Opinión

Consejos de seguridad contra el web hacking

Son varias las empresas y particulares que han visto sus webs fuera de servicio o con carteles mostrando que han sido hackeadas, víctimas de ataques malintencionados o simplemente por pura diversión. Esto ocurre porque tienen brechas de seguridad, y los atacantes las acaban encontrando.

El hacking malicioso o ‘cracking’ se lleva a cabo manualmente a veces, pero lo más común es que sea de forma automatizada mediante scripts que buscan en la red e intentan explotar las vulnerabilidades de software. Entonces, ¿por qué no prevenir?

La seguridad básica es fácil de implementar y aún así no se hace. Para demostrarlo, comparto algunos consejos para asegurar un mínimo blindaje.

Vulnerabilidades en WordPress

Si nuestra web ha sido hecha con WordPress, tecnología en la actualidad usada aproximadamente en el 25% de las webs online, debéis saber que al ser su código fuente de carácter público es usual que se descubran vulnerabilidades, por lo que interesa hacer algunos ajustes de seguridad.

El más obvio es actualizar la versión, mas no suele ser suficiente muchas veces. Cambiando la dirección de acceso simplemente podemos evitar algún susto, que por defecto es “/wp-admin/” y “wp-login.php”. Para este propósito podemos usar el plugin WP-Lockdown y los ataques básicos de fuerza bruta acabaran en una página de error 404.

Para seguridad extra un buen aliado a tener instalado es el plugin “WORDFENCE Security” que entre otras cosas bloqueará la IP atacante y ahorrará recursos y tráfico indeseado.

Ataques web generales

Un tipo de ataque común es la inyección SQL, cuyo foco más común son los formularios web y los parámetros de las URL. Para evitar intentos de manipulación de las bases de datos y robo de información es aconsejable usar consultas parametrizadas en lugar de concatenación de variables.

Y también es importante asegurarte de que tus formularios no acepten código HTML, así como validar sus campos tanto en cliente como en servidor, ya que los puede hacer vulnerables a ataques XSS (Cross Site Scripting).

Puede ser un gran riesgo de seguridad si en tu web permites la subida de ficheros, aunque sea un simple cambio de imagen de perfil para usuarios, pues cualquier fichero subido puede contener scripts que al ser ejecutado sobre tu servidor podrá hacer de todo menos gracia.

Una medida más fácil que chequear los ficheros pasa por cambiar los permisos del fichero con “chmod 0666 *” y no “0777”, dándole sólo permiso de lectura y escritura. Un fichero .htaccess bien configurado también evitaría dicho tipo de ataque.

Y lo más básico de todo, hasta que avancen las formas de autenticación, es un clásico que seguro nunca te han contado: usar contraseñas complejas. Por obvio que parezca, elegir passwords que no sean evidentes ni sigan patrones predecibles, y adicionalmente, almacenarlas cifradas por si nos roban los datos, es una medida preventiva indispensable que puede libraros de más de un susto.

Menú