Seguridad

Consejos para mejorar la seguridad de nuestra web

Hoy en día tenemos más en cuenta el posicionamiento o el diseño para nuestra web y/o blog , dejando más de lado la implementación de la seguridad.  En este artículo, que hemos realizado a modo de resumen del informe de Symantec (cuyo contenido íntegro podrá visualizarse al final del artículo), daremos una serie de consejos para mejorar la seguridad de nuestra web.

En el año 2012, se realizó un análisis de vulnerabilidades en más de 1400 sitios web al día, y en más de la mitad de ellos se encontraron vulnerabilidades que podrían provocar infecciones en los equipos de los visitantes o motivar la inclusión del sitio web en una lista negra.

¿Por qué atacan a los sitios web?

Las respuestas a esta pregunta podrían ser varias, aunque la principal es debido a que en Internet se mueve mucho dinero. Hoy en día, utilizan Internet aproximadamente 2800 millones de personas,  y eso permite a los hackers con malas intenciones hacerse con una gran cantidad datos personales, los cuales pueden contener acceso a cuentas bancarias.

¿Qué hacer para proteger nuestro blog o página web?

  • Mantener el servidor actualizado:  Es un riesgo a tener en cuenta que el servidor no este actualizado con las últimas revisiones disponibles.
  • Acceso no autorizado: El usar contraseñas poco seguras, o usar la configuración por defecto de un hardware o software compromete la seguridad de su sitio web. Asegurese de usar contraseñas seguras, incluso de cambiarlas periodicamente, además conceda derechos de acceso administrador únicamente a personas de confianza.
  • Ataques inyección de código: Algunos hackers inyectan código en su página web, con esto consiguen poder infectar a los visitantes cuando accedan a su sitio web o engañarlos y lograr sus datos personales.  Deberá analizar cada cierto tiempo su sitio web para cercionarse de que su código no ha sido modificado, o añadir certificados de seguridad a su sitio web que garantizen  a los clientes que están accediendo al sitio Web que realmente quieren visitar.
  • Ataques por fuerza bruta:  Estos ataques consisten simplemente en probar todas las contraseñas y opciones de cifrado posibles hasta descubrir el código que permite acceder a su sitio web. Cambie periódicamente las contraseñas y utilice métodos de cifrado actualizados, pues los algoritmos antiguos tienen puntos débiles que permiten su desciframiento.

Para proteger la empresa frente a las vulnerabilidades, la tecnología por sí sola no es suficiente. Es necesario formar a los empleados acerca de los riesgos del phishing y la ingeniería social, pues solo así será posible evitar accesos no autorizados a los servidores y a los sistemas de gestión de contenidos.

Recuerde cuanto menos sepa, más fácil se lo pone a los hackers.

Fuente: Symantec

Mejora tu seguridad de WordPress

WordPress es una plataforma CMS muy popular por la sencillez de su funcionamiento. A raíz de esta popularidad, se ha convertido en unas de las principales candidatas para los ataques informáticos.

Os vamos a dar consejos, además de comentaros ciertos plugins, que nos ayudarán en la prevención de ataques maliciosos en nuestro sitio.

Consejos

  • Tener siempre instalada la última versión de WordPress: Las actualizaciones por parte de WordPress corrigen vulnerabilidades encontradas en versiones anteriores.
  • Realizar copias de seguridad: Si nuestro sitio es vulnerado siempre tendremos la posibilidad de restablecerlo desde nuestra copia de seguridad.  WP-DB-Backup es un plugin sencillo y gratuito que nos ofrece WordPress para la realización de copias de seguridad.
  • Borrar o cambiar el usuario “Admin”: Los hackers van a intentar loguearse con el usuario por defecto del WordPress, ya que al tener el usuario ya tienen medio trabajo hecho.
  • Usar contraseñas fuertes: Las contraseñas sencillas son fáciles de recordar pero también son fáciles de crackear.
  • Limitar los intentos de login: Usando el plugin Limit Login Attempts y accediendo como administrador, podrás limitar los intentos de acceso.

Plugins

Para implementar todos estos consejos se pueden utilizar diversos plugins, como puede ser “All In One WP Security & Firewall”. Con este plugin no será necesario la manipulación de códigos complejos, cualquier usuario podrá implementar las recomendaciones dadas por los expertos, y así mejorar la seguridad de nuestro WordPress.

estado_caracteristicas_allinonewpsecurity&firewall

A continuación os mostramos las diferentes opciones de seguridad de las que dispone este plugin.

  • Cuentas de usuarios. Nos informa sobre si existe el usuario “Admin” y la posibilidad de modificarlo, también detecta sobre si los “nombres que se muestran” son igual a los nombres de usuario asociados .Además dispone de una herramienta para la creación de contraseñas fuertes.
  • Logins de usuarios. Se puede bloquear direcciones IP, monitoriza las sesiones y los intentos fallidos.
  • Bases de datos. Permite la modificación del prefijo utilizada por las bases de datos del WordPress, además de la posibilidad de realizar copias de seguridad de las bases de datos recibiendo notificaciones al correo electrónico.
  • Sistemas de archivos. Protección de los archivos deshabilitando su edición, impedir el acceso a ciertos archivos, detecta si alguna carpeta o archivo tiene mal configurados sus permisos,…
  • Copias de seguridad y restauración. Permite la realización de copias de seguridad de los archivos con un solo click para así poder realizar una restauración rápida de los ficheros originales.

Dispone de otras muchas opciones, además permite que se deshabilite el plugin en caso de que se activasen opciones y hubiese un mal funcionamiento en nuestro WordPress. Por ello es aconsejable que la habilitación o deshabilitación de las opciones se haga de una en una para comprobar después que no ha supuesto ningún problema a nuestro WordPress.

Otro plugin del que os queremos hablar es “WP Anti Spam“, este plugin nos ayudara a controlar el spam.

wp-anti-spam

Algunas de sus características son:

  • Revisa la inserción de comentarios, IPs de origen, emails y URLs.
  • Se puede configurar  la longitud máxima de los comentarios.
  • Posibilidad de bloquear a un usuario por no disponer de “gravatar”.
  • Mantiene los alias o correos electrónicos protegidos.
  • Incluye una lista de palabras prohibidas que se pueden habilitar.

 

Siguiendo estos consejos se mejorara la seguridad de nuestro WordPress, lo que no garantiza una seguridad total pero al menos complica las posibles acciones contra nuestro blog/web. Puedes encontrar más plugins en la página oficial de WordPress.

Listas negras de SPAM, que son y cómo funcionan

Tal vez haya escuchado alguna vez “estoy en una lista negra” o “su dirección IP se encuentra en una lista negra”,  y no sepa exactamente que son estas listas negras y cómo funcionan.  Vamos a tratar de explicar qué son las listas negras, como funcionan las listas negras y consejos para no aparecer en ellas.

¿Qué son las listas negras?

Las listas negras, son bases de datos que contienen direcciones IP desde las que se han realizado envíos masivos de correo no solicitado, a este tipo de envíos se les conoce como SPAM.

¿Cómo funcionan las listas negras?

Los servidores de correo, que tienen activado el filtro anti-spam, comprueban si la dirección IP se encuentra en la lista negra para aceptar o denegar los correos. Así se reduce la recepción de correos no solicitados, el problema que puede surgir es que no pueden diferenciar si esos correos no solicitados se han enviado de forma voluntaria o no, por ejemplo, si el equipo está infectado y está enviando correo sin que el usuario lo sepa.

Puedes ingresar en una lista negra de manera automática, cuando los llamados “correos trampa” reciben información no solicitada. Los correos trampa son cuentas de correo utilizadas por las organizaciones que mantienen las listas negras y que están a la espera de que les envíen correo no solicitado.

spam

¿Cómo puedo saber si me encuentro en una lista negra?

Para comprobar si se encuentra en una lista negra, lo primero que debería saber es la dirección IP del equipo o servidor de correo, después accediendo a MultiRBL podrás realizar una consulta a las principales bases de datos de listas negras, como pueden ser: Barracuda, Spamcop, SenderBase,…

Me encuentro en una lista negra, ¿Cómo puedo deslistarme?

Lo primero, deberá analizar el equipo o dispositivos desde donde se conecta a sus cuentas de correo con los diferentes antispyware/antivirus de los que disponga. Una vez esté seguro de que no se encuentra infectado y no va a realizar más envios masivos de correo no solicitado,  compruebe de nuevo su dirección IP en MultiRBL,  aquellos registros que aparezcan en rojo  son las bases de datos donde se encuentra listado. Pinchando en cada una de ellas, podrá solicitar que quiten tu dirección IP de esa lista mediante un formulario, enviando un correo, o simplemente haciendo click en “remove”, ya que cada organización tiene su propio método.

Consejos para no aparecer en las listas negras

Analiza y protege tu equipo o los equipos donde configuras las cuentas de correo para que no hagan un uso malintencionado de tus cuentas.

Si usas un servicio de mailing con una lista de suscriptores para enviarles newsletters, anuncios, comunicados de empresa,..deberías mantener tu lista de suscriptores actualizada para no enviar emails a personas que se han dado de baja en el servicio, los cuales pueden denunciarte y eso podría causar que se te añadiese a la lista negra de SPAM. Además deberías incluir en tus emails una forma fácil y rapida para darse de baja en el servicio.

Script para detectar malware en Joomla!

Cada vez es más frecuente el uso de CMS (gestores de contenido), como pueden ser: Joomla!, WordPress, Drupal, etc… Como consecuencia ha habido un incremento en la inserción de código malicioso para estas plataformas. Por ello hay que utilizar herramientas que nos ayuden en la protección de nuestros sitios, como es el caso de JAMSS.

JAMSS, Joomla! Anti-Malware Scan Script, es un script que ayuda a los propietarios del CMS Joomla! para detectar contenido malicioso. Este script está programado para buscar patrones que contengan código malicioso y puedan afectar a nuestro Joomla!.

JAMSS solo informa de códigos sospechosos en Joomla!, no realiza ningún tipo de borrado por su cuenta. Actualmente, JAMSS solo busca los patrones del lenguaje PHP, así que los códigos maliciosos JS no se mostrarán.JAMSS protege tu Joomla!

Instalación

Lo primero que hay que hacer para utilizar JAMSS es descargarlo en tu equipo, puedes hacerlo desde este link. Después, tienes que subir el archivo “jamss.php” a la carpeta raíz de tu alojamiento web y cargarlo desde el navegador.

http://www.[tu_dominio].TLD/jamss.php
 

Al insertar la dirección en tu navegador, se eje

cutará una secuencia de comandos que puede durar varios minutos dependiendo del número de archivos que contenga tu espacio.

Si deseas realizar un análisis más profundo, que puede detectar versiones más recientes de malware, se utiliza el parámetro DeepScan=1.  Ejemplo de ejecución en el navegador:

http://www.[tu_dominio].TLD/jamss.php?deepscan=1

Resultados

Una vez ejecutado el script, se generara y mostrará un informe con los posibles códigos maliciosos, que deberá interpretar y determinar si es una posible amenaza de malware.  Debe ser el administrador el que determine si es una amenaza o no, ya que JAMSS se basa en patrones y puede mostrar falsos positivos.

El informe mostrará una ruta hacia el archivo, el patrón que se adapta al código de malware y una breve descripción de lo que éste código podría estar haciendo. Si es posible, deberá descargar el archivo original para comprobar que no hay ninguna modificación en el código.

Es importante que sepa, que para poder comprender el resultado obtenido por JAMSS es necesario contar con un cierto conocimiento en PHP.

Ataque phishing, amenaza creciente

¿Qué es el phishing?

La amenaza de phishing  es cada vez mayor, por ejemplo en el primer semestre de 2012  hubo en todo el mundo un 19% más de ataques de phishing que en los seis meses anteriores. Pero, ¿sabemos qué es el phising? El phising es un ataque informático en el que se intenta conseguir datos confidenciales de la víctima como pueden ser contraseñas o datos bancarios, mediante el uso correos electrónicos donde se hace pasar por una persona o empresa de confianza.

El aumento de phishing es consecuencia de dos factores: los ataques de phishing son relativamente fáciles de llevar a cabo  y, por lo general, suelen lograr su cometido. Hoy en día no hace falta ser ningún experto  en hacking, debido a los llamados “kits de phishing” que circulan por la red.  Es más, hay un nuevo modelo de negocio conocido como MaaS (software malicioso como servicio) en el que los autores de los “kits” ofrecen servicios adicionales a sus clientes.

A diario se envían unos  156 millones de mensajes de correo electrónico con intentos de phishing. De los que consiguen pasar los filtros de seguridad unos 16 millones, unos 8 millones llegan a abrirse y 800.000 destinatarios acaban haciendo clic en un enlace dañino.

El clima de la situación económica actual ofrece a los delincuentes más oportunidades para actuar. Por ejemplo, una de las estafas más habituales consiste en enviar un correo electrónico que simula provenir de una entidad bancaria que recientemente ha adquirido el banco o caja de ahorros de la víctima.

Algunos ataques combinan técnicas de phishing y software malicioso. Por ejemplo, una víctima recibe el enlace a una postal electrónica en un correo electrónico. Al hacer clic en el enlace para ver la tarjeta, la víctima en realidad accede a un sitio web fraudulento que descarga un troyano en su equipo. Y la victima confiada descarga el software, que puede ser un programa intruso para registrar las operaciones  realizadas desde el ordenador.

Otros ataques pueden realizarse a través del teléfono móvil, haciéndose pasar por una institución financiera real. En ellos los atacantes usan SMS como alternativa al correo electrónico. La estafa típica consiste en informar al titular del teléfono móvil de que alguien ha entrado en su cuenta bancaria sin su consentimiento. Se le explica a la víctima que para reactivar la tarjeta debe llamar a un determinado número de teléfono o visitar una web, el cual es fraudulento.

Phishing en la empresa

Los ataques que suplantan el sitio web oficial de su empresa perjudican su imagen de marca en internet y disuaden a los clientes de usar sus servicios. En caso de fraude, la empresa no solo tendrá que asumir los costos directos de las pérdidas, sino que también se expondrá a otros riesgos.

Hay tecnologías que pueden proteger a su empresa y a sus clientes, por ejemplo la utilización de Secure Sockets Layer (SSL) y SSL con extended validation (EV) (protocolo HTTPS) son fundamentales para combatir la suplantación de identidad y otras estafas. Estas tecnologías cifran la información confidencial y certifican la propiedad del sitio web.

La tecnología  SSl con Extended Validation es una manera fácil y confiable de ganarse la confianza de quienes visitan su sitio web. Al establecerse la conexión con el sitio, el navegador muestra la barra de direcciones en color verde, apareciendo el nombre de la empresa titular del certificado SSL y el nombre de la autoridad de certificación emisora. De este modo, los visitantes tienen la seguridad de que la transacción está cifrada y de que está visitando el sitio real de la empresa asociada (los estafadores que crean réplicas de sitios web no pueden disponer de un certificado SSL con EV.

Certificados SSL - Extended Validation

Cómo reconocer correos fraudulentos

Además de implantar la tecnología SSL con EV, su empresa debe seguir enseñando a sus clientes y equipo a protegerse frente al fraude en internet. Hay varios indicios para reconocer un ataque phishing:

  •  Errores ortográficos
  •  Saludos genéricos en lugar de personalizados
  •  Enlaces que urgen realizar alguna acción
  • Amenazas relativas al estado de una cuenta
  • Solicitud de datos personales
  • Nombres de dominio o enlaces falsos

 La clave para proteger a su empresa, es adoptar las tecnologías SSL más recientes, estar siempre al tanto de las nuevas estafas y elegir una autoridad de certificación que garantice el máximo nivel de protección en internet, y sobre todo utilizar el sentido común. Para mejorar la seguridad dentro de la empresa, deberemos de formar a todo el equipo para que tenga una cultura responsable y segura.

Bienvenido al blog de nerion

nerion es una de las principales empresas españolas de registro de dominios, hosting y housing profesional con certificaciones de calidad y seguridad.
Suscripción a nerion
Siguenos en Twitter Siguenos en Facebook Siguenos en Linkedin Siguenos en YouTube Siguenos en Flickr Siguenos en Foursquare
Entradas antiguas por mes
Twitter
nerion en Facebook
Ofertas nerion

Hosting Alojamiento Web nerion
Certificados SSL Productos Seguridad nerion