Tanto si administras un simple blog como una tienda de comercio electrónico hecha y derecha, la seguridad del back-endde tu sitio web debería ser una de tus máximas prioridades. Considerando las consecuencias potencialmente catastróficas de una violación de datos, tiene sentido hacer un esfuerzo extra para proteger la infraestructura de tu sitio web. Además de actualizar regularmente el software CMS y los plugins, existen algunos pasos más específicos que pueden tomarse para prevenir las brechas de seguridad. Usa los siguientes consejos para apuntalar las defensas de tu sitio web.
Limita los intentos de inicio de sesión
Vigilar las tentativas de entrada al sistema y de golpeo de puertos (del inglés port knocking), es una de las mejores maneras de prevenir los ataques de fuerza bruta. Asegúrate de configurar tu CMS para limitar el número de veces que puede realizarse un intento de inicio de sesión desde una dirección IP particular. Con los programas de blogging completos como WordPress, puedes conseguir esto con un plugin que prohíba el acceso a direcciones IP basándose en la actividad sospechosa.
Valida siempre las entradas de los formularios
Uno de los exploitsmás comunes y conocidos por los webmasters es la inyección SQL. En términos generales, funciona porque los sitios web no validan las entradas de los formularios y los parámetros de consulta tales como el nombre, el correo electrónico o el texto en la sección de comentarios. Afortunadamente, validar los datos de entrada con un CMS como WordPress o Joomla es fácil debido a la disponibilidad de plugins como Instant Comment Validation.
Céntrate en proteger las contraseñas
El empleo y la protección de las contraseñas debería ser una prioridad tanto para los webmasters como para los usuarios por igual. Una buena contraseña que resista los intentos de cracking por fuerza bruta tiene como mínimo 12 caracteres de longitud y contiene una buena mezcla de letras mayúsculas y minúsculas, números y símbolos. Además, es aconsejable implementar salted password hashing. Finalmente, asegúrate de usar SSL para el área de administración de tu sitio web y de proteger con contraseña los directorios mediante un archivo .htaccess.
Limita el acceso a la información de archivo
Dejar la información de archivo de tu sitio web desprotegida es el primer paso para que las credenciales del administrador o de los usuarios sean hackeadas. Para los principiantes, deshabilita los listados de directorios. También es una buena idea modificar los informes de errores para que las páginas 401 no revelen demasiado acerca de un nombre de usuario ni de su contraseña correspondiente. Además, tienes que asegurarte de que los archivos que los usuarios suben no sean ejecutables. Usa el archivo .htaccess de tu sitio web para establecer los permisos en 644 cuando los usuarios suban archivos.
Confía en las herramientas Opensource
Usar software y scripts opensource o de código abierto en el desarrollo de tu sitio web es a menudo la mejor manera de evitar ataques. Las plataformas CMS Opensource como WordPress, Drupal y Joomla son un buen comienzo. Los programas servidores como Apache o Nginx combinados con lenguajes de scripting como Python o PHP conducen a plataformas de hosting extremadamente seguras desde un principio. Entra en Github y otros repositorios de código opensource si necesitas una solución personalizada a un problema de desarrollo.
La vigilancia eterna es la clave
Obviamente, hay muchas más cosas que se pueden hacer para proteger la seguridad de un sitio web que los consejos listados anteriormente. Sin embargo, son un muy buen comienzo si quieres cubrir las principales bases. La realidad es que siempre habrá un nuevo exploit web que contrarrestar. Por tanto, tienes que permanecer alerta y pensar en la seguridad de tu sitio web en todo momento.