arrowBlog
23.12.2016
¿Cómo mejorar la seguridad de mis páginas web?

La tecnología avanza y todo evoluciona de una manera muy rápida. Pero hay un tema muy importante que nunca debe quedar olvidado: la seguridad web.

Hackers y aplicaciones desarrolladas a tal efecto buscan agujeros de seguridad en las páginas web y proyectos online para poder vulnerarlos y obtener información. Sus principales objetivos son grandes empresas, pero cualquiera puede ser susceptible de recibir un ataque de este tipo.

Para poder evitar estas situaciones, hablaremos de las amenazas más comunes que podemos encontrar y presentaremos algunos consejos y recomendaciones para evitarlas:

SQL Injection

Este tipo de ataque consiste en “inyectar” código en la base de datos, eliminar la base de datos u obtener los datos de usuarios. Es tarea del programador asegurarse de que esto no pase, usando correctamente un framework de desarrollo que tenga en cuenta y evite este tipo de amenazas. Otra práctica recomendable para evitar ataques SQL Injection es la encriptación de forma segura de la información sensible.

 

Fuerza Bruta

En este caso, el atacante accede a la plataforma de gestión de la web con el objetivo de conseguir usuarios y contraseñas. Suele tratarse de programas automáticos que generan combinaciones de forma exponencial hasta que dan con una que les garantice el acceso.

Este tipo de ataque es el motivo por el que en multitud de sites se recomienda utilizar contraseñas seguras (largas, compuestas por diferentes caracteres, alternando mayúsculas, minúsculas, letras y números). Y por supuesto, se deben evitar las contraseñas típicas como 123456, admin 1234, o usar el mismo nombre de usuario y contraseña. Estas prácticas tan sencillas evitan de una manera muy eficaz sustos y problemas serios de seguridad en un sitio web tanto para una empresa como a nivel particular.

Las plataformas de amplia utilización, como Wordpress, suelen recibir un mayor número de estos ataques. La causa es que el software malicioso de intento de login es aprovechable para un mayor número de sites. Aún así, hoy en dìa se han desarrollado plugins específicos, como el All In One WP Security & Firewall para Wordpress, que contribuyen de manera efectiva a garantizar la seguridad de las páginas web.

No obstante, entre las medidas de seguridad en sitios web, una de las mejores recomendaciones es la siguiente: no utilizar contraseñas simples bajo ningún concepto.

Cross Site Scripting

Este tipo de ataque inyecta un script malicioso en la página web vulnerable, provocando que, por ejemplo, al acceder al site redirija a otra página o intente atacar al usuario que intenta acceder a la página web. Un ejemplo de este tipo de ataque se puede ver en los comentarios de blog, en los cuales, al cargar el post se ejecuta el script.

Una forma de evitar esta situación es supervisar los comentarios antes de que sean publicados, detectar o evitar la utilización de etiquetas o código en los comentarios, etc. En caso de mensajes sospechosos, la mejor opción es no publicar en tu proyecto.

 

Ataque DDoS

Denegación de Servicio Distribuido es el ataque más común, que consiste en saturar e incluso bloquear un sitio web temporalmente. Normalmente, este ataque se produce desde varios focos, muchos de ellos sites previamente atacados que lanzan peticiones de manera repetida al proyecto online que se quiere atacar. Al recibir una cantidad desorbitada de peticiones, el servidor no puede procesarlas y finalmente se bloquea.

Para impedir este tipo de ataques es importante contar con una buena arquitectura de sistemas y, en caso de que no sea posible, externalizar o contar con una empresa de hosting profesional. A nivel particular, la mejor recomendación es mantener actualizado tu antivirus y navegar siempre de forma segura.

Secuestro

Sí, aunque pueda sonar raro, es posible secuestrar un sitio web, equipo, base de datos o infraestructura. En este caso, el atacante se aprovecha de alguna vulnerabilidad en la seguridad, inyecta un script malicioso, y cuando el usuario intenta acceder, se le informa del “secuestro” invitándole a abonar una cantidad de dinero para resolver el problema.

Para evitar esta situación, es clave disponer de una buena política de seguridad en la empresa a nivel de sistemas (incluyendo política de backups). En casos extremos puede llegar a darse la situación de verse obligado a denunciar y esperar, o directamente pagar para recuperar tu proyecto.

En Patterson creemos que un correcto mantenimiento web, junto a una buena formación de los usuarios, contribuye de manera efectiva a la seguridad global de los proyectos online. Esperamos que este post os haya sido útil, y si tenéis alguna consulta no dudes en ponerte en contacto con nosotros.

 

 

Patterson - Jonatan Carroza Carranza
A tu lado como:: Programador Back-End

Imágenes: Freepik.es

Artículos relacionados
Esta web utiliza cookies propias y de terceros para mejorar tu experiencia de navegación y realizar tareas de analítica. Al continuar con tu navegación entendemos que aceptas nuestra política de cookies.