6 mar. 2009

Las mejores prácticas contra el hacking (de su sitio web)

Actualmente, la mayoría de las páginas web se construyen en torno a las aplicaciones para proporcionar servicios de calidad a sus usuarios. En particular, son ampliamente utilizados para crear, editar y administrar el contenido. Debido a la naturaleza interactiva de estos sistemas, donde la entrada de los usuarios es fundamental, es importante pensar en la seguridad, a fin de evitar explotaciones por parte de terceros maliciosos y para garantizar la mejor experiencia de usuario.

Hay muchos tipos diferentes de ataques que los hackers pueden llevar a cabo con el fin de tener un control total o parcial de un sitio web. En general, los más comunes y peligrosos son los de inyección de SQL y los de cross-site scripting (XSS).Sin duda hay algunas precauciones que pueden tomarse para evitar este tipo de ataque. Por ejemplo, es una buena práctica agregar una capa entre un formulario (front end) y la base de datos (back end). En PHP, la extensión DOP se usa a menudo para trabajar con parámetros (a veces llamados marcadores o variables de unión) en lugar de integrar el ingreso de los usuarios en la sentencia. Otra técnica realmente fácil es escapar caracteres, donde todos los caracteres peligrosos que pueden tener un efecto directo sobre la estructura de base de datos son escapados.
Por ejemplo, cada aparición de una comilla simple [ '] en un parámetro debe ser sustituido por dos comillas simples [''] para formar una cadena literal de SQL válida. Estas son sólo dos de las acciones más comunes que uno puede tomar para mejorar la seguridad de un sitio y evitar las inyecciones SQL. Puede encontrar en Internet muchos otros recursos específicos que pueden satisfacer sus necesidades (lenguajes de programación, aplicaciones web específicas ...).

Algunos tipos de intentos de hacking y cómo prevenirlos

La inyección de SQL es una técnica para inyectar un pedazo de código malicioso en una aplicación web, explotando una vulnerabilidad de seguridad en la base de datos para cambiar su comportamiento. Es verdaderamente una poderosa técnica, considerando que puede manipular las URL (cadena de consulta) o cualquier formulario (búsqueda, acceso, registro en correo electrónico) para inyectar código malicioso. Usted puede encontrar algunos ejemplos de inyección de SQL en el Consorcio de Seguridad de aplicación Web.

La otra técnica que vamos a introducir aquí es de cross-site scripting (XSS). XSS es una técnica para inyectar código malicioso en una página web, que explota vulnerabilidades de seguridad de aplicaciones web. Este tipo de ataque es posible cuando la aplicación web procesa los datos obtenidos a través de la entrada del usuario y sin ningún tipo de verificación o validación antes de devolverla al usuario final. Usted puede encontrar algunos ejemplos de cross-site scripting en el Consorcio de Seguridad de aplicaciones Web. Hay muchas maneras de asegurar una aplicación web en contra de esta técnica. Algunas acciones sencillas que se pueden tomar son:

  • Eliminar de la entrada algunas cosas que se puede insertar en un formulario (por ejemplo, ver la función strip tags de PHP)
  • Utilizar codificación de datos para evitar la inyección directa de caracteres potencialmente maliciosos (por ejemplo, véase la función htmlspecialchars de PHP)
  • Crear una capa entre la entrada de datos y el back end para evitar la inyección directa de código en la aplicación.

Algunos recursos sobre la seguridad CMSS

La inyección de SQL y de cross-site scripting son sólo dos de las muchas técnicas utilizadas por los hackers para atacar y explotar sitios inocentes. Como regla general en materia de seguridad, es importante que siempre se mantengan actualizados sobre cuestiones de seguridad y, en particular cuando se utiliza software de terceros, asegurarse de que ha instalada la última versión disponible. Muchas son las aplicaciones web en torno a las grandes comunidades, que ofrecen constante apoyo y actualizaciones.

Para dar algunos ejemplos, cuatro de las mayores comunidades de Open Source en sistemas de gestión de contenidos --Joomla, Wordpress, PHP-Nuke, y Drupal--, ofrecen guías útiles sobre la seguridad en sus sitios web y alojan grandes foros impulsados por la comunidad donde los usuarios pueden escalar problemas y solicitar apoyo. Por ejemplo, en la sección reforzando WordPress de su sitio web, WordPress ofrece una amplia documentación sobre la manera de fortalecer la seguridad de su CMS. Joomla ofrece muchos recursos en materia de seguridad, en particular, una Lista de control con una lista completa de acciones que los webmasters deberían tomar para mejorar la seguridad de un sitio web basado en Joomla.

En el sitio de Drupal, se puede acceder a información sobre cuestiones de seguridad yendo a su sección de Seguridad.También puede suscribirse a su lista de correo sobre seguridad para estar constantemente actualizado sobre las cuestiones en curso. PHP-Nuke ofrece documentación sobre la seguridad en el capítulo 23 de su sección Cómo, dedicada a la gestión de este sistema de esta plataforma CMS. También tienen una sección llamada hackeado - ¿Y ahora qué?, Que ofrece directrices para resolver los problemas relacionados con el hacking. Algunas formas de identificar el hacking ó pirateo de su sitio Como se mencionó anteriormente, existen muchos tipos diferentes de ataques que piratas informáticos pueden realizar en un sitio, y hay diferentes métodos para explotar un inocente sitio. Cuando los hackers son capaces de tomar el control completo de un sitio, lo pueden desfigurar (deface, cambiando la página de inicio), borrar todo el contenido (bajando las tablas de su base de datos), o insertar malware o programas de robo de cookies.

También pueden explotar un sitio para enviar spam, por ejemplo, ocultando los vínculos que apuntan a recursos para spam o creando páginas que redireccionan a sitios de malware. Cuando estos cambios en su aplicación son evidentes (como el defacing), usted puede descubrir fácilmente la actividad de piratería, pero para otros tipos de vulnerabilidades, en particular aquellos con la intención de spam, no serán tan evidente. Google, a través de algunos de sus productos, le ofrece a los webmasters algunas formas de detectar si un sitio ha sido hackeado o modificado por un tercero sin autorización. Por ejemplo, mediante el uso de Google Search puede descubrir palabras típicas añadidas por los hackers a su sitio web e identificar las páginas que se han sido comprometidas.

Simplemente abra google.com y ejecute una búsqueda site: de su sitio web, buscando palabras clave comerciales que utilizan los hackers para fines de spam (tales como viagra, porno, mp3, apuestas, etc): [site: example.com viagra] Si no estás familiarizado con el operador de búsqueda site:, es una forma de consulta Google restringiendo su búsqueda a un sitio específico. Por ejemplo, la búsqueda site: googleblog.blogspot.com sólo se devolverán los resultados del Blog Oficial de Google. Al añadir palabras clave para el spam a este tipo de consulta, Google mostrará todas las páginas indexadas de su sitio web que contienen esas palabras clave para el spam que, muy probablemente, fueron hackeadas. Para comprobar estas páginas sospechosas, simplemente abra la versión en caché propuesto por Google y usted será capaz de detectar las hackeadas, si las hubiere. De este modo, podría limpiar sus páginas comprometidas y también para comprobar la existencia de anomalías en los archivos de configuración de su servidor (por ejemplo, en servidores web Apache:. htaccess y httpd.conf).

Si su sitio ya no aparece más en los resultados de búsqueda de Google, podría significar que Google ya ha descubierto las malas prácticas en su sitio web como consecuencia de la piratería y puede haberlas retirado temporalmente de nuestro índice, debido a la violación de nuestrasdirectivas de calidad del webmaster. A fin de mantener constantemente un ojo en la presencia de palabras sospechosas en su sitio web, usted puede también utilizar las Alertas de Googlepara supervisar las consultas como: site:example.com viagra OR casino OR porn OR ringtones Usted recibirá un aviso por correo electrónico siempre que estas palabras clave se encuentran en el contenido de su sitio.

También puede utilizar las Webmaster Tools

de Google para detectar cualquier actividad de la piratería en su sitio. Las herramientas para webmasters proporcionar estadísticas sobre consultas de búsqueda más habituales de su sitio. Esta información le ayudará a controlar si su sitio se está clasificacando por palabras sospechosas no vinculadas a spam. Los datos de "¿Qué ve Googlebot?" también son útiles, ya que verá si Google detecta cualquier palabra inusual en su sitio, independientemente de si usted está clasificacando para ellas o no.

Si usted tiene una cuenta de Herramientas para webmasters y Google considera que su sitio ha sido hackeado, a menudo se le notifica de acuerdo con el tipo de explotación en su sitio:

  • Si un tercero malicioso está utilizando su sitio web para comportamientos de spam (como vínculos ocultos o la creación de páginas para spam) y ha sido detectado por nuestro rastreador, usualmente se le notificará en el Centro de Mensajes con información detallada (una muestra de URL hackeadas o texto anclado de los enlaces ocultos);

  • Si su sitio es explotado para alojar programas maliciosos tales como el malware, aparecerá una advertencia de malware en la página de "Descripción" de su cuenta de Herramientas para webmasters.

El comportamiento hackeado fue eliminado, ¿ahora qué?

¿Su sitio ha sido hackeado o está sirviendo malware? En primer lugar, limpie el daño que causó el malware y, a continuación, realice una de las siguientes:

  • Si su sitio fue hackeado con propósitos de spam, por favor visite nuestra solicitud de reconsideración a través de la página Herramientas para Webmasters para solicitar la reconsideración de su sitio;

  • Si su sitio estaba sirviendo malware a los usuarios, por favor, envíe una solicitud de reconsideración de malware en la página "Overview (Descripción)" de las Herramientas para Webmasters.

Esperamos que encuentre útiles estos consejos. Si desea compartir su propia experiencia o consejos, le invitamos a dejar un comentario a este blog. ¡Gracias!

Relacionada:
Google notificará a los webmasters sobre software vulnerable
¿Qué debes hacer si han hackeado tu sitio web?
Las mejores prácticas con contra el hacking de tu sitio web

Traducido para Blog de Segu-info por Raúl Batista

Autores: Paolo Petrolini e Iris Mariano
Fuente: Google WebMaster Central Blog

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!