A lo largo del pasado año hemos hablado de varios temas relacionados con la seguridad de un servidor, ya se trate de un servidor Web, de correo, cualquier otro tipo de hosting. A continuación os traigo un resumen de los consejos más destacados:

1. No permitas el login directo del root/administrador.
2. Asegúrate de que las contraseñas son seguras y cámbialas regularmente.
3. Usa un cortafuegos, como por ejemplo ModSecurity.
4. Chroot todos los usurios no-root para mantenerlos alejados de los directorios.
5. Utiliza escáners antivirus y filtros de spam.
6. Actualiza el software del servidor periódicamente.
7. Haz test de seguridad para detectar vulnerabilidades.
8. Intenta estar al día y sigue las últimas noticias del sector.
9. Utiliza SSL para hacer transacciones de datos más seguras.
10. Configura los permisos de la forma más estricta posible.

Fotografía | www.flickr.com

0 comentarios

Existe una nueva forma de bloquear los emails indeseados a través de un seguro de dominio y autentificación de email. Ha sido desarrollado por Return Path, un proveedor de administración de servicios con muy buena reputación. Hasta ahora, las medidas de protección antifishing y de autentificación de emails dejaban mucho que desear, y suponían el riesgo de estar filtrando emails válidos.

Los nuevos métodos de Domain Assurance de Return Path controlan todos los emails recibidos para determinar su autenticidad y luego crean un registro de dominio en el que aquellos mensajes sin autentificación válida, así pueden ser bloqueados. A partir de ahora, las comñpañías podrán recibir notificaciones automáticas sobre cualquier ataque de phishing o spoofing a sus marcas y los ISPs podrán proteger mejor a sus clientes.

Fotografía | www.flickr.com

0 comentarios

Las herramientas de seguridad de cPanel te permitirán proteger las diferentes partes de tus páginas Web de accesos no autorizados. En el menú de la pestaña “Security Tools” (o Herramientas de Seguridad) encontraremos las siguientes opciones:

1. Password Protect Directories (Directorios Protegidos con Contraseña): Con esta herramienta podrás exigir una contraseña al usuario para permitirle el acceso a ciertas páginas de tu Web.
2. IP Deny Manager (Administrador de rechazo de IP): Te permitirá negar el acceso a ciertas direcciones IP.
3. HotLink Protection (Protección de enlaces entrantes): Con esta opción podrás prohibir a Webs externas que enlacen directamente a archivos de tu página.

Por último, te dejo una galería de imágenes con capturas de pantalla sobre cada una de estas herramientas y próximamente veremos un tutorial sobre cómo emplear estas herramientas de seguridad de cPanel de la forma más efectiva.

Continuar la lectura: ¿Cómo usar las herramientas de seguridad de cPanel?

0 comentarios

Los certificados SSL permiten emplear una firma digital en las páginas Web de modo que los usuarios puedan comprobar su autenticidad. En teoría, una página con un certificado SSL activo es segura a nivel de protección de datos de sus clientes y fiabilidad de sus contenidos. Por defecto, los navegadores Web reconocen una serie de autoridades de los certificados (CA), por tanto todo el proceso de autentificación está automatizado.

Cuando un navegador Web se conecta a una página sin un certificada válido, el usuario recibirá un aviso bastante desagradable indicando que la Web no es de confianza. Cuando ocurre esto en la Web de un negocio, muchas veces los compradores potenciales abandonan la página y se pierden ventas.

Adquirir un certificado es fundamental, pero sólo es el comienzo de todo el proceso, porque luego tendrás que configurar tu servidor para poderlo utilizar. Cada página HTTPS segura requiere una dirección IP única y un certificado que corresponda con su CA. Si se comprueba la información del certificado y la firma no es correcta o no es reconocida por la CA, los navegadores arrojarán un error. Si vas a comprar un certificado, asegúrate de documentarte al máximo, las CA suelen ser realmente caras y podrías acabar pagando cientos de euros más de lo que deberías.

Fotografía | www.flickr.com

0 comentarios

Si buscas acelerar la velocidad de transmisión de datos en la navegación Web, probablemente te interesa saber más sobre OpenDNS. Se trata de un servicio de DNS gratuito que es considerablemente más rápido que los servidores de nombres ofrecidos por tu ISP.

OpenDNS no sólo tiene la ventaja de ser más veloz, sino que además incluye protección contra el phishing y botnet, filtros de contenido y correcciones de faltas en URLs.

Puedes configurar un sólo ordenador para que haga uso de OpenDNS o hacerlo en toda una red de sistemas al mismo tiempo. Si entras en la página oficial de OpenDNS encontrarás una guía detallada y realmente útil sobre el proceso de configuración del servicio, sólo tendrás que registrarte y podrás ponerlo a prueba en tu sistema inmediatamente (sea Windows, Mac OS X, o Linux) así como en routers como los de Linksys y Netgear.

0 comentarios

Citando algunas estadísticas recientes publicadas por la ICANN que confirmaban que ¾ de la información WHOIS no es precisa, la Agencia de Crimen Organizado de Inglaterra (SOCA) está exigiendo una precisión rigurosa y más regulada.

SOCA ha declarado que es demasiado fácil para un crimen organizado falsificar la información de contacto de un dominio y quiere que la ICANN ponga más dificultades en este sentido. De este modo, aseguran que sería mucho más fácil seguir la pista a los scammers, phishers, y otros criminales de Internet.

La verificación de los datos de cada uno que registre de un dominio podría contribuir a la estabilidad del Web, así como la implementación de unas penas asociadas a los diferentes modelos de crimen online. Sin embargo, no parece muy fácil llegar a este punto, ya que los criminales siembre encontrarán un bug o una trampa con la que burlar al sistema.

Fotografía | www.flickr.com

0 comentarios

Cuando creamos una página Web queremos estar seguros de que todos pueden verla correctamente, se carga rápido y es suficientemente segura para que los hackers no puedan burlar su sistema. Aquí os dejo 3 herramientas que ayudarán a cubrir estas necesidades:

1. Accesibilidad: A-Checker es una herramienta de tests de accesibilidad. Sólo tendrás que introducir la URL de tu página y subir el archivo html que quieres evaluar. El programa testea automáticamente si tu código cumple con los estándares HTML.
2. Rapidez: Pingdom Full Page Test es un tester completo que cargará toda tu Web, incluidas las imágenes, CSS, flash, y cualquier otro contenido de tu página. Luego, por un lado evaluará la rapidez de transferencia total, y por otro te informará de la velocidad de carga de cada uno de estos elementos por separado.
3. Seguridad: Zero Day Scan es un servicio online que detecta las vulnerabilidades de tu Web, como por ejemplo el Cross-Site Scripting (XSS), inyección SQL, y otras. A partir de este análisis, genera un resumen de resultados. Ten en cuenta que requiere la confirmación del propietario de la página.

0 comentarios

Mastercard acaba de ganar un caso de disputa de dominios presentando una queja ante WIPO y exigiendo la transferencia del nombre del dominio mastercard-brasil.com. El nombre fue adquirido por Pattishall McAuliffe, y tras la decisión del jurado, ha pasado a manos de la gran compañía de crédito.

Los argumentos presentados por Mastercard se basaban principalmente en la violación de sus derechos sobre la marca registrada y, además, añadieron que el antiguo propietario del dominio estaba haciendo mal uso del nombre, intentando recoger información personal de los usuarios que llegaban por error a su Web cuando intentaban dirigirse a la página oficial de Mastercard.

Esta claro que este nombre de dominio ha violado varias normativas, especialmente la de lso derechos sobre la marca registrada Mastercard, pero dudo que utilizara el dominio con malas intenciones, ya que, según fuentes, el dominio ha permanecido inactivo desde su registro. ¿Cómo podía obtener información de los usuarios si no tenía página Web?

Fotografía | www.flickr.com

0 comentarios

El protocolo de Transferencia de Hiper-Texto (HTTPS) es la versión segura de el http (Hyper Text Transfer Protocool) que todos conocemos y utilizamos habitualmente. La diferencia es que, con HTTP podemos desarrollar actividades ecommerce, ya que permite realizar transacciones de forma segura.

En los navegadores comunes, como Firefox o Explorer, cuando estamos empleando un protocolo https podemos ver el icono de un candado, que aparece en la barra principal de nuestro navegador. Además, en la barra de direcciones podremos ver que “http://” será sustituido por “https://”.

¿Y cómo funciona la conexión exactamente? ¿Por qué es más segura? Básicamente, lo que ocurre es que la página Web codifica la sesión con certificado digital. De este modo, el usuario tiene ciertas garantías de que la información que envíe desde dicha página no podrá ser interceptada y utilizada por terceros.

Estos certificados de seguridad son conocidos como SSL. Cuando estos estás instalados en la página Web veremos el candado del que hablábamos anteriormente. Por otro lado, si están instalados Certificados de Validación Extendida, los usuarios, además del candado, podremos ver que la barra de URL’s del navegador toma un fondo verdoso. (siempre que estemos utilizando las últimas versiones de Firefox, Explorer o Opera).

Fotografía | www.flickr.com

0 comentarios

Ayer hablábamos de una aplicación tester para aumentar la seguridad y estabilidad de nuestra página. Pero existen muchas otras herramientas de este tipo, y lo mejor de todo, también son gratuitas. Sin embargo, no hay tantas aplicaciones que pongar a prueba el servidor Web directamente y menos aún que estén diseñadas para servidores Windows.

Wikto, que aparentemente debe su nombre a Nikto (una herramienta basada en Unix), es un escáner totalmente gratuito y libre, que realiza una búsqueda en el entorno de un servidor Web Windows para encontrar vulnerabilidades. A diferencia de las aplicaciones escáner que se centran en el código, Wikto se encarga de todo el servidor.

Wikto se basa en un entorno .NET, así que deberías tener .NET instalado en tu máquina Windows si te interesa utilizarlo. Puedes encontrar documentación completa en la página Web de Senspost, y también puedes descargarlo directamente.

0 comentarios

Existe una forma de ocultar la versión de Apache de tu servidor y varias razones por las que deberías hacerlo. Algunos aspirantes a hacker podrían estar interesados en tu versión de Apache, así podrían aprovechar las vulnerabilidades que saben que tiene tu servidor.

Lo ideal sería actualizar siempre el software de tu servidor, siguiendo los consejos de serguridad para protejer nuetras bases de datos, pero a veces no tenemos demasiado tiempo o aparecen problemas de donde menos nos lo esperamos y, entonces, comienzan a haber agujeros por todas partes.

Para ocultar la versión de Apache del servidor Linux a tus visitantes, modifica el archivo de configuración de Apache, añadiendo estas directivas:

ServerTokens ProductOnly
ServerSignature Off

Si utilizas una distribución de Linux basada en Redhat, tendrás que editar el archivo httpd.conf que encontrarás en la carpeta /etc/httpd.

Y así de fácil, a partir de ahora ningún usuario podrá conocer la versión de Apache que tienes instalada en tu servidor Linux.

Fotografía | www.flickr.com

0 comentarios

Permitir el acceso a todo tipo de código PHP en tu servidor Web abre la puerta a muchos problemas de seguridad. Nunca se sabe cuando un atacante puede seleccionar tu servidor y convertirlo en su próximo objetivo. Por esta razón, cualquier código en ejecución puede ser un vía de ataque y PHP no es una excepción. Hace unas semanas ya vimos otros programas interesantes como phpSysInfo, que resumía la información más importante de nuestro servidor Web. A continuación veremos PhpSecInfo, una herramienta similar que elevará los niveles de seguridad mínima de nuestro servidor.

PhpSecInfo es una buena herramienta PHP para defenderse de este tipo de ataques. Se trata de una aplicación que mostrará la información sobre la seguridad de un código PHP y te sugerirá ideas para mejorarlo. Claro que, se trata de un método de baja seguridad, si lo que quieres es protejer tu servidor de forma seria, PhpSecInfo no es suficiente.

Por ejemplo, PhpSecInfo no examina tu código PHP para detectar vulnerabilidades, de hecho, ya deja claro en su Web oficial que no se encarga de educar para las prácticas seguras de programación. En lugar de esto, se centra en aportar información sobre el propio entorno PHP y como configurarlo en tu servidor.

Instalar PhpSecInfo es muy fácil, ya que es en si mismo un código PHP. Sólo tendrás que descomprimirlo en una carpeta de tu servidor y abrir la URL en el navegador. Puedes descargar PhpSecInfo desde la página de PHP Security Consortium. Además, es software gratuito, libre, y se distribuye bajo la nueva licencia BSD.

Vía | www.phpsec.org

2 comentarios