Seguridad en los sitios WEB

Objeto y alcanze

Esta guía pretende servir de referencia a los responsables de seguridad de un sitio web, mientras realicen las siguientes tareas:

  • detectar ataques
  • minimizar posibles daños una vez sufrido el ataque
  • tomar medidas preventivas de seguridad para evitar que un sistema se vea comprometido

Descripcion

Los ficheros de un sitio web se encuentran alojados principalmente en:

  • servidores web dedicados y administrados por el propietario de la página
  • sistemas contratados o alquilados para tal efecto, a través de empresas de hosting

En el primer caso es el desarrollador o administrador del sitio quien gestiona su propio servidor, adoptando las medidas de seguridad necesarias para evitar el acceso por parte de atacantes. En el segundo caso, la empresa de hosting ofrece normalmente una serie de servicios para potenciar y reforzar la seguridad de sus sistemas. Aún así, los usuarios de este tipo de servicio de alojamiento disponen de un panel de control o administración a través del cual pueden administrar el contenido de su sitio web. Los paneles de control más comunes son: cPanel, Plesk. Cuando un tercero, a través de diversas técnicas, obtiene permisos de acceso de escritura en el sistema, tiene la posibilidad de cambiar alguno o varios de los archivos del sitio, pudiendo posteriormente realizar acciones como:

  • obtener información confidencial
  • comprometer los equipos de los usuarios que visitan el sitio web atacado, creando una BotNet o red de ordenadores infectados
  • obtener direcciones de correo para envío de spam
  • abusar del ancho de banda contratado por los usuarios
  • alojar phishing suplantando a otras entidades
  • uso de los procesadores de los sistemas comprometidos
  • uso del espacio web para alojar diversos contenidos con fines fraudulentos o maliciosos

Deteccion del ataque

Existe una serie de pasos a seguir para detectar si una web ha sufrido un ataque por parte de terceros. Los pasos se describen a continuación.

  • Comprobar si la apariencia de la web se ha visto modificada o muestra características, contenidos o acciones distintas a las esperadas.
  • Comprobar las direcciones IP de las últimas conexiones al servidor FTP que aloja los activos:
    • Deben coincidir con algunas de las direcciones conocidas por los propietarios del sitio. Para identificar las IPs externas se pueden seguir los siguientes enlaces: http://www.whatismyip.com o http://www.cualesmiip.com
  • Revisar el archivo log de conexiones al sitio web y sus peticiones:
  • Comprobar el listado de ficheros del sitio en busca de cambios no deseados:
    • Existen diversos procedimientos para detectar si se ha producido algún cambio en los archivos, como puede ser comparar listas de ficheros (obtenidas, por ejemplo, a través del comando “clon”), en momentos distintos para compararlas:
      • Existen diversos procedimientos para detectar si se ha producido algún cambio en los archivos, como puede ser comparar listas de ficheros (obtenidas, por ejemplo, a través del comando “clon”), en momentos distintos para compararlas:
      • Comprobar si se han cambiado los permisos preestablecidos sobre los archivos de la web.

Actuacion ante el ataque

Una vez detectado que un servidor ha sido atacado es necesario actuar lo más pronto posible para evitar nuevas víctimas entre los usuarios de la página y también para mantener la reputación y la credibilidad del propio sitio. Las acciones a emprender han de ir dirigidas a corregir la vía de acceso al servidor que ha usado el atacante, ya que si el agujero de seguridad permaneciera, seguiría siendo vulnerable y podría ser atacado nuevamente. Existen varios pasos a seguir cuando una página ha sufrido un ataque. Son los que a continuación se describen.

  • Mantener el sitio fuera de Internet:

Habilitar como no accesible el sitio web hasta corregir el problema. Existe la posibilidad de realizarlo a través de comandos u opciones pero, también, incluso se puede desenganchar físicamente la máquina de su conexión a Internet.

  • Conectar con la empresa de web hosting:

Normalmente estas empresas ofrecen un correo o formulario para contactar con ellas. En este caso, hay que notificar los datos más significativos del incidente sufrido, que suelen ser los siguientes:

  • dirección IP de la web
  • hora y día del ataque
  • asimismo, se debe ofrecer una dirección de correo electrónico diferente a la empleada en el registro del sitio web para evitar problemas en caso de encontrarse también comprometida

Prevenir ataques

En cuanto a la prevención, existen varios puntos a tener en cuenta. Son los que a continuación se describen.

  • Se deben conocer las recomendaciones generales referidas a la seguridad informática
  • Es importante mantener en buen estado de seguridad del equipo utilizado para la administración del sitio web.
  • Hay que auditar constantemente el sitio web habilitando la opción de «logs permanentes».
  • Tiene prioridad tener una buena política de contraseñas seguras.
  • Se debe disponer de copias de seguridad de la web.
  • Hay que compartir información con servidores de terceros.
  • Es necesario comprobar que los permisos de ficheros y directorios son seguros.
  • Es importante realizar un buena programación de la web, usando código seguro
  • Es importante realizar un buena programación de la web, usando código seguro.
  • Hay que mantener el software empleado (servidor web, bases de datos, etc.) en las últimas versiones.
  • Se debe bloquear la actividad sospechosa a través de los archivos de configuración distribuida