🙏🏻 🍕 🚒 ¿Cómo asegurar su sitio web? 🤔 🎀 😞

En busca de métodos y herramientas modernos que nos permitan, al menos con cierto grado de certeza, afirmar que el sitio web está protegido de futuros ataques de piratas informáticos (que todos los tendrán, ¿después de todo, nadie tiene dudas? Y si no hubiera ninguno , entonces esto es solo cuestión de tiempo), se encontraron recomendaciones que consideraremos en este artículo.

Esta es una lista pequeña pero importante de acciones específicas que todos deberían tomar con su propio recurso web, si la reputación de la compañía, la seguridad de los recursos web y los datos del cliente no son palabras vacías para usted.

Hay varias formas básicas de proteger su sitio:

proporcionar protección contra ataques DDoS;
conectar un certificado SSL;
usar alojamiento confiable ;
usar complementos / bibliotecas / frameworks / CMS seguros (en adelante denominados "módulos de terceros");
SQL- XSS-;
- ;
- ;
, ;
, -, .

Naturalmente, cada elemento tiene su propio "pero" y una serie de sub-elementos en los que se debe prestar atención. También se pueden dividir en subgrupos en función de las siguientes consideraciones: algunas acciones requieren una conexión única, configuración y comprobaciones de estado poco frecuentes (configuración de un certificado de hosting y SSL), mientras que otras implican constantes comprobaciones, actualizaciones y requieren mucha atención (todo lo demás).

Hosting confiable y SSL

Entonces, para comenzar, nuestro arsenal tiene un servidor confiable o un alojamiento compartido, cuya administración permanecerá fuera del alcance de este artículo. En cuanto a la conexión de un certificado SSL, esta es una medida obligatoria e incluso los comentarios son redundantes aquí.

Protección DDoS

Si su proveedor de alojamiento proporciona servicios de protección contra ataques DDoS o usted utiliza los servicios de servicios anti-DDoS, entonces esta pregunta puede considerarse cerrada, pero ¿por qué no fortalecer la protección y organizarla usted mismo? usando las siguientes técnicas: si Apache se usa como un servidor web, entonces necesita poner un proxy de almacenamiento en caché delante de él: Nginx o Lighttpd, pero es mejor usar Nginx en la interfaz, pero con varios complementos (limite el tamaño de los buffers y conexiones en Nginx, configure tiempos de espera y etc.; use el módulo testcookie-nginx; use el filtrado de URL y proporcione el código no estándar 444, que le permite cerrar la conexión y no devolver nada); en algunos casos, use bloqueo geográfico;Automatice el proceso de análisis de los registros del sitio web, prestando especial atención a la cantidad de tráfico, el tiempo de respuesta del servidor, la cantidad de errores y la cantidad de solicitudes por segundo.

Seguridad de terceros

En cuanto a la recomendación sobre el uso de módulos seguros de terceros en sus aplicaciones, este tema es probablemente uno de los más importantes, porque la mayoría de los ataques maliciosos se producen a través de módulos de terceros. La esencia de este párrafo es utilizar marcos y bibliotecas con características de seguridad integradas que ayudarán a los desarrolladores a minimizar la aparición de vulnerabilidades en el proceso de implementación. Me gustaría destacar recomendaciones más detalladas con respecto a este artículo: use módulos de terceros de fuentes confiables que sean compatibles con la comunidad y se desarrollen activamente; Mantenga actualizada la lista de todos los módulos de terceros; Use solo la funcionalidad que se requiere dentro de su aplicación.

Inyecciones SQL y ataques XSS

La recomendación con respecto a la protección contra inyecciones SQL y ataques XSS requiere la explicación más detallada, porque el propósito de los atacantes aquí es datos específicos de la base de datos (inyección SQL) y datos de usuario (ataque XSS). También vale la pena entender que los problemas relacionados con las inyecciones de SQL cubren una sección extensa sobre el acceso seguro a todos los almacenes de datos, incluidas las bases de datos relacionales y las bases de datos NoSQL, e incluyen problemas de seguridad de consultas (debe evitar la entrada ilegítima como parte de SQL- comandos y la mejor solución es utilizar consultas parametrizadas que se puedan aplicar a construcciones SQL / OQL y procedimientos almacenados), configuración (debe asegurarse de que las herramientas de seguridad DBMS existentes y la plataforma en la que está instalado estén configuradas correctamente),autenticación (debe realizarse a través de un canal seguro) y conexiones (debido a la existencia de varias formas de interactuar con la base de datos (a través de un servicio o API), es necesario garantizar la seguridad de las conexiones mediante encriptación y autenticación).

En cuanto a las secuencias de comandos entre sitios (ataque XSS), en este caso las consecuencias de una gravedad moderada pueden ser causadas por XSS o XSS reflejados en función del modelo de objeto de documento (DOM), y las secuencias de comandos entre sitios con ejecución de código en el navegador del usuario pueden tener graves consecuencias. para robar credenciales, interceptar sesiones o instalar software malicioso. La medida de protección principal en este caso es la detección (agregando ciertas combinaciones de caracteres antes de caracteres o líneas para evitar su interpretación incorrecta), codificando datos (convirtiendo ciertos caracteres en combinaciones de caracteres que no son peligrosos para el intérprete) en el lado del servidor y usando un conjunto de encabezados HTTP en particular, Set-Cookie con parámetros HttpOnly y Secure,así como X-XSS-Protection con un valor de 1.

Una medida de seguridad común utilizada para evitar la inyección de SQL y las secuencias de comandos entre sitios es verificar todas las entradas para la sintaxis y la semántica. La norma sintáctica debe entenderse como la correspondencia completa de los datos de entrada con el formulario de presentación esperado, y la norma semántica indica que los datos de entrada no van más allá de los límites de una función específica.

Registro y monitoreo

La recomendación sobre el registro de todos los eventos y el monitoreo de eventos de seguridad ya se ha mencionado al considerar los métodos de protección contra ataques DDoS, pero en este caso el lado más amplio del problema está relacionado con la detección y la lucha contra los ataques, así como con la investigación de incidentes de seguridad que ya han ocurrido. Por lo tanto, además de las herramientas de registro estándar proporcionadas por el servidor web, debe asegurarse de que se registre la hora del evento y la identificación del usuario, así como la actividad potencialmente peligrosa específica de su sitio web. En caso de detección de actividad maliciosa, su aplicación debe bloquear la sesión del usuario o bloquear por dirección IP, en general, tomar medidas e informar al administrador al respecto. Aquí estamos hablando de herramientas como WAF o IDS / IPS.

Copias de seguridad

En cuanto a la copia de seguridad periódica del sitio web y todos los datos, aquí debe pensar en el lugar y el tipo de almacenamiento de estos datos. Una forma efectiva es cifrar el almacenamiento de datos críticos y copias de seguridad, así como almacenar archivos de copia de seguridad no en el sistema de archivos, sino en un lugar diferente, cuya seguridad no hay duda, y que siempre estará disponible para una implementación rápida.

12345 o qwerty?

La recomendación para usar contraseñas seguras y complejas no es solo y no tanto sobre las contraseñas, sino en general sobre la autenticación y la administración de sesiones de usuario. Hay tres niveles de autenticación, y el uso de solo contraseñas se refiere solo al primero: el nivel más simple (el segundo es la autenticación multifactor; el tercero es la autenticación basada en el cifrado). Sin embargo, incluso aquí hay una serie de requisitos para las contraseñas mismas, el mecanismo de recuperación de contraseña, así como para el almacenamiento seguro de las contraseñas. La administración de sesiones le permite monitorear el estado de la autenticación del usuario para trabajar con un sitio web sin volver a autenticarse. También se requieren sesiones para crear y completar.

Protección del panel de administración

La recomendación final es proteger el panel de administración del sitio web, ya que es una de las debilidades del sistema en general debido a la amplia funcionalidad asociada con agregar / editar publicaciones y páginas, trabajar con archivos y mucho más. Por lo tanto, una condición importante es garantizar un control de acceso adecuado, así como la máxima ocultación de la ubicación del panel administrativo de los ciberdelincuentes, implementado simplemente transfiriendo la dirección a una no estándar y maximizando la protección para este punto de entrada a través de la protección contra la fuerza bruta, filtrado por direcciones IP, etc. Al crear un sistema de control de acceso, se deben cumplir los siguientes principios: enviar todas las solicitudes a través de un sistema de control de acceso; Denegar el acceso por defecto (es decir, rechazar la solicitud, si no se autorizó específicamente); privilegios mínimos para todos los usuarios,programas o procesos; negativa a usar el modelo a seguir del control de acceso, codificado en el código; registro de todos los eventos relacionados con el control de acceso.

Conclusión

Este artículo de revisión analiza algunas técnicas para mejorar la seguridad del sitio web. Cada recomendación individual merece una revisión por separado, pero incluso con una revisión tan breve, una cosa queda clara: el enfoque para garantizar la seguridad debe ser integral y sistemático y no debe tolerarse. Debe abordar cuidadosamente el control de acceso, mantener actualizados los módulos de terceros, filtrar los datos de entrada y mucho más. ¿Tienes algo que agregar? Asegúrese de compartir en los comentarios.

Como un anuncio

¡VDSina ofrece servidores confiables con pago diario o único, cada servidor está conectado a un canal de Internet de 500 Megabits y está libre de ataques DDoS!

¿Cómo asegurar su sitio web?