A lo largo del pasado año hemos hablado de varios temas relacionados con la seguridad de un servidor, ya se trate de un servidor Web, de correo, cualquier otro tipo de hosting. A continuación os traigo un resumen de los consejos más destacados:

1. No permitas el login directo del root/administrador.
2. Asegúrate de que las contraseñas son seguras y cámbialas regularmente.
3. Usa un cortafuegos, como por ejemplo ModSecurity.
4. Chroot todos los usurios no-root para mantenerlos alejados de los directorios.
5. Utiliza escáners antivirus y filtros de spam.
6. Actualiza el software del servidor periódicamente.
7. Haz test de seguridad para detectar vulnerabilidades.
8. Intenta estar al día y sigue las últimas noticias del sector.
9. Utiliza SSL para hacer transacciones de datos más seguras.
10. Configura los permisos de la forma más estricta posible.

Fotografía | www.flickr.com

0 comentarios

Las herramientas de seguridad de cPanel te permitirán proteger las diferentes partes de tus páginas Web de accesos no autorizados. En el menú de la pestaña “Security Tools” (o Herramientas de Seguridad) encontraremos las siguientes opciones:

1. Password Protect Directories (Directorios Protegidos con Contraseña): Con esta herramienta podrás exigir una contraseña al usuario para permitirle el acceso a ciertas páginas de tu Web.
2. IP Deny Manager (Administrador de rechazo de IP): Te permitirá negar el acceso a ciertas direcciones IP.
3. HotLink Protection (Protección de enlaces entrantes): Con esta opción podrás prohibir a Webs externas que enlacen directamente a archivos de tu página.

Por último, te dejo una galería de imágenes con capturas de pantalla sobre cada una de estas herramientas y próximamente veremos un tutorial sobre cómo emplear estas herramientas de seguridad de cPanel de la forma más efectiva.

Continuar la lectura: ¿Cómo usar las herramientas de seguridad de cPanel?

0 comentarios

Una de las vulnerabilidades que más aprovechan los hackers son las contraseñas débiles. Por triste que sea, estudios recientes sobre contraseñas han demostrado que las claves más usadas por la población general son tan penosas como 123456. Estas contraseñas no sirven para absolutamente nada, y tenemos que dejar de cometer estos errores. A continuación os traigo algunos trucos para crear contraseñas seguras y fáciles de recordar:

• Combina números y letras. Por ejemplo, puedes sustituir las vocales por números de forma que sea fácil recordar su relación.
• Os passwords tienen que tener 8 o 9 caracteres.
• Cambia siempre las contraseñas que te asignan por defecto cuando te registras en cualquier lado.
• No utilices palabras reales de diccionario ni nombres propios de persona muy populares.
• No utilices acrónimos que sean fáciles de descifrar.
• Utiliza diferentes contraseñas para cada cuenta en función de cómo de importante es para ti su privacidad.
• No utilices nombres que revelen información personal, como fechas de cumpleaños, nombre de tu mascota, etc.

Si necesitas ayuda para crear contraseñas siempre puedes usar un generador de contraseñas gratuito online. Te permitirá especificar cómo de larga quieres que sea tu contraseña, tipos de caracteres y similares.

0 comentarios

Cuando creamos una página Web queremos estar seguros de que todos pueden verla correctamente, se carga rápido y es suficientemente segura para que los hackers no puedan burlar su sistema. Aquí os dejo 3 herramientas que ayudarán a cubrir estas necesidades:

1. Accesibilidad: A-Checker es una herramienta de tests de accesibilidad. Sólo tendrás que introducir la URL de tu página y subir el archivo html que quieres evaluar. El programa testea automáticamente si tu código cumple con los estándares HTML.
2. Rapidez: Pingdom Full Page Test es un tester completo que cargará toda tu Web, incluidas las imágenes, CSS, flash, y cualquier otro contenido de tu página. Luego, por un lado evaluará la rapidez de transferencia total, y por otro te informará de la velocidad de carga de cada uno de estos elementos por separado.
3. Seguridad: Zero Day Scan es un servicio online que detecta las vulnerabilidades de tu Web, como por ejemplo el Cross-Site Scripting (XSS), inyección SQL, y otras. A partir de este análisis, genera un resumen de resultados. Ten en cuenta que requiere la confirmación del propietario de la página.

0 comentarios

El protocolo de Transferencia de Hiper-Texto (HTTPS) es la versión segura de el http (Hyper Text Transfer Protocool) que todos conocemos y utilizamos habitualmente. La diferencia es que, con HTTP podemos desarrollar actividades ecommerce, ya que permite realizar transacciones de forma segura.

En los navegadores comunes, como Firefox o Explorer, cuando estamos empleando un protocolo https podemos ver el icono de un candado, que aparece en la barra principal de nuestro navegador. Además, en la barra de direcciones podremos ver que “http://” será sustituido por “https://”.

¿Y cómo funciona la conexión exactamente? ¿Por qué es más segura? Básicamente, lo que ocurre es que la página Web codifica la sesión con certificado digital. De este modo, el usuario tiene ciertas garantías de que la información que envíe desde dicha página no podrá ser interceptada y utilizada por terceros.

Estos certificados de seguridad son conocidos como SSL. Cuando estos estás instalados en la página Web veremos el candado del que hablábamos anteriormente. Por otro lado, si están instalados Certificados de Validación Extendida, los usuarios, además del candado, podremos ver que la barra de URL’s del navegador toma un fondo verdoso. (siempre que estemos utilizando las últimas versiones de Firefox, Explorer o Opera).

Fotografía | www.flickr.com

0 comentarios

Ayer hablábamos de una aplicación tester para aumentar la seguridad y estabilidad de nuestra página. Pero existen muchas otras herramientas de este tipo, y lo mejor de todo, también son gratuitas. Sin embargo, no hay tantas aplicaciones que pongar a prueba el servidor Web directamente y menos aún que estén diseñadas para servidores Windows.

Wikto, que aparentemente debe su nombre a Nikto (una herramienta basada en Unix), es un escáner totalmente gratuito y libre, que realiza una búsqueda en el entorno de un servidor Web Windows para encontrar vulnerabilidades. A diferencia de las aplicaciones escáner que se centran en el código, Wikto se encarga de todo el servidor.

Wikto se basa en un entorno .NET, así que deberías tener .NET instalado en tu máquina Windows si te interesa utilizarlo. Puedes encontrar documentación completa en la página Web de Senspost, y también puedes descargarlo directamente.

0 comentarios

Permitir el acceso a todo tipo de código PHP en tu servidor Web abre la puerta a muchos problemas de seguridad. Nunca se sabe cuando un atacante puede seleccionar tu servidor y convertirlo en su próximo objetivo. Por esta razón, cualquier código en ejecución puede ser un vía de ataque y PHP no es una excepción. Hace unas semanas ya vimos otros programas interesantes como phpSysInfo, que resumía la información más importante de nuestro servidor Web. A continuación veremos PhpSecInfo, una herramienta similar que elevará los niveles de seguridad mínima de nuestro servidor.

PhpSecInfo es una buena herramienta PHP para defenderse de este tipo de ataques. Se trata de una aplicación que mostrará la información sobre la seguridad de un código PHP y te sugerirá ideas para mejorarlo. Claro que, se trata de un método de baja seguridad, si lo que quieres es protejer tu servidor de forma seria, PhpSecInfo no es suficiente.

Por ejemplo, PhpSecInfo no examina tu código PHP para detectar vulnerabilidades, de hecho, ya deja claro en su Web oficial que no se encarga de educar para las prácticas seguras de programación. En lugar de esto, se centra en aportar información sobre el propio entorno PHP y como configurarlo en tu servidor.

Instalar PhpSecInfo es muy fácil, ya que es en si mismo un código PHP. Sólo tendrás que descomprimirlo en una carpeta de tu servidor y abrir la URL en el navegador. Puedes descargar PhpSecInfo desde la página de PHP Security Consortium. Además, es software gratuito, libre, y se distribuye bajo la nueva licencia BSD.

Vía | www.phpsec.org

2 comentarios

Básicamente, una aplicación Firewall se caracteriza por un dispositivo que intercepta la conexión entre un servidor Web y un Cliente para garantizar el cumplimiento de ciertas normas. En otra palabras, sirve para proteger el servidor Web de posibles ataques o conexiones no autorizadas.

El secreto está en que estas aplicaciones firewall (o cortafuegos) restringen el acceso a ciertos puertos o servicios, y eso es todo. El proceso completo consiste en revisar cada paquete solicitado o enviado por el cliente inspeccionando sus capas de servicio Web HTTP, HTTPS, SOAP y XML-RPC. Además de todo esto, algunos de estos servidores cortafuegos persiguen “firmas de ataque” concretas para prevenir aquellos ataques específicos de un intruso particular.

Hay que tener muy en cuenta que las aplicaciones Firewall pueden basarse en software o en un dispositivo de hardware, y están instalados en un servidor Web con la intención de prevenir ataques. Modsecurity es una aplicación que te permitirá incluir un cortafuegos en tu Servidor Web Apache de forma totalmente gratuita, sólo tienes que descargarlo e instalarlo en el sistema de tu servidor.

Vía | www.modsecurity.org
Fotografía | www.flickr.com

0 comentarios

Los ataques DDoS (Distrubuted Denial of Service) son más que habituales en la Web hoy en día, desafortunadamente. Estos ataques puedes ser muy difíciles de frenar una vez han llegado a tu sistema, pero ¿sabes que muchos servidores dedicados ofrecen protección contra este tipo de amenazas?

De hecho, a menudo, este servicio consiste en un simple cortafuegos o proxy dedicada y puede ser casi gratuito. Las páginas Web más populares son sus consumidores más comunes, aunque si tu dominio genera un elevado número de visitantes, puede ser que también te interese este tipo de servicio.

Algunos ataques son tan sofisticados que pueden incluso burlar el sistema de prevención del que dispones. Estos son los más raros y sólo suelen emplearse para atacar grandes compañías de la red, como Twitter o Facebook. A pesar de todo lo dicho, asegúrate de que tu servicio de hosting te proporciona la atención al cliente que necesitas. Un equipo de soporte responsable es, en la mayoría de los casos, el mejor método para hacer frente a cualquier ataque DDoS.

Fotografía | www.flickr.com

0 comentarios

Pregunta: ¿Debería utilizar un servicio de hosting compartido?

Respuesta: Un hosting compartido sólo convendría en el caso de que tu Web no tenga mucho tráfico y todavía no genere ingresos. Una vez comience a crecer la página podrías modificar tu servicio de hosting para satisfacer las demandas.

Está claro que si decides emplear un servicio de hosting exclusivo para tu dominio, podrás disfrutar de mayor velocidad de transferencia de datos, un tiempo de respuesta casi instantáneo y más seguridad. En este sentido, la seguridad puede ser una de las claves de tu página Web, depende totalmente de su contenido. Cómo puedes ver, para responder a esta gran pregunta primero deberás tener muy claro para qué quieres emplear tu sitio Web. Al final, lo más importante es que el servicio de hosting que adquieras se ajuste perfectamente a tus necesidades.

Fotografía | www.flickr.com

0 comentarios

El pasado 19 de mayo, China sufrió un corte generalizado de las comunicaciones e Internet a causa de un ataque DDoS llevado a cabo por un grupo de 4 hackers que pretendían desviar o redireccionar, mejor dicho, algunos de los dominios alojados en un servidor de la competencia (de su empresa, se entiende) hacia los servidores de su propia empresa, una serie de páginas Web de juegos de tipo Póker o La ruleta. El servidor que colapsaron en cuestión fue DNSPod, un famoso proveedor de servicios de DNS Chino y registrador de nombres de dominio.

DNSPod ofrece acceso a algunos de los servidores de juego de la competencia, y los sospechosos se ocuparon pues eso, de redireccionar el tráfico hacia sus propios sites. A pesar de que en un principio querían “sólo” conseguir eso, redireccionar algunas Webs, lo que consiguieron fue colapsar otros servidores, entre ellos los de Baofeng, un popular servicio de streaming de vídeo chino.

Como consecuencia, cerca de 300 millones de chinos se quedaron sin servicio durante unas cuantas horas, el peor corte de este tipo que sufrió el país desde el año 2006, según el Ministerio chino de Seguridad Pública.

Vía | www.toptechnews.com
Fotografía | www.flickr.com

0 comentarios

Un ataque DDoS es un ataque conjuntado y organizado entre varios equipos de diferentes procedencias sobre un determinado servidor. El modo de operar de estos ataques consiste en agotar el ancho de banda de la víctima y reventar los recursos del router, por lo que los gastos energéticos llegan a ser muy altos y con lo que consiguen que los administradores de la red corten, voluntariamente, su servicio.

En los últimos 6 meses este tipo de ataques se han incrementado notablemente, cosa que han notado los expertos en seguridad de la red. Hace poco, por ejemplo, la filial brasileña del ISP de Telefónica recibió un ataque de este tipo que le obligó a dejar sin servicio durante varios días.

La mejor forma de evitar estos atques es instalando un buen antivirus en el ordenador. La prevención siempre será la mayor de las curas, y nunca estará de más dotar a nuestro equipo con un buen sistema que nos avise en todo momento de cualquier tipo de intrumisión en nuestra red o en el mismo ordenador. Los DDoS los inicia siempre un usuario externo o algún gusano que se ha introducido personalmente (ya sea por correo, descargas…) en el ordenador, por lo que el hecho de tener simplemente un antivirus instalado (y no caducado…) nos libraría de más de un dolor de cabeza.

Vía | www.washingtonpost.com
Fotografía | www.flickr.com

0 comentarios