Seguridad en los sitios web

Objeto y alcance

Esta guía pretende servir de referencia a los responsables de seguridad de un sitio web, mientras realicen las siguientes tareas:

- Detectar ataques.

- Minimizar posibles daños una vez sufrido el ataque.

- Tomar medidas preventivas de seguridad para evitar que un sistema se vea comprometido.

Descripcción

Los ficheros de un sitio web se encuentran alojados principalmente en:

- Servidores web dedicados y administrados por el propietario de la página.

- Sistemas contratados o alquilados para tal efecto, a través de empresas de hosting.

Cuando un tercero, a través de diversas técnicas, obtiene permisos de acceso de escritura en el sistema, tiene la posibilidad de cambiar alguno o varios de los archivos del sitio, pudiendo posteriormente realizar acciones como:

- Obtener información confidencial.

- Comprometer los equipos de los usuarios que visitan el sitio web atacado, creando una BotNet o red de ordenadores infectados.

- Obtener direcciones de correo para envío de spam.

- Abusar del ancho de banda contratado por los usuarios.

- Alojar phishing suplantando a otras entidades.

- Uso de los procesadores de los sistemas comprometidos.

- Uso del espacio web para alojar diversos contenidos con fines fraudulentos o maliciosos.

Detección

Existe una serie de pasos a seguir para detectar si una web ha sufrido un ataque por parte de terceros. Los pasos se describen a continuación.

-Comprobar si la apariencia de la web se ha visto modificada o muestra características, contenidos o acciones distintas a las esperadas.

-Comprobar las direcciones IP de las últimas conexiones al servidor FTP.

-Revisar el archivo log de conexiones al sitio web y sus peticiones.

-Comprobar el listado de ficheros del sitio en busca de cambios no deseados.

-Revisar el código fuente de la web en busca de la posible detección de los ataques más comunes.

Actuación ante el ataque

Las acciones a emprender han de ir dirigidas a corregir la vía de acceso al servidor que ha usado el atacante, ya que si el agujero de seguridad permaneciera, seguiría siendo vulnerable y podría ser atacado nuevamente.

Existen varios pasos a seguir cuando una página ha sufrido un ataque. Son los que a continuación se describen.

-Mantener el sitio fuera de Internet.

-Conectar con la empresa de web hosting.

-Encontrar y reparar los cambios maliciosos.

-Ejecutar antivirus y antiespías en los equipos de los administradores.

-Cambiar las contraseñas.

-Comprobar los permisos de los archivos.

-Actualizar a las últimas versiones.

-Identificar la IP o IPs que realizaron el ataque.

Prevenir ataque

En cuanto a la prevención, existen varios puntos a tener en cuenta. Son los que a continuación se describen.

-Se deben conocer las recomendaciones generales referidas a la seguridad informática.

-Es importante mantener en buen estado de seguridad del equipo utilizado para la administración del sitio web.

-Hay que auditar constantemente el sitio web habilitando la opción de «logs permanentes.

-Tiene prioridad tener una buena política de contraseñas seguras.

-Se debe disponer de copias de seguridad de la web.

-Hay que compartir información con servidores de terceros.

-Es necesario comprobar que los permisos de ficheros y directorios son seguros.

-Es importante realizar un buena programación de la web, usando código seguro.

-Hay que mantener el software empleado (servidor web, bases de datos, etc.) en las últimas versiones.

-Se debe bloquear la actividad sospechosa a través de los archivos de configuración distribuida.