Esta guía pretende servir de referencia a los responsables de seguridad de un sitio web, mientras realicen las siguientes tareas:
- Detectar ataques.
- Minimizar posibles daños una vez sufrido el ataque.
- Tomar medidas preventivas de seguridad para evitar que un sistema se vea comprometido.
Los ficheros de un sitio web se encuentran alojados principalmente en:
- Servidores web dedicados y administrados por el propietario de la página.
- Sistemas contratados o alquilados para tal efecto, a través de empresas de hosting.
Cuando un tercero, a través de diversas técnicas, obtiene permisos de acceso de escritura en el sistema, tiene la posibilidad de cambiar alguno o varios de los archivos del sitio, pudiendo posteriormente realizar acciones como:
- Obtener información confidencial.
- Comprometer los equipos de los usuarios que visitan el sitio web atacado, creando una BotNet o red de ordenadores infectados.
- Obtener direcciones de correo para envío de spam.
- Abusar del ancho de banda contratado por los usuarios.
- Alojar phishing suplantando a otras entidades.
- Uso de los procesadores de los sistemas comprometidos.
- Uso del espacio web para alojar diversos contenidos con fines fraudulentos o maliciosos.
Existe una serie de pasos a seguir para detectar si una web ha sufrido un ataque por parte de terceros. Los pasos se describen a continuación.
-Comprobar si la apariencia de la web se ha visto modificada o muestra características, contenidos o acciones distintas a las esperadas.
-Comprobar las direcciones IP de las últimas conexiones al servidor FTP.
-Revisar el archivo log de conexiones al sitio web y sus peticiones.
-Comprobar el listado de ficheros del sitio en busca de cambios no deseados.
-Revisar el código fuente de la web en busca de la posible detección de los ataques más comunes.
Las acciones a emprender han de ir dirigidas a corregir la vía de acceso al servidor que ha usado el atacante, ya que si el agujero de seguridad permaneciera, seguiría siendo vulnerable y podría ser atacado nuevamente.
Existen varios pasos a seguir cuando una página ha sufrido un ataque. Son los que a continuación se describen.
-Mantener el sitio fuera de Internet.
-Conectar con la empresa de web hosting.
-Encontrar y reparar los cambios maliciosos.
-Ejecutar antivirus y antiespías en los equipos de los administradores.
-Cambiar las contraseñas.
-Comprobar los permisos de los archivos.
-Actualizar a las últimas versiones.
-Identificar la IP o IPs que realizaron el ataque.
En cuanto a la prevención, existen varios puntos a tener en cuenta. Son los que a continuación se describen.
-Se deben conocer las recomendaciones generales referidas a la seguridad informática.
-Es importante mantener en buen estado de seguridad del equipo utilizado para la administración del sitio web.
-Hay que auditar constantemente el sitio web habilitando la opción de «logs permanentes.
-Tiene prioridad tener una buena política de contraseñas seguras.
-Se debe disponer de copias de seguridad de la web.
-Hay que compartir información con servidores de terceros.
-Es necesario comprobar que los permisos de ficheros y directorios son seguros.
-Es importante realizar un buena programación de la web, usando código seguro.
-Hay que mantener el software empleado (servidor web, bases de datos, etc.) en las últimas versiones.
-Se debe bloquear la actividad sospechosa a través de los archivos de configuración distribuida.