Anevi.com
10 Maneras Inteligentes de Asegurar tu Hosting Web

La seguridad en cualquier ámbito de nuestra vida es un tema que debemos tomar muy seriamente, nadie quiere sufrir algún tipo de accidente por no tomar las precauciones necesarias.

Lo mismo pasa en internet, todos los sitios web pueden verse envueltos en problemas de seguridaden algún momento determinado, por ello es muy importante tomar las medidas de seguridad necesarias para asegurar tu sitio web, estas medidas de seguridad tienen relación directa con el hosting, ya que en la mayoría de los casos, los problemas de seguridad con la web son causados debido problemas con tu hosting por una mala seguridad en el servidor.

Es claro que en internet nada es 100% seguro, pero sí que podemos llegar lo más cercano posible a ese 100% y tratar de tener lo más seguro posible nuestro alojamiento para que así nuestro sitio web esté seguro. Es por ello que te voy a enseñar 10 formas inteligentes para asegurar tu hosting web y te libres de una gran cantidad de problemas:

1) Utiliza contraseñas largas y complicadas

Si tienes una contraseña de pocos dígitos, con solo números o letras, será fácil de adivinar para un hacker, ya que las posibles combinaciones de caracteres son pocas. Por lo tanto es muy importante que todas tus contraseñas (email, ftp, cpanel, mysql, etc) sean los suficientemente largas como para que nadie la pueda adivinar, en este sentido es recomendable que tus claves sean de por lo menos 12 dígitos y tengan números, letras en minúsculas, mayúsculas y signos especiales, así lograrás tener una contraseña muy segura, y si te lanzan por ejemplo un ataque de fuerza bruta (que consiste en probar diferentes combinaciones de caracteres en las contraseñas hasta dar con la correcta e ingresar al sistema), pasarán años (sino lustros) en que logren adivinar tu contraseña.

Comparto contigo esta herramienta muy buena para generar contraseñas seguras: http://www.clavesegura.org/

2) Acceder siempre por entornos seguros

Otro punto muy importante es ingresar a tu web hosting solamente por entornos seguros, con esto me refiero a que si quieres acceder a tu panel de control cpanel, accedas con https, es decir https://tu-dominio.com/cpanel, esto te redireccionará al entorno seguro de cPanel, donde podrás gestionar tu hosting web con la tranquilidad de que los datos intercambiados entre el servidor y tu están seguros, ya que todos los datos viajan de un lugar a otro encriptados, es decir encapsulados para que nadie más que el hosting y tu lo puedan ver. Haz lo mismo para todos tus medios de acceso, por ejemplo para acceder por ftp, usa sftp.

3) Evita usar aplicaciones o scripts nulleds

Existen aplicaciones o scripts (generalmente en php) de pago o uso con licencia, los usuarios deben comprar una licencia para poder usar las aplicaciones en su hosting, tal es el caso de vbulletin, ipboard, etc. Pero también existen versiones nulleds o piratas de estas aplicaciones, esto nos da la “oportunidad” de poder usar las aplicaciones sin tener que pagar un centavo.

Sin embargo nunca debemos utilizar esas aplicaciones porque son de dudosa procedencia y en la mayoría de los casos (por no decir todos) los hackers insertan código malicioso entre los archivos del script para dañar el hosting donde está alojado ese script. Tampoco debemos usar ningún script del cual no estemos seguros de donde proviene.

codigo malicioso

4) Actualiza constantemente tus aplicaciones

Cuando instales alguna aplicación o script como los CMS (wordpress, joomla, drupal, etc), siempre mantén la última versión de esa aplicación, ya que por lo general las actualizaciones son para resolver problemas detectados en las versiones actuales, por lo tanto si no mantienes actualizados tus aplicaciones, los hackers detectarán la vulnerabilidad (en caso halla) de la versión de tu aplicación y podrás sufrir graves consecuencias.  Recuerda también mantener actualizados los plugins de tus scripts.

5) Asigna los permisos correctos a tus archivos y directorios

Es muy recomendable que no asignes permisos 777 a tus archivos o directorios de tu hosting web, ya que esos permisos dan la libertad de poder ejecutar archivos a cualquier persona que logre subir un archivo malicioso a tu web hosting.  En cambio revisa que los archivos tengan los permisos 644 y los directorios 755.

6) Utilizar CloudFlare

CloudFlare es un gran sistema que además de ayudarnos en mejorar la velocidad de carga de nuestros sitios web, nos protege contra una gran cantidad de ataques a nuestro sitio web y a nuestro hosting, por lo cual es una opción a tomar muy en cuenta. Lo mejor de todo es que es gratis (también hay planes de pago) y la configuración no es complicada.

Si tu proveedor de hosting web es partner de CloudFlare (como nosotros), seguramente tendrá CloudFlare integrado al panel de control cPanel, por lo que en un par de clics lo tendrás configurado y ejecutándose.

7) Limitar intentos de login de tu aplicación

Es muy recomendable que  limites los intentos de login de tu aplicación a sola unas cuantos intentos (3 estaría bien), con esto me refiero a que si un usuario quiere iniciar sesión en tu blog o en tu foro, tenga solo pocos intentos para lograrlo o de lo contrario se le bloquee el acceso por un tiempo determinado, lo mismo para tu acceso como administrador.

Esta medida de seguridad refuerza lo mencionado sobre utilizar contraseñas largas, ya que los ataques de fuerza bruta causan un impacto significativo en el hosting web mientras se ejecuta, por lo que puede volver los sitios web lentos, en cambio si aplicamos un límite en el intento de login, el hacker al utilizar todos sus intentos será bloqueado y ya no podrá seguir ejecutando su ataque, por lo que no verás ninguna anomalía en la velocidad de tu sitio web y no podrá descifrar tu contraseña.

Si usas wordpress te recomiendo este plugin que hace este trabajo muy bien: Login LockDown

8) Copias de Seguridad

Las copias de seguridad son MUY IMPORTANTES, lo vuelvo a mencionar MUY IMPORTANTES, recuerda que en internet nada es totalmente seguro, así que tarde o temprano podrías sufrir algún problema con tu sitio web o alojamiento web, y cuando llegue ese día debes estar preparado.

Si por alguna razón, lograron penetrar tu seguridad y borraron tu sitio web, o tu base de datos, quizás el hacker accedió a tu hosting web y eliminó todo, es muy importante que tengas una copia de seguridad de todo tu webhosting para restaurar y a partir de allí hacer las modificaciones necesarias para ajustar la configuración de seguridad.

Por supuesto que tu proveedor debe (y tiene) que generar copias de seguridad diarias de todos los sitios alojados en su servidor, pero es recomendable que tu también generes tus propios backups y los guardes en lugares seguros.

9) Asigna contraseñas a tus directorios privados

Otro punto importante en el tema de la seguridad, es que si tienes directorios privados que solo quieres que sean accedidos por sftp, les asignes contraseñas para que nadie pueda acceder por el navegador y así no puedan tener acceso a la información privada que tienes dentro de dichos directorios.

En cPanel, puedes encontrar esa opción en la opción “Directorios protegidos con contraseñas” dentro del bloque de Seguridad.

directorio contraseña

10) Bloquear el acceso remoto  de MySQL

Por defecto todas las cuentas de hosting con cPanel, tienen bloqueado el acceso remoto de MySQL, y solo se puede habilitar por el usuario desde el panel de control.

Sin embargo, si ya has sido víctima de un hacker que accedió a tu hosting, seguramente que habilito ese acceso para una determinada IP, por la cual accederá en el futuro a tu base de datos y te seguirá atormentando.

Por ello es muy recomendable que cada cierto tiempo, revises que no figure habilitado el acceso remoto de MySQL, lo bueno es que el acceso es para una IP determinada, por lo cual si ves alguna ip con acceso, contacta con tu proveedor para que bloqueen dicha IP.

En cPanel esta opción la encuentras en MySQL Remota dentro del bloque Bases de Datos.

mysql remoto

Ahora que ya sabes 10 formas inteligentes para asegurar tu hosting web y no sufrir problemas de seguridad, es hora de que las apliques!

Fuente: hostingroup.com

¿Cómo reforzar la seguridad de tu PrestaShop sin complicarte la vida?

Independiente de la plataforma que utilicemos, la seguridad en nuestra tienda PrestaShop es una de las principales preocupaciones de cualquier profesional o empresa.

Desde el propio desarrollador Web hasta el último integrante del equipo de trabajo que tengamos, todos deben estar implicados al 100% en conseguir velar por la seguridad del mismo.

Y, si eres trabajador freelance este aspecto es todavía más importante, ya que estaremos gestionando datos de clientes.

En definitiva, crear un eCommerce no es tan solo contratar a un técnico que nos diseñe la Web, sino que existen aspectos igual de importantes a tener en cuenta, como es el caso de la seguridad digital.

¿Qué nivel de seguridad presenta el software de PrestaShop?

PrestaShop es una solución muy robusta y fiable, ya que cuenta con una activa y numerosa Comunidad que detecta cualquier vulnerabilidad muy rápidamente.

Asimismo, sus actualizaciones se publican de manera inmediata, pero nunca está de más que reforcemos la seguridad de nuestro PrestaShop con una serie de medidas que analizamos a continuación.

10 Medidas fiables para reforzar la seguridad en PrestaShop

 

Todas ellas resultan muy fáciles de implantar, como vas a ver:

1. Mantén tu Web siempre actualizada

La actualización frecuente de las plantillas y módulos es la mejor fórmula para ahorrarnos la mayoría de los ataques, que casi siempre tratan de explotar vulnerabilidades ya detectadas en versiones antiguas.

Y, por supuesto, siempre conviene utilizar plantillas y extensiones reconocidas y actualizadas regularmente por sus desarrolladores.

2. Establecer logins y passwords fuertes

Desde esta perspectiva, podemos crear una política de usuarios, con roles a medida según las funciones, un número de «admins» limitados y contraseñas fuertes, que haya que actualizar periódicamente.

Ésta es otra de las medidas básicas para securizar cualquier sistema online.

3. Instalar certificados SSL

Estos certificados SSL encriptan las comunicaciones entre la página web y los clientes y, hoy por hoy, resultan prácticamente obligatorios en cualquier eCommerce.

Además, influyen en el Posicionamiento Web que finalmente nos otorgue Google.

4. Contratación de un hosting a medida de tu proyecto

Es importante también el elegir un proveedor de hosting con un portfolio de soluciones flexibles, que abarque desde los cómodos planes de «Hosting Compartido» hasta los potentes «Servidores Cloud y Dedicados».

Ésto es una garantía de cara a contar con unas prestaciones y un nivel de servicio que acompañe al crecimiento de cualquier tienda online.

Y, por supuesto, con Soporte Técnico especializado 24/7, que nos pueda echar una mano en todo momento, porque Internet no descansa y el «malware», tampoco.

5. Debes instalar módulos de seguridad

En el Marketplace de PrestaShop encontraremos módulos de seguridad que añaden una capa adicional de seguridad a cualquier página web hecha con este gestor de contenidos.

Algunos de los más destacados son:

  • Block Bots / Users: debemos estar seguro de habilitar opciones para bloquear bots y usuarios basados en diversos factores, como la IP, el país o el tipo de cliente.
  • Private Shop Module: agrega una capa de autenticación para que solo los usuarios autorizados puedan acceder a todos tus productos, las categorías o a la tienda entera.
  • Login Sheriff PRO: ayuda a identificar los accesos que se han producido para realizar operaciones posiblemente fraudulentas.
  • Protect My Shop: uno de los más completos para reforzar la seguridad en decenas de aspectos, tanto en la parte de programación, cuyos bugs son un reclamo para el malware, como de cara a securizar el catálogo de productos.

6. Haz copias de seguridad

Por muchas medidas preventivas de seguridad en PrestaShop que tomemos, es imposible asegurar que nuestro proyecto web no vaya a sufrir algún accidente con el que podamos perder nuestro trabajo.

Sin embargo, si disponemos de una copia de seguridad actualizada, el problema tan solo durará un breve periodo de tiempo.

Aunque siempre podemos recurrir a hacer estas tareas de manera manual, hay bastantes módulos específicos que automatizan los procesos de backup y restauración.

La mayoría son de pago, pero incorporan funcionalidades extra que hacen que la inversión merezca la pena:

  • 1-Click Upgrade: este módulo nos permite actualizar nuestra tienda a la última versión de PrestaShop en pocos clics y realizar una copia de seguridad de todo lo que tenemos.
  • Migration Pro: permite migrar categorías, productos, imágenes, atributos, marcas sin límite de cantidad de registros, guardar contraseñas y URL de SEO en motores de búsqueda.

Su instalación es muy sencilla y cuenta con una buena documentación y videotutoriales que lo hacen aún más fácil.

  • NT Backup And Restore: también de pago, este módulo nos permite realizar un backup total de nuestra tienda y enviarlo por FTP, SFTP, Dropbox, One Drive, OwnCloud o Google Drive.
  • Store Backup: desarrollado por PrestaShop, es toda una garantía de cara a copiar todos los elementos de una tienda: las bases de datos de clientes y pedidos, el catálogo de productos y sus imágenes, los pedidos, plantillas, etc.

7. Añade una segunda contraseña con un fichero .htaccess

Además de la página de conexión actual, puedes añadir un segundo nivel de seguridad para acceder a tu back office, puedes reforzar con una contraseña a través del fichero .htaccess.

Esta doble seguridad permite definir un segundo login y contraseña que únicamente tú conozcas y que será necesario indicar antes de poder acceder la página de conexión.

Realizarlo es muy sencillo, sigue las etapas que indicamos en la documentación de PrestaShop.

8. Usa contraseñas lo más complejas posibles

Evita las contraseñas simples, como el nombre de tu mascota o la fecha de nacimiento de tu primer hijo.

Utiliza una contraseña única y propia a la tienda.

Lo más recomendable es utilizar una mezcla de caracteres alfanuméricos y caracteres especiales o un passphrase.

Por ejemplo: D37htyoB4!17 u Oh!EsSUPERbonito! o incluso “No tengo ninguna idea.”.

9. Modifica el nombre d ela carpeta «Admin»

Cuando instalas PrestaShop, gestionas la tienda a través del back-office. Este back-office es accesible a través de una dirección definida por el nombre de esta carpeta de tu servidor. De base, esta carpeta es renombrada como “admin + un número”, por ejemplo admin42.

10. Pon al día tu eCommerce

Puede parecer evidente pero es un recordatorio importante:

¿Cuándo ha sido la última actualización de la tienda?

Es importante destacar que una nueva versión de PrestaShop puede aportar actualizaciones de seguridad además de correcciones y de nuevas funcionalidades.

Por ello, si necesitas pasarte de la versión 1.6 a 1.7 de PrestaShop porque aún estuvieses en la primera de ellas, hazlo, ya que merecerá la pena, desde el punto de vista funcional, operativo y de seguridad.

Conclusión

Con estos 10 pasos y recomendaciones que te hemos dado sobre la seguridad en PrestaShop:

¡Ya tienes una tienda más segura en sólo unos minutos!

¡No dudes en compartir estos consejos con otros vendedores online!

 

Por Jose María Baquero

 

Fuente:
Prestashop.com

Certificado SSL

¿Qué es un certificado SSL?

Un certificado SSL sirve para brindar seguridad al visitante de su página web, una manera de decirles a sus clientes que el sitio es auténtico, real y confiable para ingresar datos personales. Las siglas SSL responden a los términos en inglés (Secure Socket Layer), el cual es un protocolo de seguridad que hace que sus datos viajen de manera íntegra y segura, es decir, la transmisión de los datos entre un servidor y usuario web, y en retroalimentación, es totalmente cifrada o encriptada. El que los datos viajen cifrados, nos referimos a que se emplean algoritmos matemáticos y un sistema de claves que sólo son identificados entre la persona que navega y el servidor. Al tener un certificado SSL confiable, nuestros datos están encriptados, en ese momento podemos asegurar que nadie puede leer su contenido. Todo esto nos lleva a entender que la tecnología que brinda un certificado SSL es la transmisión segura de información a través de internet, y así confirmar que los datos están libres de personas no deseadas. Para poder utilizar un certificado SSL, en su página web, es de vital importancia que el servidor de Internet que usted contrató, soporte SSL.

Estamos en la era de la información, el usuario o cliente necesita confiar en las transacciones realizadas a través de internet, el certificado SSL nos asegura que los datos son enviados al servidor correcto. Un certificado SSL es una tecnología que le brinda una gran solución de seguridad en línea, nos ayuda a garantizarles a los clientes que el sitio que están visitando es seguro; desde una simple visita, realizar compras o iniciar sesión.

Un certificado SSL implementa el modelo preferido de seguridad en web, contiene claves digitales que protegen la integridad de sus datos al momento de enviar y recibir. Los servidores que corren SSL crean una vía con un cifrado único para las sesiones privadas a través que Internet, la clave pública del servidor está al alcance de cualquier persona. Es por eso que utilizan una clave pública y una clave privada: La clave pública es para cifrar la información, la clave privada para descifrarla.

Al elegir un certificado SSL debe tomar cuenta los alcances deseados en su sitio web, la audiencia que tendrá acceso y por último el tipo de sesión que el usuario realizará. En la actualidad la mayoría de las aplicaciones web y servidores soportan un certificado SSL es por eso que le recomendamos analizar a profundidad la finalidad de su sitio web y haga una excelente decisión en cuanto a certificado SSL se refiere.

 

Fuente:

Home