APRENDE A PROTEGER TU WEB
Un elemento indispensable para llevar a cabo un plan de contingencia o continuidad de negocio que nos permita minimizar el impacto de ciberataques es una matriz de riesgos.
1. Confiar en proveedores reconocidos.
Los grandes proveedores como Amazon, Google, Cloudflare, Akamai, etc. Son, sin lugar a duda, una muy buena opción y no suponen un coste económico muy superior al de otros proveedores pequeños ya que disponen de planes muy flexibles que se adaptan a cada compañía. En estos casos la tranquilidad que dan los estándares de seguridad y respuesta ante incidentes que estas grandes empresas garantizaran que tu web está protegida.
2. Implementar soluciones que puedan mitigar ataques de DDOS.
La disponibilidad de tu web es fundamental para captar usuarios nuevos o generar confianza en los ya existentes. Una de las maneras más económicas y sencillas de, entre otras cosas, minimizar el impacto de los ataques de DDoS es utilizar los servicios de un CDN (Content Delivery Network).
3. Implementar soluciones que permitan proteger al servidor web de los ataques listados en el TOP10 de la OWASP
(https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf). Para ello una buena opción puede ser la utilización de servicios en la nube que provean soluciones de tipo WAF (Web Application Firewall)
(https://github.com/OWASP/Top10/blob/master/2017/OWASP%20Top%2010-2017%20(en).pdf). Nueva actualización OWASP/Top10 – 2017
4. Realizar auditorías de seguridad y test de penetración periódicamente para asegurar que la web es segura.
Estas auditorías son llevadas a cabo por los equipos de Hacking Ético de cualquier empresa de servicios de ciberseguridad y su propósito es atacar nuestra web de manera controlada y planificada. De este modo se prueba la robustez de la seguridad de nuestro sistema ante ataques reales. El entregable esperado debe ser un informe que detalle los problemas identificados, el impacto de los mismos y una recomendación para solucionarlos.
5. Realizar backups periódicos
que permitan recuperar la información y el estado de la web ante eventuales contingencias.
6. Utilizar el protocolo HTTPS (SSL)
Esto permite cifrar todas las comunicaciones para evitar que un atacante pueda interceptar la información entre nuestros usuarios y nuestro servidor y por lo tanto pueda robar datos o modificarlos.
Además, en el caso de estar utilizando algún CMS (Gestor de contenidos del tipo de WordPress, Joomla, etc) es recomendable seguir estos 5 consejos:
- Cambiar los parámetros de usuario y contraseña por defecto de la consola de administración.
- El nombre del usuario se recomienda que no sea nada fácilmente deducible por los atacantes (admin, administrador, administrator, el nombre del dominio, etc).
- Crear un alias para que en las publicaciones no expongamos el nombre de usuario real. De este modo complicaremos los ataques de fuerza bruta.
- Tener siempre actualizados los temas y plugins de nuestra web.
- Renombrar los prefijos por defecto de las tablas de datos. Esto se puede llevar a cabo en los ficheros de configuración o incluso existen plugins que lo realizan automáticamente.
La Web es la cara de nuestra empresa en Internet, es el punto de contacto de muchos de nuestros clientes o incluso es el mecanismo que utilizamos para vender nuestros productos. Por ello es imprescindible implementar soluciones que nos permitan garantizar su disponibilidad y su seguridad. Para ello, por suerte hoy en día y gracias a la aparición de soluciones de seguridad en la nube (cloud) podemos acceder a infraestructuras muy seguras por apenas unas decenas de €uros al mes. Ya no es imprescindible comprar costosas máquinas y pagar un mantenimiento para evitar estar expuestos.
Algunas de las cuestiones básicas a tener en cuenta para proteger nuestra web son las siguientes: