X

La seguridad también es un tema de los diseñadores de páginas web

Consejos sobre seguridad en el hosting y en las páginas web

El azote sobre la web de diferentes tipos de atacantes ha convertido en los últimos años en un tema recurrente. Desde el momento en que se comenzó a comercializar la información privada de los usuarios de las páginas web por parte de agentes inescrupulosos, el tema de la seguridad ha sido una de las mayores preocupaciones de todos los que se encuentran trabajando en este sector.

Con la aparición del comercio electrónico y su posterior auge, los usuarios de la web comenzaron a manejar también información financiera, tanto personal como empresarial, lo que hizo del tema de la seguridad en la web un tema prioritario. Todo esto sin tener en cuenta que muchos servicios estatales y de entidades financieras de primer orden se realizan a través de la web.

Si bien es cierto que es probable que la mayoría de nosotros nos dediquemos a desarrollos de menor entidad que aquellos en los que la seguridad es un tema crucial, el hecho simple de que cuando creamos una web en la cual los usuarios deben entregar cierta información personal para poder acceder a ciertos servicios, nos hace responsables de dicha información y de la seguridad de la misma.

También es importante que se tenga en cuenta que cualquier página web puede ser objeto de un ataque malicioso y provocarnos un dolor de cabeza.

Debemos ser conscientes de que la mayoría de los ataques registrados en la web se trata principalmente por omisión de los propios responsables de la página web.

Es por esta razón que a continuación, enumeramos una serie de puntos que deben ser tenidos en cuenta para minimizar las posibilidades de ser atacados por un hacker o tener otros tipos de problemas de seguridad en nuestra página web.

Importante: Los consejos que se brindan a continuación no son para convertir a las páginas web en invulnerables, sino que, como se dijo antes, servirán para minimizar los riesgos de ser víctimas de un ataque.

De todas formas, aquellos que tengan páginas pequeñas o relativamente pequeñas, no son frecuentemente víctimas de ataques de “especialistas”, por lo que siguiendo los consejos que se brindan a continuación, es altamente improbable ser atacado con éxito.

Algunos de los consejos que se brindarán, si bien no son para impedir ataques, serán útiles para el caso de que se produzca un ataque se pueda seguir con la marcha de la página en forma normal o casi normal.

Equipamiento informático

A pesar de que parezca increíble, una de las fuentes más frecuentes para obtener información de acceso a una página web o los elementos accesorios necesarios para trabajar en ella, se encuentra en el propio lugar físico donde se desarrollan las tareas.

Trabajar en la web en equipos compartidos o con un alto nivel de interacción en una intranet es un riesgo innecesario, pero que en caso de ser absolutamente necesario, se debe contar con los resguardos de seguridad necesarios.

Si otras personas tienen acceso al ordenador desde el que se accede a la administración de las páginas web, es indispensable que las demás personas que usan el equipamiento no puedan acceder a información vital como claves, nombres de usuario, contraseñas, cuentas FTP, etc.

En el caso de que los equipos deban ser compartidos, no se debe guardar en las propias aplicaciones (navegadores, clientes FTP, etc.) los usuarios y contraseñas de acceso.

En caso de que se deba guardar información de este tipo, es preferible hacerlo en archivos que tengan la posibilidad de aplicar una contraseña para abrirlos.

Administración compartida

La administración compartida de páginas web también puede ser una fuente de fugas de información y de generación de vulnerabilidades, por lo que se debe prestar atención en el otorgamiento de permisos a otros usuarios; en todos los casos, se debe otorgar solo los permisos necesarios para que se pueda desarrollar la tarea asignada, pero absolutamente más nada.

En caso de que la administración deba ser compartida, se debe ser cuidadoso en la selección de la o las personas que compartirán dicha administración, y tratar de que todos los responsables de la página sean conscientes de la importancia de la seguridad y todos traten el tema con la misma seriedad.

En algún caso, es posible que para la realización de alguna tarea específica sea necesario otorgar permisos especiales a otra persona.

En este caso, es importante tener en cuenta que una vez que se de por finalizada dicha tarea, todos los accesos otorgados en forma especial deben ser revocados.

También es importante, en el caso de que varias personas trabajen en la web, que periódicamente se realice una revisión de los permisos otorgados, para realizar las modificaciones de seguridad que sean necesarias.

El sistema operativo

A pesar de que se tiene poca oportunidad de incidir en la actualización del sistema operativo que se emplea en el servidor, este es uno de los puntos que se debería tener en cuenta a la hora de seleccionar el alojamiento para la o las páginas web.

A modo de ejemplo, hace un tiempo vi en una empresa de hosting que se ofrecía la instalación de versiones de Wordpress y Joomla (entre otras que no verifiqué su estado) absolutamente desfasadas, y que se encontraban sin actualizar al menos un año.

Es difícil de creer que si no se tienen en cuenta este tipo de aspectos, se tenga especial cuidado en mantener actualizado el sistema operativo, los antivirus, el sistema de correo electrónico, etc.

Es recomendable que siempre se vea que versiones de los diferentes elementos se están utilizando en el servicio de hosting.

Resguardo de la información

Algo que resulta de gran importancia es el respaldo de la información y de todo el sitio web.

Crear respaldos de las bases de datos y de los archivos de una web es una tarea que lleva muy poco tiempo, pero que sin embargo, se hace poco y es frecuente encontrarse con que no se hace.

Para ciertas aplicaciones, como los CMS, es posible encontrar algunas extensiones que realizan esta tarea; pero hacerlo en forma manual no es una tarea compleja, por lo que se puede realizar sin la intervención de sistemas automáticos.

Un error frecuente es realizar un backup de todo el sitio, y almacenar la información en el propio servidor.

Lo mejor que se puede hacer con los respaldos de las páginas web, es almacenarlas en algún dispositivo de almacenamiento y guardar el mismo en un lugar seguro, de forma tal que en caso de que se produzcan borrados accidentales, ataques externos o cualquier otra fatalidad, se pueda restablecer la página con todas sus funcionalidades en un corto período de tiempo.

Controlar los cambios que se realizan

Aún cuando seamos nosotros mismos los que realicemos cambios en la web, sean estos cambios en el diseño, la programación o en el contenido, es preferible hacerlo en primer lugar en un entorno de pruebas, que puede ser en un servidor local o remoto, pero siempre en una locación diferente de la web principal.

Es bastante común que cuando alguien contrata a otra persona para realizar modificaciones en una página web, se solicite que se realice el trabajo en el propio servidor, para tener un control sobre el progreso de los trabajos.

En este caso, una medida saludable podría ser generar una web paralela en un sub-dominio, de forma tal que cuando se produzcan efectos no deseados en los cambios, los mismos no afecten el funcionamiento de la web.

Con la implementación de una página paralela, tendremos además la posibilidad de otorgar permisos en forma exclusiva para esa sección, sin necesidad de dar acceso a la página en sí misma.

En caso de que los cambios que estemos realizando sean sobre nuestra propia web, es más seguro (y más rápido) realizar modificaciones en un servidor local para luego subir por FTP los archivos modificados, asegurándonos de esta forma que todas las pruebas que hagamos no tendrán efectos adversos ni generarán problemas de seguridad en el sitio principal.

Control de acceso a los documentos del servidor

La mayor parte de la información, mucha de ella sensible, es guardada en el servidor en diferentes archivos. Resulta bastante sencillo acceder a esos archivos desde un navegador, por lo que es necesario que se tomen ciertas precauciones.

Los propios proveedores de hosting son los que se encargan de ofrecer, dentro de sus funcionalidades, la protección de ciertos documentos o carpetas enteras, las que solo serán accesibles por el propio sistema o mediante la introducción de nombre de usuario y contraseña.

Cuando un navegador intenta acceder mediante HTTP a dichos archivos o carpetas, el servidor devuelve una página de error 401, que indica que no se tienen los permisos necesarios para acceder a esta información almacenada.

Protección en el intercambio de información

Internet no es seguro, ya que es posible que cualquier persona intercepte los intercambios de información, como por ejemplo los correos electrónicos, o accedan a información privada cuando se utilizan formularios.

Para conseguir proteger este tipo de información, se han creado soluciones consistentes en el encriptado de los datos introducidos en los correos electrónicos o en los formularios.

Para ello, es necesario contar con certificados SSL para la página web y para los correos electrónicos expedidos por una autoridad competente.

Salvo los casos en los que se brinda algún certificado de prueba por un período de tiempo limitado, los certificados expedidos por estas entidades son de pago, y dependiendo de las funciones necesarias varían en el precio.

En el caso de que la web se trate de una página de comercio electrónico, es indispensable contar con este tipo de seguridades para que los clientes puedan realizar transacciones seguras y dar la información financiera necesaria sin que esta sea interceptada.

Para que una página web pueda vender con tarjeta de crédito, las compañías que las expiden ponen como condición excluyente que exista este tipo de seguridad, además de exigir la utilización de correo electrónico seguro para tramitar la solicitud ante ellos.

Política de privacidad

Además de darle seguridad a los usuarios de que sus datos se encuentran seguros cuando se almacenan en nuestras bases de datos, es necesario asegurarle de alguna forma que no utilizaremos dicha información en otra forma que no sea en los servicios que se le brinda.

Para ello es necesario que el usuario tenga acceso a un documento en el cual garantizamos que esto será así, que se denomina generalmente “Política de privacidad”, y que consiste en nuestra declaración en este sentido.

En muchos servicios web, como Google, el hecho de contar con una política de privacidad escrita y al alcance de los usuarios es una práctica valorada positivamente.

Gestores de contenido

Es importante mantenerlo siempre actualizado para corregir bugs y errores de seguridad que se van descubriendo.

En cualquier caso, siempre se debe tener en cuenta que la principal vulnerabilidad de las páginas web dinámicas son sus propios administradores, ya que se cometen errores que son fácilmente subsanables.

Por ejemplo, es frecuente que los sitios tengan como nombre de usuario del administrador el que da el propio gestor por defecto (por ejemplo, admin), por lo que para vulnerar la entrada a la web solo resta conocer la contraseña.

Si se utiliza un sistema de fuerza bruta para ello, la cantidad de tiempo necesario para descifrar la entrada es mucho menor.

Además, siempre hay que ser precavido y utilizar nombres de usuario y contraseñas que lleven símbolos, mayúsculas y números, de forma tal que sea mucho más difícil de descifrar.

Firewall y proxy

Si bien se trata de una línea de defensa que protege más al servidor en si mismo que a las páginas web en particular, el hecho de que un servidor sea atacado puede resultar indirectamente en el ataque a una web.

Para defender a los servidores de la intromisión de extraños, se utilizan los firewall (del mismo tipo que impide la entrada a nuestros ordenadores) y los proxies.

Estos últimos provocan el re-enrutamiento de las solicitudes, de forma tal que cuando un usuario dirige su navegador hacia un servidor, éste es el que dirige las solicitudes a las direcciones reales.

Monitoreo de seguridad

Hasta hace un tiempo, controlar que una web estuviera segura era un trabajo manual, que debía realizar el administrador del sitio con sus conocimientos.

Sin embargo, hoy en día es posible utilizar algunas herramientas online que permiten monitorear las páginas web en busca de vulnerabilidades, desprotección de datos sensibles, errores del sistema, etc.

Un ejemplo de ello, aunque hay otros servicios similares, es el que se encuentra aquí.

Entre otras funciones, detecta los cambios producidos en caso de un Defacements, detecta si se cumplen las condiciones de privacidad de información de los usuarios, como por ejemplo archivos de usuarios y contraseñas accesibles desde el exterior, detecta si la página tiene exploits que infectan a los visitantes (En caso de que un atacante colocara un exploit en la página con NSIA es posible detectarlo), analiza si la página Web reporta información delicada sobre la estructura del sistema en sus mensajes de error, permite configurar acciones cuando detecta un cambio en la página Web, por ejemplo el envío de un mensaje de texto (IM, email, SMS) o la ejecución de una acción de escritura en la página Web.

Conclusión

Con los consejos que hemos dado no alcanza para asegurar que serán víctimas de un ataque, pero al menos será menos fácil de hacer.

Cuanto más sencillo sea vulnerar nuestra seguridad, más grande será el número de personas capacitadas para ello.

Restaurar una página web atacada es un proceso complejo y en caso de no contarse con los respaldos necesarios será imposible; pero además, debemos ser conscientes de que no solo se agrede a nuestro sitio y a nosotros mismos, sino que también se trata de un ataque a todos nuestros usuarios, de los que en muchos casos tenemos información sensible de la que somos responsables.

modificado el 19 diciembre, 2021 12:06

Andres Fernandez: Diseñador web y gráfico afincado en Uruguay. Ha trabajado como freelance para empresas de toda Latinoamérica y España. Apasionado del diseño y autodidacta por naturaleza, gran parte de lo que sabe lo ha aprendido de sitios como este.
Artículos relacionados