A+ A A-

La importancia de proteger tu web con un firewall

  • Imprimir

MDI blog protege tu web de hackers y ataques y codigo malicioso

Si usas algun sistema de gestión de contenidos como Joomla o Wordpress, a buen seguro que estarás encantado con la facilidad para actualizar los contenidos de forma fácil y sencilla, dede cualquier lugar y en cualquier momento. Y gratis, sin tener que pagarle a tu webmaster por cada una de las noticias que insertas en tu propia web.

Pero.... (si, no todo es color de rosa!).

En general, los sistemas informáticos sólo son 100% seguros si están instalados en un ordenador apagado y desconectado de la corriente, sin acceso a internet y enterrado bajo 3 metros de hormigón. Y aún así tengo mis dudas :D

Es tristemente corriente que, tras algún tiempo publicado en internet, cualquier website dinámico (con base de datos) sea atacado por decenas de bots mediante diversos métodos... y que alguno de esos ataques tenga éxito e infecte el website. Si tenías un blog realizado en Wordpress y hace años que no lo actualizas... ya sabrás de lo que hablo!

Antes de continuar, déjame asegurarte que estos ataques no corresponden a nada personal, ni siquiera son humanos los que lo hacen, sino robots informáticos que están programados para escanear internet buscando vulnerabilidades en los websites más conocidos y Joomla, Wordpress o Drupal están entre ellos. Es absolutamente imprescindible que te encargues de actualizar el sistema cuando aparecen nuevas versiones, que sólo descargues plugines y módulos de fabricantes conocidos con cierta trayectoria en el mercado... o permitas que un profesional con experiencia lo haga por tí (llámame si lo necesitas, yo soy uno de esos profesionales ;).

Los ataques más habituales

Aunque el hosting donde tienes alojada la página ya se encarga de filtrar muchos de esos ataques, por la cuenta que les trae, tu web seguirá siendo atacada de alguna de estas formas:

XSS o Cross Site Scripting: el atacante intenta escribir datos en la ulr de tu web (añadiendo más "palabras" a la url normal, como por ejemplo www.dominio.es/index.php?codigo='inserta-datos-falsos') de forma que esos datos lleven al visitantes a otra página, obtengan datos concretos de su perfil o bien permitan hacerse pasar por el usuario robado. Mira este vídeo para comprender como se hace un ataque de este tipo. [ + info sobre XSS en la wikipedia ]

Inyección SQL: intenta recuperar o escribir en la base de datos que tiene los contenidos de la web, intentando "colarle" al gestor de la base de datos órdenes o variables que no son filtradas correctamente. Hay ejemplos muy creativos de como hacerlo, como por ejemplo éste que intenta crackear una cámara de vigilancia que "lee" las matriculas y las inserta en una base de datos [ + info sobre SQL Injection en la wikipedia ]

RFI/LFI o Inclusión Remota/Local de Archivos: en ocasiones, usando vulnerabilidades de algunos plugines muy antiguos o de padre desconocido, el atacante intenta subir archivos al servidor o incluir en el código archivos remotos en otro servidor, que ejecutarán tareas concretas cuando, tras haberlo conseguido, el programador del archivo lo llame y lo active simplemente tecleando la dirección completa del mismo (por ejemplo www.midominio.es/imagenes/botmalvado.php) [ + más info sobre inclusión remota de archivos en la wikipedia ]

Acceso por fuerza bruta: si alguna vez has perdido la contraseña del acceso a tu web, ya sabrás que tras cuatro o cinco intentos, el sistema escribirá tu dirección IP en una lista negra y no te dejará seguir intentándolo hasta pasados varios minutos o incluso horas. No todos los sistemas tienen esta protección y en ese caso un bot podría estar probando miles de contraseñas de forma automatizada hasta que por fin encuentre una válida (por eso no es muy seguro una contraseña del tipo 1234; es la primera que un bot intentará!). [ + info sobre ataques de fuerza bruta en la wikipedia ]

DDoS ó Denegación del Servicio: se produce cuando a tu web, normalmente alojada en un servidor tipo hosting compartido (o incluso barato) le llegan miles de visitantes al mismo tiempo. Lo más habitual es que el servidor web se caiga o sea incapaz de atenderlos a todos a la vez. Esto se consigue cuando el atacante es capaz de manejar una red enorme de ordenadores infectados (zombies) a los que previamente ha colado un archivo del tipo que te comentaba en el apartado upload de archivos o un trozo de código en un archivo ya existente, como el caso del XSS. A una orden suya, todos esos miles de ordenadores o webs, sin que los dueños lo sepan, van a visitar la web atacada, consiguiendo que simplemente deje de funcionar o se caiga". `[ + info sobre DDoS en la wikipedia ]

¿De veras que me pueden atacar?

Si estás en internet con tu página web, ni lo dudes... ya estás siendo atacado!

Por ponerte un ejemplo, gestiono desde hace un par de años la web de una asociación de emprendedores, realizada con Joomla, a la que tienen acceso varios usuarios cuyos ordenadores no puedo controlar.

MDI blog protege tu web de hackers y ataques y codigo malicioso ejemplo

Como ves en esta imagen de aquí arriba (es una captura de pantalla del log real de ataques) solamente en los tres últimos meses, ha recibido más de 50 ataques de diverso tipo (30 del tipo XSS, 1 de inyección SQL, 3 de LFI intentando colarme un archivo PHP y varios otros ataques diversos). La mayoría de estos ataques no tienen éxito, pero de vez en cuando, aprovechando un módulo obsoleto o que la web estuvo algun tiempo en una versión antigua de Joomla (uno no siempre tiene tiempo para todo, lo reconozco!) alguno de los ataques consigue su objetivo y hay que iniciar el proceso de desinfección, que suele ser lento y farragoso aún contando con herramientas adecuadas.

¿Hay soluciones efectivas?

Si. Y una de las mejores es mantener el sitio tan actualizado como sea posible, comprando los módulos y plugines solo a fabricantes conocidos. También, cierta higiene informática a la hora de insertar contenidos, tanto texto como imágenes (¿sabías que una foto puede contener un troyano en su código interno?). También, usar los plugines antispam para formularios, como ReCatpcha.

Pero la que suele resultar más efectiva es la instalación de un firewall para tu CMS concreto. Los hay gratuitos como el potente OSE de código abierto (lo hay como genérico para cualquier sistema) o en modelos freemium como Centrora. Sin embargo, para mí el mejor es Security Check Pro en su versión de pago, con la ventaja de que es un producto desarrollado en España, lo que te permitirá hablar directamente con su fabricante en nuestro idioma, si lo necesitas. Además del bloqueo habitual de ataques, dispone de herramientas de control de integridad de archivos, securización de login (y log de acceso), protección de htaccess, escaner de código malicioso... por apenas unos pocos euros. 

Desde hace ya algún tiempo, es la única opción que instalo en los Joomla de mis clientes, a petición o por recomendación.

Si tú también estás preocupado por la seguridad de tu website dinamico, ya sea Joomla o Wordpress, llámame y hablamos. Podré ayudarte a mantener tu website limpio y seguro con ésta u otras herramientas similares, más algunos consejos de higiene informática ;)

 

Atribución: la imagen de cabecera es un original de Freepik (Banner vector designed by Freepik)

A lo largo de estos años, y desde 1.999, he tenido la increíble suerte de trabajar y colaborar con los equipos de muchas de las mejores empresas de mi entorno, desarrollando sus proyectos de presencia corporativa en web, proyectos de comercio electrónico, portales turísticos o sesiones de formación. De todos ellos he obtenido conocimientos y vivencias impagables que acaban cristalizando en amistades personales, aunque sus empresas hayan desaparecido. Porque el único compromiso profesional válido es el compromiso personal.

Para Caixanova y Caixagalicia (ahora Abanca) realicé los proyectos de Novaxove, Play Novaxove, Atalaya del Emprendedor y Escuela de NegociosPara el Concello de Arteixo he realizado el portal de Turismo Arteixo (ArteixoAtlantico)Soy socio fundador de la Asociación Nacional del Arma de España, para quien hice además el website corporativoDuna es mi agencia 3.0 de referencia. Tengo el inmenso placer de que confíen en mí para todos sus desarrollos webPara Estrella Galicia he realizado todas las webs de Rivera Investiments, filial de internacionalización del grupo Estrella GaliciaPara Gameworks pude realizar uno de los primeros y más exitosos blogs de videojuegos de EspañaEn la Escuela de Negocios IFFE he dado clases como profesor de Analítica WebPara la Fundación Caixanova (ahora Afundacion) realicé el portal corporativo bilingüe de la FundaciónPara Ofipro (Softnix) he realizado varias versiones de su web corporativa y de soporte a clientesPara el Concello de Oleiros, fabriqué su primera web institucional totalmente realizada en tecnología FlashAdemás de la remodelación de su logotipo, realicé la primera web corporativa del Palacio de la OperaDurante muchos años, realicé cientos de CDs multimedia para congresos de todo tipo en PalexcoPara el Real Club Náutico de A Coruña he realizado la web corporativa y campañas de SEO y posicionamiento SEMTMC CANCELA es el líder español en soluciones de Triturado, para los que realicé su website corporativo

Login or Register

LOG IN