¿Cuáles son buenas medidas de ciberseguridad para recordar cuando aloja un sitio web en su propio servidor?

Nunca puedes deshacer el daño hecho por un hacker, puedes tomar medidas para evitarlo. Incluso la protección más básica desalentará a muchos piratas informáticos lo suficiente como para hacer que vayan a buscar recolecciones más fáciles en otros lugares. Es más probable que los ladrones le roben a las personas que dejan sus puertas sin llave.

1. Manténgase actualizado.

Debes mantenerte al día con las amenazas de piratería. Si tiene al menos un conocimiento básico de lo que es posible, puede proteger su sitio web contra él.

2. Endurezca el control de acceso.

El nivel de administrador de su sitio web es una forma fácil de acceder a todo lo que no desea que vea un hacker. Aplique nombres de usuario y contraseñas que no se puedan adivinar. Cambie el prefijo predeterminado de la base de datos de “wp6_” a algo aleatorio y más difícil de adivinar.

Limite el número de intentos de inicio de sesión dentro de un tiempo determinado, incluso con restablecimientos de contraseña, porque las cuentas de correo electrónico también pueden ser pirateadas. Nunca envíe detalles de inicio de sesión por correo electrónico, en caso de que un usuario no autorizado haya obtenido acceso a la cuenta.

3. Actualiza todo.

Las actualizaciones cuestan dinero a las compañías de software. Solo lo hacen cuando es necesario, sin embargo, muchas personas que usan el software no instalan actualizaciones de inmediato. Si la razón detrás de la actualización es una vulnerabilidad de seguridad, retrasar una actualización lo expone a un ataque en el período intermedio. Los hackers pueden escanear miles de sitios web por hora en busca de vulnerabilidades que les permitan entrar. Se conectan como locos, por lo que si un hacker sabe cómo ingresar a un programa, cientos de hackers también lo sabrán.

4. Apriete la seguridad de la red.

Los usuarios de computadoras en su oficina pueden proporcionar inadvertidamente una ruta de acceso fácil a los servidores de su sitio web. Asegurarse de que:

  • Los inicios de sesión caducan después de un corto período de inactividad.
  • Las contraseñas se cambian con frecuencia.
  • Las contraseñas son fuertes y NUNCA están escritas.
  • Todos los dispositivos conectados a la red se analizan en busca de malware cada vez que se conectan.

5. Instale un firewall de aplicación web.

Un firewall de aplicación web (WAF) puede estar basado en software o hardware. Se establece entre el servidor de su sitio web y la conexión de datos y lee cada bit de datos que lo atraviesan.

Básicamente, el servicio en la nube se implementa frente a su servidor, donde sirve como puerta de entrada para todo el tráfico entrante. Una vez instalado, el firewall de la aplicación web proporciona total tranquilidad, al bloquear todos los intentos de piratería y también filtrar otros tipos de tráfico no deseado, como spammers y bots maliciosos.

6. Instalar aplicaciones de seguridad.

Si bien no es tan efectivo como un WAF completo, hay algunas aplicaciones de seguridad gratuitas y de pago que puede instalar que harán la vida un poco más difícil para los piratas informáticos.

7. Ocultar páginas de administrador.

No desea que los motores de búsqueda indexen sus páginas de administrador, por lo que debe usar el archivo robots_txt para disuadir a los motores de búsqueda de que las enumeren. Si no están indexados, es más difícil que los hackers los encuentren.

8. Limite la carga de archivos.

La carga de archivos es una preocupación importante. No importa cuán minuciosamente el sistema los revise, los errores aún pueden pasar y permitir a un pirata informático acceso ilimitado a los datos de su sitio.

La mejor solución es evitar el acceso directo a los archivos cargados. Almacénelos fuera del directorio raíz y use un script para acceder a ellos cuando sea necesario. Su proveedor de alojamiento web probablemente lo ayudará a configurar esto.

9. Use SSL.

Use un protocolo SSL encriptado para transferir la información personal de los usuarios entre el sitio web y su base de datos. Esto evitará que la información se lea en tránsito y acceda sin la autorización adecuada.

10. Eliminar el formulario de autocompletar.

Cuando deja el autocompletado habilitado para formularios en su sitio web, lo deja vulnerable a los ataques de la computadora o teléfono de cualquier usuario que haya sido robado. Nunca debe exponer su sitio web a ataques que utilicen la pereza de un usuario legítimo.

11. Respaldar con frecuencia.

En caso de que ocurra lo peor de todos modos, mantenga todo respaldado. Haga una copia de seguridad en el sitio, haga una copia de seguridad fuera del sitio, haga una copia de seguridad de todo varias veces al día.

Cada vez que un usuario guarda un archivo, debe realizar una copia de seguridad automáticamente en varias ubicaciones. Hacer una copia de seguridad una vez al día significa que pierde los datos de ese día cuando falla el disco duro. Recuerde que cada disco duro fallará.

12. No puedes ocultar tu código.

Puede comprar software que dice que ocultará el código en sus páginas web. No funciona Los navegadores necesitan acceso a su código para representar las páginas de su sitio web, por lo que hay formas simples de evitar el “cifrado” de la página web.

Deshabilitar el “clic derecho” como una forma de ver el código de su sitio web es molesto para los usuarios porque también deshabilita todas las demás funciones de “clic derecho”, y hay soluciones simples que todo hacker conoce de todos modos.

Related Content

¿Qué tan desafortunado se puede ser con las cosas en Internet?

¿Cómo se mezcla una carrera en aprendizaje automático y seguridad de la información?

Si tuviera la opción de especializarse en seguridad informática o programación paralela para su licenciatura en CS, ¿cuál elegiría y por qué?

¿Cuáles son algunas de las lagunas comunes en los sitios web que explotan los hackers?

¿Cómo afecta el malware a la velocidad de una PC y cómo puede eliminarlos?

Hay muchas variables que intervienen en la respuesta a esa pregunta, que incluyen:

  1. Ya sea que esté hablando de “su propio servidor” como en un servidor que arrienda en un centro de datos, frente a una caja física real en su hogar u oficina.
  2. La naturaleza del sitio web que está alojando: ¿es un sitio para aficionados con solo algunos archivos html planos o un sitio basado en datos que se ejecuta con un lenguaje de script y una base de datos?
  3. ¿Cuánto te importa si se piratea? ¿Estamos hablando de un sitio de misión crítica para su negocio, o un sitio web para compartir fotos de su jardín con su familia? (consejo profesional: hay formas mucho más fáciles de hacerlo hoy en día)
  4. ¿Cuántas personas necesitarán acceder al servidor? ¿Eres solo tú o vas a tener colaboradores?

En general, los conceptos básicos son:

  • Mantenga su software actualizado, esté al tanto de los parches. ESPECIALMENTE parches de seguridad.
  • Elimine el software innecesario del servidor. Por ejemplo, ¿necesitas phpmyadmin? Si tienes tu propia caja, probablemente no.
  • Si está tratando con una caja en su propia casa u oficina a la que tiene acceso físico, configure el firewall del servidor para cerrar todos los puertos excepto el web (generalmente el puerto 80). Si está trabajando con un servidor remoto, también deberá habilitar SSH (puerto 22 de forma predeterminada). Deshabilite FTP si no está deshabilitado de forma predeterminada.
  • Si tiene SSH ejecutándose, deshabilite el acceso de root. Configure SSH para permitir el acceso solo con una clave SSH (y nunca pierda su clave). Si puede garantizar que iniciará sesión desde una dirección IP coherente, también puede limitar las conexiones a la dirección IP específica, pero he descubierto que los proveedores de Internet son notoriamente dudosos al ofrecer a los usuarios normales una experiencia única e inmutable. Direcciones IP.
  • Familiarícese con las implicaciones de seguridad de cualquier software de sitio web que esté ejecutando. Si está ejecutando un CMS como WordPress o Drupal, asegúrese de seguir los protocolos de seguridad adecuados para cada uno de ellos. Aplique contraseñas seguras, no permita que los usuarios tengan más acceso del que realmente necesitan, etc.
  • Configure la supervisión y las alertas de cambio de archivos para saber si alguna vez se cambian los archivos sin su permiso.
  • Use las herramientas de Google Webmaster para monitorear el front-end de su sitio en busca de malware.
  • No recopile ni almacene información de tarjeta de crédito en su servidor. Si tiene que hacer esta pregunta en primer lugar, no está lo suficientemente avanzado como para hacer el tipo de seguridad que se requiere para manejar esto. Use un servicio como Stripe para procesar transacciones con tarjeta de crédito para que nunca tenga que almacenar información CC.
  • Configure y mantenga copias de seguridad periódicas de archivos y datos fuera de línea y / o en un servidor separado.
  • Configure un CDN como Cloudflare para ayudar a mitigar los ataques DDoS si su sitio puede atraerlos.
  • Ah, y si alguien dice “simplemente cambie la configuración a 777”, ejecute gritos y nunca confíe en nada de lo que esa persona diga sobre los servidores nuevamente.

    • A menos que seas un aficionado que solo esté interesado en estas cosas por diversión, definitivamente es mejor que solo compres hosting de un servicio. Para un alojamiento barato, creo que Dreamhost es bastante bueno. Obtiene acceso a la mayoría de los tipos de herramientas que desearía para el desarrollo web de nivel profesional, y puede mejorar sus habilidades con un riesgo y gasto mínimos, mientras se ocupan de la mayoría de los dolores de cabeza de seguridad.

    Si tiene un negocio, simplemente contrate a un profesional, de la misma manera que contrataría a un contador o abogado. No vale la pena aprender algunas cosas además de todo lo que necesita saber para administrar su propio negocio.

    Salman

    El tipo de seguridad que necesita dependerá del tipo de alojamiento que esté utilizando. A los fines de esta pregunta, supongamos que está alojando en una cuenta de alojamiento compartido y está utilizando un CMS.

    Lo primero que debe hacer es SIEMPRE mantener actualizado su CMS.

    Asegúrese de que sus contraseñas de correo electrónico y panel de control sean seguras y NUNCA las comparta con nadie.

    Use SSL en su sitio web. La mayoría de los hosts proporcionarán SSL gratis en estos días.

    Pregúntele a su host si utiliza un firewall y un sistema de detección de intrusos en sus servidores. Si no, ¡encuentra un buen anfitrión que lo haga!

    ¡Apoyo! ¡Apoyo! ¡Apoyo! ¡No puedo enfatizar esto lo suficiente!

    Siempre tenga una copia de seguridad actualizada de su cuenta en caso de que algo salga mal.

    Conseguir un host bueno y confiable es muy importante si desea tener un sitio web seguro. Su host lo ayudará con la seguridad de su cuenta y habilitará filtros (como ModSecurity) para protegerlo de spammers y hackers.

    El software de su servidor siempre debe estar actualizado y eso es otra cosa que un buen host siempre estará al tanto. Una vulnerabilidad reciente (OptionsBleed) en el servidor web Apache significaba que muchos hosts (incluidos nosotros) tenían que realizar actualizaciones de emergencia en todos nuestros servidores web para proteger a nuestros clientes.

    Póngase en contacto con nosotros en Quality Web Hosting Cloud Hosting Reseller Hosting VPS Hosting y estaremos encantados de proporcionarle más información.

    Salman

    Que todo puede ser pirateado.

    Ninguna contraseña es segura

    El mejor secreto es uno que no está escrito.

    y, si “su propio servidor” realmente significa “” una computadora en mi garaje “(u oficina) y” sitio web “significa un blog de WordPress o algunos documentos HTML y algunos CSS y JavaScript en línea o lo que se pueda decir que es básico instancia de presencia en la web, entonces diría que la apuesta para recordar es esta:

    Proteja sus datos lo mejor que pueda y trátelos con la seguridad adecuada como si fuera confidencial.

    Y esté de acuerdo con la idea de que todo lo que cargue es desechable, que cualquier punto en el que pueda matar el servidor y aún así volver a funcionar en una nueva máquina sin tiempo de inactividad teórico. Lo que quiero decir es: su propio servidor puede ser hackeado, puede morir, puede sufrir sobrecargas de energía, puede apagarse, puede hacer muchas cosas que no quiere que haga y que ensucie su sitio web. Copia de seguridad siempre. Mantener la moneda. Obtenga un certificado SSL legítimo y cifre todas las conexiones (no necesariamente con un certificado)

    Por último: es importante pensar en la seguridad en términos de proteger sus datos y mantener la información segura, pero no olvide que eso no es todo; la seguridad también involucra su código real, como en el objeto que está alojado. El servidor inhackable más seguro que sirve a un sitio web a través de una conexión asegurada con los rollos Royce de certificados SSL con cada antivirus antispam instalado no podrá protegerlo de una puerta que olvidó cerrar o una puerta que abrió accidentalmente. Una puerta abierta es una puerta abierta. y se supone que las puertas dejan entrar la cosa.

    Y

    CSRF

    buscalo en Google. El json colocado o formateado de manera inapropiada es una grieta fácil y lo suficientemente grande como para permitir que un pirata informático regular pero resuelto explote ese agujero en una abertura suficiente para que un proverbial 747 vuele hacia adentro y salga potencialmente desapercibido hasta que se note.

    Si la seguridad es una preocupación real, no use su propio servidor único.

    Mudassir Faraz Sharif

    Mantenga el servidor completamente parcheado y actualizado.

    SSL si va a tener usuarios que inicien sesión en portales web.

    Mantenga el servidor detrás del firewall o hágalo en la zona DMZ.

    Si es posible, manténgalo en una red aislada, en caso de que un hacker acceda a él, no se conectará a su LAN privada.

    Respaldarlo

    Si va a ser VM, una vez que esté completamente configurado, mantenga una buena instantánea.

    Controle las reglas de su servidor web y firewall.

    Mudassir Faraz Sharif

    PARCHE. Siempre supervise y aplique parches para su sistema operativo, sus aplicaciones y sus marcos instalados.

    No es emocionante No es sexy Y no se hace lo suficiente.

    Pero es tremendamente eficaz, a un costo insignificante.

    Estos tipos tenían todo tipo de herramientas de seguridad cibernética en su lugar, y aún así se vieron afectados. Es posible que haya leído algo al respecto …

    Si no se corrigió el error de dos meses, se produjo una violación masiva de Equifax

    Allen Smiths
    • Muchos factores pueden estar ahí
    • Consulte a un analista de seguridad profesional que le costará dinero.
    • Los requisitos mínimos son un buen firewall y un conjunto de seguridad de Internet
    • Obtenga firewall gratuito de la alarma de zona
    • Interner sec suite (no gratis) de bit defender / norton, etc. Ver opiniones
    • Estos son desde la perspectiva del usuario doméstico
    • Lo que necesita es un paquete de seguridad de grado industrial
    • Ver también enlace popular
    • Hay molestias como los DDO que se dirigen a sitios comerciales de alto tráfico

    http://Www.owasp.org

    Salman

    More Interesting

    Si mi computadora con Windows está pirateada, ¿cómo puedo probarlo?

    ¿Se puede obtener un virus informático al navegar por la red?

    ¿Qué seguridad se requiere para mantener la información de salud mental en el Reino Unido?

    Virus informáticos: AVG me dio una advertencia sobre regsvr32.exe al instalar Foxit Reader utilizando un instalador CNET. ¿Debería Preocuparme?

    ¿Cómo te preparas para una carrera profesional que conduce a la ciberseguridad? ¿Dónde aprende los aspectos ofensivos y defensivos de la ciberseguridad? ¿Cómo es el pago?

    ¿Cuál es la razón principal por la que la seguridad de la información es diferente de otros temas de investigación?

    Quiero programar un software antivirus, ¿dónde puedo comenzar?

    ¿Cuáles son los beneficios de usar un servicio de administración de contraseñas en lugar de usar una hoja de cálculo protegida por contraseña?

    ¿Por qué se llama relleno de credenciales de esta manera?

    ¿Qué sucede si la empresa donde tengo los datos de mi tarjeta de débito es pirateada y los hackers roban dinero de mi cuenta? ¿Alguien compensará mi pérdida?

    ¿Cuál es el mejor software para la seguridad del sitio web?

    ¿Cuáles son las principales vulnerabilidades de seguridad en los sistemas SCADA para centros de datos y qué empresas se centran en desarrollar soluciones para estos problemas?

    ¿Es eficiente escribir virus en Java?

    Si he estado utilizando la autenticación de 2 etapas, donde esté disponible, ¿sigo en riesgo de sufrir la vulnerabilidad Heartbleed?

    Escenarios hipotéticos: anónimos vs FBI en una guerra cibernética, ¿quién ganaría?