comparte el articulo 

La seguridad también es un tema de los diseñadores de páginas web (primera parte)

Actualizado el 10/04/2012 < > 0 Comentarios

Resumen: Consejos sobre seguridad en el hosting y en las páginas web

El azote sobre la web de diferentes tipos de atacantes ha convertido en los últimos años en un tema recurrente. Desde el momento en que se comenzó a comercializar la información privada de los usuarios de las páginas web por parte de agentes inescrupulosos, el tema de la seguridad ha sido una de las mayores preocupaciones de todos los que se encuentran trabajando en este sector.

Con la aparición del comercio electrónico y su posterior auge, los usuarios de la web comenzaron a manejar también información financiera, tanto personal como empresarial, lo que hizo del tema de la seguridad en la web un tema prioritario. Todo esto sin tener en cuenta que muchos servicios estatales y de entidades financieras de primer orden se realizan a través de la web.

Si bien es cierto que es probable que la mayoría de nosotros nos dediquemos a desarrollos de menor entidad que aquellos en los que la seguridad es un tema crucial, el hecho simple de que cuando creamos una web en la cual los usuarios deben entregar cierta información personal para poder acceder a ciertos servicios, nos hace responsables de dicha información y de la seguridad de la misma.

También es importante que se tenga en cuenta que cualquier página web puede ser objeto de un ataque malicioso y provocarnos un dolor de cabeza. Debemos ser conscientes de que la mayoría de los ataques registrados en la web se trata principalmente por omisión de los propios responsables de la página web. Es por esta razón que a continuación, enumeramos una serie de puntos que deben ser tenidos en cuenta para minimizar las posibilidades de ser atacados por un hacker o tener otros tipos de problemas de seguridad en nuestra página web.

Importante: Los consejos que se brindan a continuación no son para convertir a las páginas web en invulnerables, sino que, como se dijo antes, servirán para minimizar los riesgos de ser víctimas de un ataque. De todas formas, aquellos que tengan páginas pequeñas o relativamente pequeñas, no son frecuentemente víctimas de ataques de “especialistas”, por lo que siguiendo los consejos que se brindan a continuación, es altamente improbable ser atacado con éxito. Algunos de los consejos que se brindarán, si bien no son para impedir ataques, serán útiles para el caso de que se produzca un ataque se pueda seguir con la marcha de la página en forma normal o casi normal.

Equipamiento informático

A pesar de que parezca increíble, una de las fuentes más frecuentes para obtener información de acceso a una página web o los elementos accesorios necesarios para trabajar en ella, se encuentra en el propio lugar físico donde se desarrollan las tareas.

Trabajar en la web en equipos compartidos o con un alto nivel de interacción en una intranet es un riesgo innecesario, pero que en caso de ser absolutamente necesario, se debe contar con los resguardos de seguridad necesarios. Si otras personas tienen acceso al ordenador desde el que se accede a la administración de las páginas web, es indispensable que las demás personas que usan el equipamiento no puedan acceder a información vital como claves, nombres de usuario, contraseñas, cuentas FTP, etc.

En el caso de que los equipos deban ser compartidos, no se debe guardar en las propias aplicaciones (navegadores, clientes FTP, etc.) los usuarios y contraseñas de acceso. En caso de que se deba guardar información de este tipo, es preferible hacerlo en archivos que tengan la posibilidad de aplicar una contraseña para abrirlos.

Administración compartida

La administración compartida de páginas web también puede ser una fuente de fugas de información y de generación de vulnerabilidades, por lo que se debe prestar atención en el otorgamiento de permisos a otros usuarios; en todos los casos, se debe otorgar solo los permisos necesarios para que se pueda desarrollar la tarea asignada, pero absolutamente más nada.

En caso de que la administración deba ser compartida, se debe ser cuidadoso en la selección de la o las personas que compartirán dicha administración, y tratar de que todos los responsables de la página sean conscientes de la importancia de la seguridad y todos traten el tema con la misma seriedad.

En algún caso, es posible que para la realización de alguna tarea específica sea necesario otorgar permisos especiales a otra persona. En este caso, es importante tener en cuenta que una vez que se de por finalizada dicha tarea, todos los accesos otorgados en forma especial deben ser revocados. También es importante, en el caso de que varias personas trabajen en la web, que periódicamente se realice una revisión de los permisos otorgados, para realizar las modificaciones de seguridad que sean necesarias.

El sistema operativo

A pesar de que se tiene poca oportunidad de incidir en la actualización del sistema operativo que se emplea en el servidor, este es uno de los puntos que se debería tener en cuenta a la hora de seleccionar el alojamiento para la o las páginas web. A modo de ejemplo, hace un tiempo vi en una empresa de hosting que se ofrecía la instalación de versiones de WordPress y Joomla (entre otras que no verifiqué su estado) absolutamente desfasadas, y que se encontraban sin actualizar al menos un año. Es difícil de creer que si no se tienen en cuenta este tipo de aspectos, se tenga especial cuidado en mantener actualizado el sistema operativo, los antivirus, el sistema de correo electrónico, etc.

Es recomendable que siempre se vea que versiones de los diferentes elementos se están utilizando en el servicio de hosting.

Resguardo de la información

Algo que resulta de gran importancia es el respaldo de la información y de todo el sitio web. Crear respaldos de las bases de datos y de los archivos de una web es una tarea que lleva muy poco tiempo, pero que sin embargo, se hace poco y es frecuente encontrarse con que no se hace.

Para ciertas aplicaciones, como los CMS, es posible encontrar algunas extensiones que realizan esta tarea; pero hacerlo en forma manual no es una tarea compleja, por lo que se puede realizar sin la intervención de sistemas automáticos.

Un error frecuente es realizar un backup de todo el sitio, y almacenar la información en el propio servidor. Lo mejor que se puede hacer con los respaldos de las páginas web, es almacenarlas en algún dispositivo de almacenamiento y guardar el mismo en un lugar seguro, de forma tal que en caso de que se produzcan borrados accidentales, ataques externos o cualquier otra fatalidad, se pueda restablecer la página con todas sus funcionalidades en un corto período de tiempo.

Controlar los cambios que se realizan

Aún cuando seamos nosotros mismos los que realicemos cambios en la web, sean estos cambios en el diseño, la programación o en el contenido, es preferible hacerlo en primer lugar en un entorno de pruebas, que puede ser en un servidor local o remoto, pero siempre en una locación diferente de la web principal.

Es bastante común que cuando alguien contrata a otra persona para realizar modificaciones en una página web, se solicite que se realice el trabajo en el propio servidor, para tener un control sobre el progreso de los trabajos. En este caso, una medida saludable podría ser generar una web paralela en un sub-dominio, de forma tal que cuando se produzcan efectos no deseados en los cambios, los mismos no afecten el funcionamiento de la web.

Con la implementación de una página paralela, tendremos además la posibilidad de otorgar permisos en forma exclusiva para esa sección, sin necesidad de dar acceso a la página en sí misma.

En caso de que los cambios que estemos realizando sean sobre nuestra propia web, es más seguro (y más rápido) realizar modificaciones en un servidor local para luego subir por FTP los archivos modificados, asegurándonos de esta forma que todas las pruebas que hagamos no tendrán efectos adversos ni generarán problemas de seguridad en el sitio principal.

Publicado el 30/03/2011, última actualización 10/04/2012.

Licencia: Contenido exclusivo de LaWebera.es. Prohibida su copia.

Autor: Andrés Fernández

URL: LaWebera.es :: Diseño Web

(Subir al texto)

Añadir Comentario

* Campos obligatorios

Meneame Bitacoras