La mayoría de las personas en Internet son buenas y honestas. Sin embargo, hay algunas personas que navegan en Internet que se divierten al hurgar en sitios web y encontrar agujeros de seguridad. Algunos consejos simples pueden ayudarlo a proteger su sitio web de las formas básicas. Ahora, obviamente, el tema de la seguridad de los datos es complicado y está más allá del alcance de esta columna. Sin embargo, abordaré los conceptos básicos que uno debe hacer, que aliviará muchos problemas potenciales que podrían permitir a las personas ver cosas que no deberían ver.
Directorios de protección con contraseña
Si tiene un directorio en su servidor que debe permanecer privado, no dependa de personas que no adivinen el nombre del directorio. Es mejor proteger con contraseña la carpeta en el nivel del servidor. Más del 50% de los sitios web funcionan con un servidor Apache, así que veamos cómo proteger con contraseña un directorio en Apache.
Apache toma los comandos de configuración a través de un archivo llamado .htaccess que se encuentra en el directorio. Los comandos en .htaccess tienen efecto en esa carpeta y en cualquier subcarpeta, a menos que una subcarpeta en particular tenga su propio archivo .htaccess dentro. Para proteger con contraseña una carpeta, Apache también usa un archivo llamado .htpasswd. Este archivo contiene los nombres y contraseñas de los usuarios con acceso otorgado. La contraseña está encriptada, por lo que debe usar el programa htpasswd para crear las contraseñas. Para acceder a él, vaya a la línea de comando de su servidor y escriba htpasswd. Si recibe un error de «comando no encontrado», debe ponerse en contacto con el administrador del sistema. Además, tenga en cuenta que muchos servidores web proporcionan formas basadas en la web para proteger un directorio, por lo que pueden tener las cosas configuradas para que lo haga de esa manera en lugar de hacerlo por su cuenta. Salvo esto, continuemos.
Escriba «htpasswd -c .htpasswd myusername» donde «myusername» es el nombre de usuario que desea. Luego se le pedirá una contraseña. Confirme y se creará el archivo. Puede verificar esto por FTP. Además, si el archivo está dentro de su carpeta web, debe moverlo para que no sea accesible al público. Ahora, abra o cree su archivo .htaccess. En el interior, incluya lo siguiente:
AuthUserFile /home/www/passwd/.htpasswd
AuthGroupFile / dev / null
AuthName «Carpeta segura»
AuthType Basic
requerir usuario válido
En la primera línea, ajuste la ruta del directorio a donde esté su archivo .htpasswd. Una vez que esté configurado, obtendrá un cuadro de diálogo emergente cuando visite esa carpeta en su sitio web. Deberá iniciar sesión para verlo.
Desactivar listados de directorio
De manera predeterminada, cualquier directorio en su sitio web que no tenga un archivo de página de inicio reconocido (index.htm, index.php, default.htm, etc.) en su lugar mostrará una lista de todos los archivos en esa carpeta. Es posible que no desee que la gente vea todo lo que tiene allí. La forma más sencilla de protegerse contra esto es simplemente crear un archivo en blanco, nombrarlo index.htm y luego subirlo a esa carpeta. Su segunda opción es, nuevamente, usar el archivo .htaccess para deshabilitar la lista de directorios. Para hacerlo, solo incluya la línea «Opciones-Índices» en el archivo. Ahora, los usuarios obtendrán un error 403 en lugar de una lista de archivos.
Eliminar archivos de instalación
Si instala software y scripts en su sitio web, muchas veces vienen con scripts de instalación y / o actualización. Dejarlos en su servidor abre un gran problema de seguridad porque si alguien más está familiarizado con ese software, puede encontrar y ejecutar sus scripts de instalación / actualización y así restablecer toda su base de datos, archivos de configuración, etc. Un paquete de software bien escrito le advertirá eliminar estos elementos antes de permitirle usar el software. Sin embargo, asegúrese de que esto se haya hecho. Simplemente elimine los archivos de su servidor.
Manténgase al día con las actualizaciones de seguridad
Quienes ejecutan paquetes de software en su sitio web deben mantenerse en contacto con actualizaciones y alertas de seguridad relacionadas con ese software. No hacerlo puede dejarlo abierto a los hackers. De hecho, muchas veces se descubre y notifica un agujero de seguridad deslumbrante y hay un retraso antes de que el creador del software pueda lanzar un parche para ello. Cualquiera que esté dispuesto puede encontrar su sitio ejecutando el software y aprovechar la vulnerabilidad si no actualiza. Yo mismo me quemé varias veces, destruí foros enteros y tuve que restaurar desde la copia de seguridad. Sucede.
Reduzca su nivel de informe de errores
Hablando principalmente de PHP aquí porque eso es en lo que trabajo, los errores y advertencias generados por PHP se imprimen, por defecto, con información completa en su navegador. El problema es que estos errores generalmente contienen rutas de directorio completas a los scripts en cuestión. Regala demasiada información. Para aliviar esto, reduzca el nivel de informe de errores de PHP. Puede hacer esto de dos maneras. Una es ajustar su archivo php.ini. Esta es la configuración principal para PHP en su servidor. Busque las directivas error_reporting y display_errors. Sin embargo, si no tiene acceso a este archivo (muchos no lo tienen en el alojamiento compartido), también puede reducir el nivel de informe de errores utilizando la función error_reporting () de PHP. Incluya esto en un archivo global de sus scripts de esa manera mal trabajo en todos los ámbitos.
Asegure sus formularios
Los formularios abren un gran agujero a su servidor para los piratas informáticos si no los codifica correctamente. Dado que estos formularios generalmente se envían a algún script en su servidor, a veces con acceso a su base de datos, un formulario que no proporciona alguna protección puede ofrecer a un pirata informático acceso directo a todo tipo de cosas. Tenga en cuenta que … solo porque tiene un campo de dirección y dice «Dirección» delante de él no significa que pueda confiar en que las personas ingresen su dirección en ese campo. Imagine que su formulario no está codificado correctamente y el script al que se envía tampoco. ¿Qué impide que un hacker ingrese una consulta SQL o un código de script en ese campo de dirección? Con eso en mente, aquí hay algunas cosas que hacer y buscar:
Usa MaxLength. Los campos de entrada en el formulario pueden usar el atributo maxlength en el HTML para limitar la longitud de entrada en los formularios. Use esto para evitar que las personas ingresen demasiados datos de WAY. Esto detendrá a la mayoría de las personas. Un pirata informático puede omitirlo, por lo que también debe protegerse contra la información saturada en el nivel del script.
Ocultar correos electrónicos Si utiliza una secuencia de comandos de formulario a correo, no incluya la dirección de correo electrónico en el formulario. Derrota el punto y las arañas de spam aún pueden encontrar su dirección de correo electrónico.
Validación de formulario de uso. No entraré en una lección sobre programación aquí, pero cualquier script que envíe un formulario debe validar la entrada recibida. Asegúrese de que los campos recibidos sean los esperados. Verifique que los datos entrantes tengan una longitud razonable y esperada y que tengan el formato adecuado (en el caso de correos electrónicos, teléfonos, cremalleras, etc.).
Evitar la inyección de SQL. Una lección completa sobre la inyección de SQL se puede reservar para otro artículo, sin embargo, lo básico es que la entrada del formulario se puede insertar directamente en una consulta SQL sin validación y, por lo tanto, le da al pirata informático la capacidad de ejecutar consultas SQL a través de su formulario web. Para evitar esto, siempre verifique el tipo de datos de los datos entrantes (números, cadenas, etc.), ejecute una validación de formulario adecuada según lo anterior y escriba las consultas de tal manera que un pirata informático no pueda insertar nada en el formulario que haga que la consulta funcione algo diferente de lo que pretendes.
Conclusión
La seguridad del sitio web es un tema bastante complicado y se vuelve MUCHO más técnico que esto. Sin embargo, le he dado una guía básica sobre algunas de las cosas más fáciles que puede hacer en su sitio web para aliviar la mayoría de las amenazas a su sitio web.
