4 consejos para evitar vulnerabilidades comunes de seguridad web

La seguridad web está de moda en estos días debido a múltiples incidentes de piratería que hacen las noticias.


Pero lo frustrante es que, a pesar de tantos artículos sobre el tema, las empresas y los sitios web pequeños cometen errores fácilmente evitables cuando se trata de manejar las cosas de la manera correcta.

Unos pocos pasos en la dirección correcta es todo lo que se necesita para mantener su sitio seguro.

Echemos un vistazo.

No utilices códigos aleatorios de extraños

Códigos aleatorios de repositorios publicados públicamente en sitios como GitHub, Sourceforge y Bitbucket pueden llevar códigos maliciosos.

Aquí le mostramos cómo salvarse con un poco de pensamiento inteligente. Puede implementar el código en modo de mantenimiento y ver cómo funciona antes de ponerlo en funcionamiento.

De esa manera, evitas cientos de horas de golpes de cabeza.

No tomar precauciones puede provocar que el código malicioso se apodere de su sitio y haga que renuncie a los privilegios administrativos de su sitio y pierda su arduo trabajo..

Nunca Copie los códigos de pegado de extraños al azar en Internet. Investigue un poco sobre la persona y luego proceda a auditar el código que obtiene.

Puede sentir que podrá ahorrar algo de tiempo copiando y pegando algún código, pero equivocarse solo una vez es suficiente para un montón de problemas.

Para un ex: WordPress vulnerable agrega códigos maliciosos que pueden tomar el control de su sitio o dañar el sitio de formas menos críticas, como insertar enlaces de seguimiento a sitios de terceros y desviar el jugo de enlaces.

Dichos enlaces a menudo aparecen solo cuando Googlebot visita el sitio, y para todos los visitantes habituales, el enlace permanece invisible.

Charles Floate y Wordfence se unieron para citar muchos ejemplos recientes de vulnerabilidades de plugins de WordPress.

La forma en que funciona esta estafa es que algunos SEO maliciosos envían correos electrónicos de extensión a los propietarios de plugins de WordPress cuyos complementos no se han actualizado en un tiempo.

Ofrecen comprar el complemento y luego ejecutar una actualización de ese complemento.

La mayoría de las personas nunca se molestan en verificar qué se ha actualizado en el complemento. Hay tantos de ellos que ejecutan una actualización tan pronto como aparece.

Pero en este caso, el complemento crearía un acceso backdoo al sitio web de SEO o sitios de clientes. Todos los sitios que usan el complemento ahora se convierten sin darse cuenta en parte de una red PBN.

Algunos de estos complementos tienen más de 50000 instalaciones activas. De hecho, uno de los complementos enumerados se usa en mi sitio, y no sabía sobre la puerta trasera hasta ahora.

Estos complementos también les dieron acceso administrativo a los sitios afectados.

Podrían apoderarse de un sitio de la competencia con este método y no indexarlo, haciendo que desaparezca efectivamente en los SERP..

Cifrar información confidencial

Cuando se trata de datos confidenciales, nunca se debe dar por sentado.

Siempre es la opción más inteligente cifrar datos confidenciales. La información personal que rodea a los clientes y las contraseñas de los usuarios se incluye en esta categoría..

Se debe usar un algoritmo fuerte para este fin.

Por ejemplo, AES 256 es uno de los mejores. El propio gobierno de los EE. UU. Opina que AES podría usarse para cifrar y proteger la información clasificada y que el cifrado detrás del capó ha sido aprobado públicamente por la NSA.

AES comprende los siguientes cifrados: AES-128, AES-192 y AES-256. Cada cifrado cifra y descifra datos en bloques de 128 bits y proporciona una seguridad mejorada.

Si está ejecutando un sitio basado en miembros, comercio electrónico, aceptando el pago, entonces debe asegurar su sitio con un Certificado TLS.

Los datos del usuario siempre deben estar protegidos.

La aceptación de datos del usuario a través de conexiones no seguras siempre le da a un pirata informático la oportunidad de extraer datos valiosos.

Manejo de pago

El problema con el almacenamiento de la información de la tarjeta de crédito es que te conviertes en un objetivo.

Sonic Conducir en público anunció que una violación en los servidores de la compañía resultó en millones de tarjetas de crédito y débito robadas.

Otros restaurantes, drive-ins como Chipotle y Arby’s también experimentaron ataques similares..

En ocasiones, deberá aceptar la información de la tarjeta de crédito y guardarla para la facturación recurrente. Eso requiere que sea una queja de PCI.

Cumplir con PCI es un trabajo duro.

No solo necesita a alguien conocedor de PCI, sino que también necesita actualizar el sitio y la base de datos para cumplir con frecuencia.

El cumplimiento no es un requisito único, y el PCI los cambia regularmente para abordar las amenazas emergentes.

En cambio, puede omitir la parte difícil y elegir un procesador de pagos como Raya eso hace el trabajo pesado por ti.

Son grandes, tienen un soporte que funciona las 24 horas y son una queja de PCI.

Y si está ejecutando una tienda en línea, entonces puede considerar usar Shopify.

Si almacena información de la tarjeta de crédito, tenga especial cuidado de que los archivos que almacenan la información de la tarjeta de crédito y el hardware donde están almacenados permanezcan encriptados.

Parchearlo inmediatamente

Aquí hay un ejemplo para aclarar mi punto.

Fuente

Un exploit de día cero que funcionó al comprometer los puntales de Apache fue aclarado por 7 de marzo de 2017.

Para el 8 de marzo, Apache lanzó parches para superar el problema. Pero lleva mucho tiempo entre la publicación de un parche y las empresas para tomar medidas.

Equifax fue una de las compañías que fueron pirateadas.

Equifax dijo en un comunicado que el 7 de septiembre de 2017, los piratas informáticos robaron información personal de 143 millones de clientes..

Los hackers explotaron la misma vulnerabilidad de aplicación que discutimos anteriormente para ingresar al sistema.

La vulnerabilidad estaba en Apache Struts, un marco para construir aplicaciones web basadas en Java.

Los piratas informáticos explotaron ese hecho cuando Struts envía datos al servidor que podrían comprometer esos datos. Al usar la carga de archivos, los piratas informáticos activaron errores que les permitieron enviar códigos o comandos maliciosos.

Según la compañía, “nombres de clientes, números de Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir”, así como “números de tarjetas de crédito para aproximadamente 209,000 consumidores”. Además de eso, también se robaron 182,000 documentos de disputas crediticias, que contienen información personal..

Pensamientos concluyentes

Como puede ver, estar al tanto de los cambios en la tecnología y estar actualizado con sus parches de software y un poco de retrospectiva a menudo siempre es más que suficiente para superar la mayoría de los problemas.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map