02/01/2017

3 lineas de actuación para la seguridad en páginas web


La seguridad de paginas web en WordPress y Prestashop

Vaya por delante que en Internet nada está a salvo. Hasta las empresas tecnológicas más grandes son vulnerables como el reciente caso de las 1.000 millones de cuentas afectadas en Yahoo. Fue su 2º hackeo y seguramente no sea el último. La red es un espacio en todo el mundo sin fronteras dónde convergen tanto los buenos como los malos.

No obstante, es necesario poner obstáculos para fortalecer una página web y dificultar la entrada de software malicioso. Por ello, dese Metacom BCN recomendamos actuar desde 3 áreas:

Seguridad en Servidores Externos

La externalización del alojamiento web es básica para garantizar un mínimo de seguridad en los servidores. Aún quedan algunas pequeñas empresas y/o profesionales que siguen teniendo y mantenido una estructura de Data Center cada vez más costoso para ellos. Recomendamos contratar a terceros por estas razones:

logotipos de empresas de hosting como Cdmon, loading, raiola y ovh

Es el core business principal de estas empresas. Viven de precisamente alquilar hostings webs ya sean compartidos, privados, en la nube, etc. Por lo que uno de sus aspectos principales es destinar recursos a ofrecer el máximo y buen servicio posible.

Software y Hardware de última generación. Precisamente por esto, Prevención de Ataques, Protección con Escudos y Seguridad. Como es su core business, tiene a un equipo entero destinado a controlar y proteger sus servidores. Es por esto, que en estos hostings obtendremos más seguridad que en algunos propios y/o de pequeñas empresas. Los Hostings Externos, usan SW/HW de última generación para prevenir y detectar la mayoría de ataques. Incluso ataques DDoS.

Copias de Seguridad cada 24h: esencial en unos hostings y lo más seguro de una web. Más vale prevenir que curar. Y, hablamos por experiencia propia. Se puede estar protegido cada día, pero en el peor de los casos y poniéndonos trágicos, si se “destruye” una web, existe la posibilidad de resetearla y dejarla pública como estaba al día anterior.

Picos de Tráfico Web: seleccionaremos los servidores que sean capaces de soportar picos de tráfico web antes y después del evento. Para seguridad, podemos hacer pruebas a priori (1 mes antes por ejemplo) para resolver posibles incidencias. En cualquier caso, se configura el software/hardware para recibir grandes volúmenes de visita.

Dominios y Correo en Servidores propios: es posible tener alojada la web en un Hosting externo y tener los dominios y servidores de correo controlados por la propia empresa. No hay problema.

Contactar con Metacom BCN

Barreras de seguridad en WordPress

El hecho de usar un CMS propio y/o un CMS de Software libre no implica estar más o menos seguro. De hecho, con algún CMS propio (elaborado por alguna empresa/agencia) seguramente es más inseguro que un CMS de software libre o privado. Cierto es, que una plataforma como WordPress es más atacada que un CMS propio, pero al mismo tiempo, esto es una ventaja ya que en menos de 24h-48h-72h el problema esta corregido ya que hay cientos y miles de programadores, externos e internos de WordPress, que a nivel mundial aportan sus ideas y sus mejoras.

Una cuarta parte de las webs funcionan con WordPress. Estamos hablando de TODAS las webs. No sólo de CMS. En caso de hablar sólo de CMS, WordPress controla el 70% del mercado.

imagen de la cuota de mercado del CMS de WordPress a nivel mundial

Algunas acciones que se deben realizar para la seguridad en WordPress y en general:

  • Actualizar siempre que aparezca una nueva versión de WordPress y solventar las posibles incidencias.
  • -Actualizaciones y Gestión de Plugins y Extensiones: estudios de implementación e historial.
  • Cambios de contraseña mensuales, quincenales… de la BBDD (pactar si es necesario)
  • -Cambios de contraseñas en los usuarios a la plataforma CMS. Mensual, trimestral, semestral. Depende como se plantee. (pactar si es necesario)
  • Backups diarios en el Servidor.
  • Limitaciones los accesos a carpetas vulnerables del servidor como Wp-Admin, WP-Config, etc.
  • Configuración de Accesos de robots de indexación NO deseados mediante Robots.txt y .Htacces.

La auditoría ProHacker

Para casos de medio y alto nivel es necesario realizar una auditoría y realizar una acción ficticia de un ataque. Desde Metacom BCN,  contamos puntualmente con profesionales externos expertos en seguridad Hacker que se encargan de auditar las webs para detectar los puntos flacos.

Imgen de consultoria y hacking etico

Al fin y al cabo, y hablando claro, el estudio se basa en detallar aquellos agujeros vulnerables y diagnosticar las puertas traseras de fácil acceso.

Recibir más información