6. Actualiza el software del servidor periódicamente.
7. Haz test de seguridad para detectar vulnerabilidades.
8. Intenta estar al día y sigue las últimas noticias del sector.
9. Utiliza SSL para hacer transacciones de datos más seguras.
10. Configura los permisos de la forma más estricta posible.

Las herramientas de seguridad de cPanel te permitirán proteger las diferentes partes de tus páginas Web de accesos no autorizados. En el menú de la pestaña “Security Tools” (o Herramientas de Seguridad) encontraremos las siguientes opciones:

1. Password Protect Directories (Directorios Protegidos con Contraseña): Con esta herramienta podrás exigir una contraseña al usuario para permitirle el acceso a ciertas páginas de tu Web.
2. IP Deny Manager (Administrador de rechazo de IP): Te permitirá negar el acceso a ciertas direcciones IP.
3. HotLink Protection (Protección de enlaces entrantes): Con esta opción podrás prohibir a Webs externas que enlacen directamente a archivos de tu página.

Por último, te dejo una galería de imágenes con capturas de pantalla sobre cada una de estas herramientas y próximamente veremos un tutorial sobre cómo emplear estas herramientas de seguridad de cPanel de la forma más efectiva.

Herramientas de Seguridad cPanel

Una de las vulnerabilidades que más aprovechan los hackers son las contraseñas débiles. Por triste que sea, estudios recientes sobre contraseñas han demostrado que las claves más usadas por la población general son tan penosas como 123456. Estas contraseñas no sirven para absolutamente nada, y tenemos que dejar de cometer estos errores. A continuación os traigo algunos trucos para crear contraseñas seguras y fáciles de recordar:

• Combina números y letras. Por ejemplo, puedes sustituir las vocales por números de forma que sea fácil recordar su relación.
• Os passwords tienen que tener 8 o 9 caracteres.
• Cambia siempre las contraseñas que te asignan por defecto cuando te registras en cualquier lado.
• No utilices palabras reales de diccionario ni nombres propios de persona muy populares.
• No utilices acrónimos que sean fáciles de descifrar.
• Utiliza diferentes contraseñas para cada cuenta en función de cómo de importante es para ti su privacidad.
• No utilices nombres que revelen información personal, como fechas de cumpleaños, nombre de tu mascota, etc.

Si necesitas ayuda para crear contraseñas siempre puedes usar un generador de contraseñas gratuito online. Te permitirá especificar cómo de larga quieres que sea tu contraseña, tipos de caracteres y similares.

1. Accesibilidad: A-Checker es una herramienta de tests de accesibilidad. Sólo tendrás que introducir la URL de tu página y subir el archivo html que quieres evaluar. El programa testea automáticamente si tu código cumple con los estándares HTML.
2. Rapidez: Pingdom Full Page Test es un tester completo que cargará toda tu Web, incluidas las imágenes, CSS, flash, y cualquier otro contenido de tu página. Luego, por un lado evaluará la rapidez de transferencia total, y por otro te informará de la velocidad de carga de cada uno de estos elementos por separado.
3. Seguridad: Zero Day Scan es un servicio online que detecta las vulnerabilidades de tu Web, como por ejemplo el Cross-Site Scripting (XSS), inyección SQL, y otras. A partir de este análisis, genera un resumen de resultados. Ten en cuenta que requiere la confirmación del propietario de la página.

En los navegadores comunes, como Firefox o Explorer, cuando estamos empleando un protocolo https podemos ver el icono de un candado, que aparece en la barra principal de nuestro navegador. Además, en la barra de direcciones podremos ver que “http://” será sustituido por “https://”.

¿Y cómo funciona la conexión exactamente? ¿Por qué es más segura? Básicamente, lo que ocurre es que la página Web codifica la sesión con certificado digital. De este modo, el usuario tiene ciertas garantías de que la información que envíe desde dicha página no podrá ser interceptada y utilizada por terceros.

Estos certificados de seguridad son conocidos como SSL. Cuando estos estás instalados en la página Web veremos el candado del que hablábamos anteriormente. Por otro lado, si están instalados Certificados de Validación Extendida, los usuarios, además del candado, podremos ver que la barra de URL’s del navegador toma un fondo verdoso. (siempre que estemos utilizando las últimas versiones de Firefox, Explorer o Opera).

Wikto, que aparentemente debe su nombre a Nikto (una herramienta basada en Unix), es un escáner totalmente gratuito y libre, que realiza una búsqueda en el entorno de un servidor Web Windows para encontrar vulnerabilidades. A diferencia de las aplicaciones escáner que se centran en el código, Wikto se encarga de todo el servidor.

Wikto se basa en un entorno .NET, así que deberías tener .NET instalado en tu máquina Windows si te interesa utilizarlo. Puedes encontrar documentación completa en la página Web de Senspost, y también puedes descargarlo directamente.

PhpSecInfo es una buena herramienta PHP para defenderse de este tipo de ataques. Se trata de una aplicación que mostrará la información sobre la seguridad de un código PHP y te sugerirá ideas para mejorarlo. Claro que, se trata de un método de baja seguridad, si lo que quieres es protejer tu servidor de forma seria, PhpSecInfo no es suficiente.

Por ejemplo, PhpSecInfo no examina tu código PHP para detectar vulnerabilidades, de hecho, ya deja claro en su Web oficial que no se encarga de educar para las prácticas seguras de programación. En lugar de esto, se centra en aportar información sobre el propio entorno PHP y como configurarlo en tu servidor.

Instalar PhpSecInfo es muy fácil, ya que es en si mismo un código PHP. Sólo tendrás que descomprimirlo en una carpeta de tu servidor y abrir la URL en el navegador. Puedes descargar PhpSecInfo desde la página de PHP Security Consortium. Además, es software gratuito, libre, y se distribuye bajo la nueva licencia BSD.

Vía | www.phpsec.org

El secreto está en que estas aplicaciones firewall (o cortafuegos) restringen el acceso a ciertos puertos o servicios, y eso es todo. El proceso completo consiste en revisar cada paquete solicitado o enviado por el cliente inspeccionando sus capas de servicio Web HTTP, HTTPS, SOAP y XML-RPC. Además de todo esto, algunos de estos servidores cortafuegos persiguen “firmas de ataque” concretas para prevenir aquellos ataques específicos de un intruso particular.

Hay que tener muy en cuenta que las aplicaciones Firewall pueden basarse en software o en un dispositivo de hardware, y están instalados en un servidor Web con la intención de prevenir ataques. Modsecurity es una aplicación que te permitirá incluir un cortafuegos en tu Servidor Web Apache de forma totalmente gratuita, sólo tienes que descargarlo e instalarlo en el sistema de tu servidor.

Vía | www.modsecurity.org
Fotografía | www.flickr.com

De hecho, a menudo, este servicio consiste en un simple cortafuegos o proxy dedicada y puede ser casi gratuito. Las páginas Web más populares son sus consumidores más comunes, aunque si tu dominio genera un elevado número de visitantes, puede ser que también te interese este tipo de servicio.

Algunos ataques son tan sofisticados que pueden incluso burlar el sistema de prevención del que dispones. Estos son los más raros y sólo suelen emplearse para atacar grandes compañías de la red, como Twitter o Facebook. A pesar de todo lo dicho, asegúrate de que tu servicio de hosting te proporciona la atención al cliente que necesitas. Un equipo de soporte responsable es, en la mayoría de los casos, el mejor método para hacer frente a cualquier ataque DDoS.

Fotografía | www.flickr.com

Pregunta: ¿Debería utilizar un servicio de hosting compartido?

Respuesta: Un hosting compartido sólo convendría en el caso de que tu Web no tenga mucho tráfico y todavía no genere ingresos. Una vez comience a crecer la página podrías modificar tu servicio de hosting para satisfacer las demandas.

Está claro que si decides emplear un servicio de hosting exclusivo para tu dominio, podrás disfrutar de mayor velocidad de transferencia de datos, un tiempo de respuesta casi instantáneo y más seguridad. En este sentido, la seguridad puede ser una de las claves de tu página Web, depende totalmente de su contenido. Cómo puedes ver, para responder a esta gran pregunta primero deberás tener muy claro para qué quieres emplear tu sitio Web. Al final, lo más importante es que el servicio de hosting que adquieras se ajuste perfectamente a tus necesidades.