páginas web abarcan 3 problemas muy comunes los cuales son:

  1. Inclusión Remota de Archivos (Remote File Inclusion/RFI)
  2. Secuencia de Comandos en Sitios Cruzados (Cross-site scripting/XSS)
  3. Falsificación de Petición en Sitios Cruzados

Ahora describiré con brevedad cada uno de ellos:

Inclusión Remota de Archivos

La inclusión remota de archivos (Remote File Inclusion) sucede cuando un atacante incluye en PHP con las funciones:´

  • include()
  • include_once()
  • require()
  • require_once()

…un archivo en un servidor externo (digamos que desde otro dominio,) esto con el fin de:

  • Modificar el contenido de un sitio
  • Robar Información
  • Tomarse un Servidor
¿Cómo protegerse ante un RFI?

La prevención siempre es la mejor arma. Lo que abarca la validación exchaustiva de los:

  • Inputs
  • Variables POST y GET
  • Cookies y Cabeceras HTTP

También la posterior sanitización; es decir, que cuando se recibe la información de dichas variables se eliminan etiquetas, saltos de línea, espacios en blanco y otros carácteres que comúnmente conforman un “script”.

La restricción de formatos y tamaños de subidas de archivos también es una medida muy útil.

Inyección Cruzada de Código / Secuencia de comandos en sitios cruzados (Cross-site scripting / XSS)

La secuencia de comandos en sitios cruzados (XSS) es una vulnerabilidad que consiste en inyectar código malicioso Javascript o similares en sitios web mediante una violación a las “Política del Mismo Origen”.

Cuando hablamos de “Política del Mismo Origen” nos referimos a que un navegador solo debería poder manipular data de forma segura vía Javascript (o similares) desde el mismo servidor no de uno externo.

Los hackers logran sobrepasar esta política al encontrar puntos vulnerables en el sitio y así ejecutar código Javascript con el fin de engañar al usuario haciéndole creer que una pantalla, alerta o mensaje es del dominio al que ha visitado cuando en realidad no lo es.

En este tipo de ataques se ve comprometida la confianza del usuario en el sitio web.

La mejor forma para prevenir estos ataques es a través de la sanitización y “escape” de variables en el código.

Falsificación de Petición en Sitios Cruzados / CSRF

La falsificación de petición en sitios cruzados es un problema de seguridad que consiste en vulnerar la confianza de un sitio web en un usuario.

¿Qué significa vulnerar la confianza de un sitio web en un usuario?

Digamos que un sitio web “cree” que un usuario es legítimo cuando en realidad no lo es porque se ha falsificado su identidad.

En este caso un atacante se hace pasar por la víctima para cometer sus fechorías, acceder a sistemas informáticos, robar información, vulnerar sistemas, etc.. De ahí que se dice que “se traiciona la confianza del sitio web en el usuario”.

¿Cómo Prevenir estos Ataques?

Hay dos formas para prevenir los ataques de Falsificación de Petición en Sitios Cruzados (CSRF):

  • Verificación estándar de las “Políticas de Origen” de las cabeceras: Consiste en comprobar que los scripts que se ejecutarán en el navegador solo pueden acceder a datos del mismo origen.
  • Verificación y Comprobación del Token de CSRF: Este método consiste en la generación dinámica de un Token de Seguridad Único cada vez que se inicia una sesión.

3. Ejecutar Monitoreos de Seguridad

Monitorear tu página web con frecuencia es un arma muy efectiva para detectar ataques, intentos de intrusiones, intentos de inyección de código, archivos corruptos o infectados, etc…

Existen múltiples soluciones automatizadas que permiten ahorrarnos tiempo, pero sobre todo que hacen las veces de la primera trinchera defensiva en la batalla contra ataques digitales.

¿Qué incluye un servicio de monitoreo de seguridad?

Los servicios más básicos de monitoreo de seguridad por lo general abarcan:

  • Escán automatizado de las páginas en un sitio web con el fin de encontrar archivos infectados.
  • Escán de vulnerabilidad, el cual consiste en la detección e identificación de partes de un sitio web propensas a ser atacadas por hackers.
  • Almacenaje de reportes para analizar patrones en caso de futuras infecciones.
  • Verificación contra listas negras. Esto consiste en comprobar que un sitio web no esté listado en las principales bases de datos de listas negras alrededor del mundo.

4. Crear Contraseñas Fuertes y Solicitar Renovaciones Periódica

Sea que utilicemos un sistema de administración de contenido, un framework o que el desarrollo esté enteramente a nuestro cargo, crear y solicitar contraseñas fuertes representa una gran mecanismo de protección.

Una cifra considerable de intrusiones no autorizadas se debe a contraseñas de baja complejidad.

Por otro lado, la solicitud de renovación periódica de contraseñas es otro mecanismo para añadir una capa de seguridad adicional a cualquier desarrollo.

5. Actualización de Softwares, Frameworks y Plugins de tu Página Web

Una gran parte de la web está desarrollada sobre plataformas de administración de contenido como WordPress, Joomla, Magento, etc., los equipos de desarrollo de estos “frameworks” liberan versiones actualizadas cada cierto donde se corrigen errores de seguridad, por consecuencia mantenerlos actualizados minimiza las probabilidades de ser vulnerados.

En el caso de WordPress.

En lo que respecta a la seguridad de una página web bajo WordPress aparte de la actualización de la versión, están las instalaciones y actualizaciones de plugins.

Como medidas adicionales de seguridad adicionales para prevenir la infección con Malware es recomendable hacer lo siguiente:

  1. Comprobar que los plugins sean compatibles con la versión actual de tu WordPress.
  2. Mantener actualizados los plugins.
  3. Comprobar que un plugin por instalar es seguro, verifica las opiniones de los usuarios en la lista de Plugins de WordPress.
  4. Comprueba que el Plugin que estás por instalar está listado en el directorio de Plugins de WordPress. (Nota: Aunque la verificación por parte del equipo de WordPress no es infaliable, para que un plugin esté listado en el repositorio de plugins de WordPress hace falta la aprobación manual y cumplir con una serie de requisitos. Ref.: https://developer.wordpress.org/plugins/wordpress-org/)

6. Restricción de Logins contra Ataques de Fuerza Bruta

La restricción de intentos de logins por los llamados “Ataques de Fuerza Bruta” a una sección de tu página web es una medida extraordinaria que te evitará un gran dolor de cabeza, porque previene que un atacante intente ingresar a ella mediante la generación automática de contraseñas.

Los “Ataques de Fuerza Bruta” suelen prevenirse bloqueando los intentos de acceso desde 1 o más orígenes; es decir, un atacante puede vulnerar la seguridad de una página web atacando al formulario de Login desde 1, 25, 50 o miles de IPs diferentes.

Para prevenir estos ataques se hace lo siguiente:

  1. Se limita la tasa de intentos de login por cada origen
  2. Se limita la tasa de intentos de login por cada cuenta
  3. Se limita la tasa global de intentos

Ref.: http://timoh6.github.io/2015/05/07/Rate-limiting-web-application-login-attempts.html

7. Oculta Páginas de Acceso Administrativo

Una práctica simple, fácil de aplicar y efectiva es ocultar a los buscadores las páginas de acceso a administrativo mediante la creación de el archivo “Robots.txt”.

Si utilizas un administrador de contenidos popular como WordPress también puedes cambiar la url de la página administrativa por defecto.

Por ejemplo, de undominiocualquiera.com/wp-admin –> undominiocualquiera.com/dejameentrar

8. Restricción de Permisos de Escritura

Restringir la escritura de archivos desde la web a través de la asignación de permisos de “Sólo Lectura” es otra capa adicional de seguridad que puedes utilizar para proteger los archivos de tu sitio.

Al restringir la escritura de archivos desde la web imposibilitas a un usuario con fines dudosos a modificar el código contenido dentro de un archivo de tu página web.

9. Crear Copias de Respaldo (Back ups)

Generar copias de respaldo con frecuencia es la manera más eficaz de estar preparado ante la eventualidad más indeseable para un desarrollador: la infección de su página web y posterior pérdida de data importante de su página web.

Para afrontar un evento tan desastroso de la mejor manera posible se debe generar copias de respaldo (Back ups) con una frecuencia que vaya acorde con la categoría de página web; las aplicaciones web que manejen información más sensible en el sentido estricto de la palabra sin duda requerirán una mayor frecuencia en la generación de copias de respaldo, que un blog que se actualiza una vez a la semana.

10. Utilizar Certificados SSL (HTTPS para la Confianza de tus Usuarios)

HTTP (http://) es un protocolo de transmisión de información entre un punto A en internet a un punto B y HTTPS (https://) representa un protocolo de transmisión pero cifrado; es decir, encriptado para hacer mucho más difícil descifrar un mensaje interceptado por un Hacker.

Para efectuar el protocolo HTTPS se debe generan certificados de seguridad SSL (Secure Sockets Layer) que se encargan de autenticar la información del punto A al B asimismo como garantizar la privacidad de la información.

Instalar un certificado de seguridad SSL en tu servidor es una capa adicional de protección que no solo te protegerá la data sensible de tus usuarios, también representa un símbolo de confianza en internet.


Volver a la Portada de Logo Paperblog