El problema de la seguridad web
La seguridad en la web es un tema que por desgracia, no está en mente de muchos. Muchos piensan que con tener su página web creada, ya no deben preocuparse, ya no va a haber problemas. Pero ese es el primer gran fallo que se comete a la hora de reflexionar en la seguridad informática.
Tampoco quiero asustaros ahora con tecnicismos y complicadas maneras de convertir vuestro blog en un búnker, lo que quiero es informar a la gente que sabe poco o nada sobre el tema para que así se puedan preparar y evitar posibles catástrofes.
También quiero mostrar un dicho popular que me explicaron en clase de seguridad informática:
Puedes tener los datos más valiosos del mundo guardados en un ordenador desconectado de internet, guardado en una base subacuática protegida por más de 50 guardias las 24 horas del día, los 7 días de la semana los 365 días del año que aun así sufriría por la seguridad de dichos datos.
Dicho popular
Recuerdo y siempre recordaré el momento y lo que me caló dicha frase que nos indica que la seguridad 100% real NO EXISTE, y que si alguien quiere entrar en tu web y tiene los medios para hacerlo, lo hará. Por lo que con esta entrada no quiero venderte la moto de la web 100% segura e imposible de hackear. Con esto quiero mostraros la manera de complicarles el camino a los hackers de sombrero negro.
¿Cómo mejoro la seguridad en la Web?
Esta entrada está orientada hacía WordPress, ya que es el CMS más utilizado que existe en el planeta, pero si no utilizas WordPress, no te preocupes, se puede aplicar los conocimientos a todo tipo de webs.
Accesos desautorizados.
Uno de los grandes problemas (por no decir el mayor) de WordPress, es qué el acceso a su panel de administración es EL MISMO EN TODAS LAS WEBS (www.eldominioquesea.com/wp-admin) por lo que hace que cualquiera pueda acceder. Pero pensaréis «Debianlu, tengo usuario y contraseña, ¿Qué más da que accedan al login?», pues muy simple, que si acceden al login pueden empezar a probar y probar usuarios y contraseñas hasta encontrarla y tener acceso completo a tu web, y muchas veces incluso ni eso, ya que en muchas páginas webs, ¿Sabéis cómo se llama el usuario administrador? Admin, haciendo que tan solo deban buscar la contraseña.
La mejor manera para evitar esto es simple, cambiando el enlace de acceso al login y el nombre de usuario administrador.
Fuerza Bruta
La fuerza bruta es el método que utilizan los crackers para probar miles y miles de contraseñas en unos pocos segundos o minutos. Para ello emplean listas y bots potentes que se dedican a probar el usuario y la contraseña en el login.
Para evitar esto, no solo ayuda cambiar el enlace de acceso al login y el nombre de usuario administrador, sino que también habría que añadir un captcha de acceso para así evitar la automatización del login.
Comentarios dañinos
Los comentarios en tu web pueden ayudar a fidelizar a tus seguidores, pero hay que tener mucho cuidado con ellos, ya que podrían añadir comandos maliciosos que controlasen tu web.
El más típico es el XSS, el cual se suele utilizar para hacer que aparezca una ventana emergente en tu web cada vez que se entre en dicha entrada donde esté el comentario malicioso. Esto puede usarse cómo phishing para los nuevos usuarios haciendo creer que la ventana emergente es auténtica de la misma web.
Para evitar problemas hay que controlar los comentarios y bloquear y borrar todos aquellos que veamos que son sospechosos.
Prevención de Spam
En relación con el anterior, aunque un poco más conocido está el Spam, es muy molesto tener comentarios que ni siquiera han sido creados por personas que tan solo quieren añadir enlaces que a saber si son fiables o no. Para evitar esto, hay que añadir un captcha en los comentarios para evitar así que los bots puedan hacer comentarios.
Vulnerabilidades
Las vulnerabilidades son fallos de programación que tienen los programas (o en este caso las webs) que permiten a los cyber-delincuentes tener un control sobre el sistema. La única manera de evitarlas es teniendo la página web, los plugins y los temas de esta SIEMPRE actualizada.
Consejo: Si no queréis que estar mirando si hay nueva actualización en los plugins, podéis activar la «actualización automática» yendo a plugins > plugins instalados y pulsando en el enlace de «Activar las actualizaciones automáticas» que habrá a la derecha de cada plugin.
Segundo consejo: Instalad únicamente los plugins y temas que utilicéis. Si habéis dejado de usar uno desactivadlo y borradlo completamente, ya que puede llevar a un posible error de seguridad en un futuro.
All In One WP Security
Si queréis tenerlo todo centralizado, os recomiendo utilizar el plugin All In One WP Security, con este plugin podrás configurar la mayoría (por no decir todos) los problemas que he comentado anteriormente y de una manera muy sencilla y simple.
Con él, tu web se volverá mucho más segura.
