Seguridad de entornos web

tienda perfumes prestigia seguridad
Fraude Web, que no conviertan tu sitio web en una tienda de perfumes
1020 680 Prestigia

Una de las tendencias que vemos día a día es como nuestros clientes nos llaman con casos curiosos, uno de ellos no salía de su asombro en el cual al intentar acceder a su sitio web, una pagina donde publicitaba su pyme, de pronto se había convertido en una web de venta de perfumes ¿Qué había ocurrido? ¿Cómo reaccionamos? En este articulo te contamos algunos consejos si tu pyme ha padecido un fraude web.

Noticias como la que hemos visto en el caso anterior, que tu sitio web sea hackeado y modificado no es algo nuevo. Los sitios web suelen ser propensos a ser pirateados, dados los numerosos ataques comunes que existen, y hay varios pasos que debe seguir para deshacerse y minimizar de estos problemas. No es necesario ser famoso o conocido para sufrir un ataque, ya que estos se realizan de forma masiva, automatizada e indiscriminada, realizando la detección de los CMS vulnerables y aprovechando las deficiencias, seas quien seas.

Si tu sitio web ha sido hackeado, en primer lugar, te recomendamos que recurras a especialistas para eliminar el malware, las puertas traseras y obtener una protección del sitio web lo antes posible, servicios ofrecidos por Prestigia Seguridad.

¿Qué hacer si sufrimos un fraude web?

Si bien entrar en pánico no es el mejor enfoque en cualquier situación, es esencial que también reconozca que el tiempo es esencial:

  • Evalúa el daño: la gravedad del ataque puede variar mucho.
  • Realiza una revisión exhaustiva: determinar cómo se hackeó tu sitio web debería arrojar luz sobre las vulnerabilidades y también debería impulsar una revisión más exhaustiva de los protocolos de seguridad para asegurarse de que no haya oportunidades adicionales esperando ser explotadas por los cibercriminales.
  • Identifica la vulnerabilidad: se deben tomar medidas sólidas y demostrables para eliminar todas y cada una de las vulnerabilidades del sitio web que todo este proceso haya descubierto.
  • Cambia todas las contraseñas: asegúrate de cambiar las contraseñas de los usuarios internos y los administradores. Asegúrate de utilizar contraseñas seguras al actualizarlas como te indicamos en el artículo referenciado anteriormente.
  • Considera restaurar el sitio desde una copia de seguridad: según la naturaleza de tu negocio o sitio web, podría ser posible simplemente restaurar el sitio web desde una copia de seguridad, retrocediendo efectivamente el sitio al estado / punto en el tiempo antes del ataque. Siempre y cuando hayamos detectado la vulnerabilidad y al restaurar la copia de seguridad la mitiguemos.
  • Vuelve a ponerlo en línea: si pusiste fuera de línea tu sitio para abordar la restauración, entonces es hora de volver a activarlo e intentar recuperar la normalidad.

Conclusiones

Si tu sitio web sea hackeado, convirtiéndolo en una web de perfumes, puede afectar a tu imagen, pero puedes recuperarte y aprender de los errores para mejorar a futuro. Así que mantén siempre la calma y llama al equipo de seguridad adecuado para que lo repare y vuelva a funcionar.

En vuestra empresa, ¿habéis sido víctimas de ciberataques a vuestras paginas web? ¿realizáis auditorias de seguridad de forma usual? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

cabeceras hsts prestigia seguridad
La importancia de las cabeceras HSTS
1020 680 Prestigia

Imagínate que estas en tu restaurante favorito o simplemente regresas a la habitación del hotel después de esa conferencia y deseas utilizar tu conexión Wi-Fi gratuita. ¿Alguna vez has notado que esas contraseñas de Wi-Fi están impresas en papel y nunca se cambian? Un cibercriminal ha reservado una habitación en este mismo hotel. Está escuchando a escondidas todas las conexiones que pasan por esta red inalámbrica insegura. Dentro de la cantidad de ataques hacker y de maldades hay algo llamado analizador de paquetes. Un analizador de paquetes es una utilidad de red que analiza y puede inyectar información en el flujo de datos que viaja a través de la red atacada.

Este cibercriminal podría capturar el tráfico de la red del hotel, a través de HTTP para cualquier sitio web en el cual su tráfico viaje en texto plano sin cifrar. Este método presenta una ventana de oportunidad para que el pirata informático sin que el tráfico vaya por SSL y permita robar datos valiosos o, peor aún, presente una página de portal de inicio de sesión falsa y pueda incluso robar credenciales con ataques de ingeniería social. Es por esto que tu sitio web debe emplear HTTP Strict Transport Security o mediante su nombre acortado HSTS para forzar que el tráfico siempre vaya por HTTPS.

¿Qué es HTTP Strict Transport Security?

HTTP Strict Transport Security (HSTS) es una directiva de servidor web que informa a los agentes de usuario y navegadores web cómo manejar la conexión a través de una cabecera de respuesta enviada al principio y de regreso al navegador que fuerza las conexiones HTTPS.

Esto se establece en el parámetro de la política Strict-Transport-Security. Fuerza esas conexiones a través del cifrado HTTPS, sin tener en cuenta la llamada de cualquier script para cargar cualquier recurso en ese dominio a través de HTTP. HSTS es solo una de tantas configuraciones en un conjunto de configuraciones de seguridad para tu servidor web o su servicio de alojamiento web.

Cómo implementar cabeceras HSTS

Si empleas subdominios en tu estructura de contenido, necesitarás un certificado comodín para cubrir solo HTTPS. Asegúrate de tenerlos instalados y funcionando correctamente. A continuación, te comentamos como habilitarlo en uno de los servicios HTTP mas conocidos, Apache y el proxy NGINX:

  • Habilitar HSTS en Apache: Agregue el siguiente código a su archivo de hosts virtuales.
    • Strict-Transport-Security max-age=31536000
  • Habilitar HSTS en NGINX: Agregue el siguiente código a su configuración de NGINX.
    • Strict-Transport-Security max-age=31536000

Al especificar el Strict-Transport-Security encabezado junto con un max-age con valor en la respuesta, tu sitio web puede declarar que solo se aceptarán conexiones seguras dentro del período especificado. Para futuras solicitudes al mismo dominio a través de conexiones inseguras, el navegador sabe que nunca debe cargar el sitio mediante HTTP y convierte automáticamente todas las solicitudes a HTTPS. HTTP Strict Transport Security ha existido durante casi ocho años. Esta política de solo HTTPS en su infraestructura web mantendrá alejados a los malos y protegerá sus datos confidenciales.

Como has podido comprobar, la configuración de HSTS proporciona una mayor seguridad en tu proyecto web. Si estás desarrollando tu propia web, recomendamos encarecidamente que aumentes tu seguridad aplicando HSTS. Antes de continuar e implementar HSTS, ten en cuenta que primero deberás haber instalado un Certificado SSL de buena reputación.

En vuestra empresa, ¿Conocíais este tipo de cabeceras? ¿las tenéis implementadas? Desde Prestigia Seguridad, nuestros expertos realizan pruebas para verificar si este tipo de cabeceras están correctamente implementadas, no dudes en contactar con nosotros para informarte.

SDLC
Ciclo de desarrollo seguro en código
1020 680 Prestigia

El Ciclo de vida de desarrollo de software (o SDLC) es el proceso que se sigue para desarrollar un producto de software de forma segura. Es una forma estructurada de crear aplicaciones de software, puesto que la mayoría de las organizaciones cuentan con un proceso para desarrollar software; este proceso puede, a veces, personalizarse según los requisitos y el marco de la organización, seguidos por la organización e incluyendo en su ciclo la seguridad como parte del desarrollo en el ciclo.

El conocimiento y la cultura sobre SDLC es muy importante para cualquiera que quiera entender algunos de los pasos principales que son comunes en todo el proceso SDLC, independientemente de la organización o tipo de proyecto, como podría ser la seguridad en eCommerce. A menudo se hace difícil para los desarrolladores administrar todas las diferentes complejidades de implementar esta metodología, pero a futuro aporta más ventajas que inconvenientes. Para manejar estos diversos sistemas de software, se han creado muchos modelos SDLC para diferentes factorías de software, para evitar la creación de software con vulnerabilidades.

Tendencias y porque realizar SDLC

La tendencia actual es identificar problemas mediante una evaluación de seguridad de las aplicaciones, después de que se desarrollen y luego solucionar estos problemas. Corregir los fallos en el software de esta manera, puede ayudar, pero es un enfoque más costoso para solucionar los fallos de seguridad. En este ciclo de pruebas y parches, las nuevas pruebas se ejecutan en múltiples iteraciones y se pueden evitar en gran medida, al abordar problemas anteriores en el ciclo de desarrollo, puesto que la siguiente sección cubre un aspecto muy importante, la necesidad de programas como el ciclo de desarrollo seguro o SDLC.

Aquí es donde el SDLC entra en escena, si bien el empleo de un equipo de auditores de seguridad ayuda para realizar pruebas de test de intrusión, tener procesos como SDLC puede ayudar a las organizaciones y compañías a abordar problemas discutidos anteriormente de una manera mucho más rentable, ya que la identificación de problemas de seguridad de forma temprana en el ciclo de vida del desarrollo reduce los costes finales.

Fases para el Ciclo de vida de desarrollo de software

Para cualquier metodología de desarrollo de software que implemente tu organización, encontrarás una estructura muy común entre los distintos modelos. Estas cinco fases de un ciclo de vida de desarrollo de software o SDLC se pueden identificar:

  • Planificación: comienza tu desarrollo de software seguro trazando una línea de tiempo, requisitos y cualquier detalle preliminar necesario.
  • Análisis: la organización define objetivos, metas del proyecto y las funciones y operaciones de la aplicación.
  • Diseño: se presentan diseños detallados, reglas de negocio, diagramas de proceso, pseudocódigo y otra documentación. Comienza el desarrollo y se escribe un código seguro.
  • Implementación: las pruebas y la integración reúnen todas las piezas en un entorno que verifica errores, vulnerabilidades, fallos e interoperabilidad.
  • Mantenimiento: una vez que se desarrolla su software, mantener actualizaciones, evaluaciones de rendimiento y realizar cambios en el software inicial son procedimientos de mantenimiento clave siempre teniendo en cuenta la seguridad.

En definitiva, el proceso de desarrollo y creación de software seguro puede ayudar a tu equipo de desarrollo a comprender las dificultades de seguridad comunes que deben evitarse. En el complejo mundo del desarrollo de software, es fácil pasar por alto problemas en el código cuando no está implementando un plan de acción detallado. Al utilizar las herramientas adecuadas para ayudar en el desarrollo de software seguro, puedes reducir los costes, aumentar la eficiencia e implementar pruebas continuas para reducir el riesgo como podrían ser Inyecciones SQL u otro tipo de vulnerabilidades. Si la seguridad de la información es tu prioridad, asegúrate de que tu ciclo de vida de desarrollo de software cumpla con los estándares.

Los clientes demandan productos seguros listos para usar, por lo que la seguridad debe ser una prioridad que debe ser la prioridad de todos. Pero sin un enfoque estándar de seguridad, es casi imposible cumplir con las expectativas de los clientes. Ahí es donde entra en juego el Ciclo de vida de desarrollo seguro (SDL). Desde Prestigia Seguridad, nuestros expertos realizan auditorias de código para verificar deficiencias en el ciclo del desarrollo seguro, no dudes en contactar con nosotros para informarte.

herramientas sast dast prestigia seguridad
Qué son las herramientas SAST y DAST
1020 680 Prestigia

Se estima que el 90 por ciento de los incidentes de seguridad son el resultado de atacantes que explotan errores de software conocidos. Debemos decir que, eliminar esos errores en la fase de desarrollo del software, podría reducir los riesgos de seguridad que enfrentan muchas organizaciones hoy en día. Para hacer eso, hay varias tecnologías disponibles para ayudar a los desarrolladores a detectar fallas de seguridad, antes de que se conviertan en una versión final de software, donde incluiríamos SAST (Static application security testing) y DAST (Dynamic Application Security Testing).

Conceptos de SAST y DAST

SAST y DAST son metodologías de pruebas de seguridad de aplicaciones que se utilizan para encontrar vulnerabilidades o deficiencias de seguridad que pueden hacer que una aplicación, sea susceptible a ataques. La prueba de seguridad de aplicaciones estáticas (SAST) es un método de prueba de caja blanca, donde se examina el código fuente para encontrar fallos y debilidades del software, como las inyecciones de SQL y otras que figuran en el Top 10 de OWASP.

Las pruebas de seguridad de aplicaciones dinámicas (DAST) son una metodología de pruebas de caja negra que examinan una aplicación mientras se ejecuta, para encontrar vulnerabilidades que un atacante podría aprovechar.

A esto debemos sumar elegir un alojamiento web seguro, protegido e implementando siempre los últimos parches de seguridad.

SAST vs DAST

A continuación, comentamos las principales diferencias:

  • SAST: es una prueba de seguridad de aplicaciones estáticas, es decir, analiza una aplicación sin ejecutarla. Hay una variedad de formas de hacerlo, desde la revisión manual hasta análisis de métricas con herramientas automáticas, análisis de patrones y análisis de flujos de datos. Esto se considera prueba de caja blanca. Con mayor frecuencia, los usuarios de SAST se preocupan por el análisis del flujo de datos porque les permite buscar problemas de seguridad, como datos no validados antes de que se ejecute en la aplicación.

Las pruebas anteriores son mejores, porque cuestan mucho menos, por lo que la principal ventaja de SAST es que se puede auditar antes, mucho antes de que la aplicación o el sistema completo esté listo. Con el análisis SAST, se tiene un profundo conocimiento interno del código fuente para que se sepa exactamente qué código está involucrado con un fallo de seguridad y poder solventarlo.

  • DAST: DAST es prueba de seguridad de aplicaciones dinámico. Esto significa que auditaremos una aplicación (o dispositivo) en funcionamiento, generalmente a través de sus entradas e interfaces (aplicación web, móvil, etc). Esto es una prueba de caja negra, en el sentido de que está utilizando la aplicación sin mirar sus componentes internos (código fuente).

La mayor ventaja de DAST es que obviamente serán pruebas realistas que tendrán en cuenta la aplicación completa y su uso por parte del usuario final para identificar vulnerabilidades. En segundo lugar, las pruebas DAST no dependen de un conocimiento profundo del código fuente.

Tener una estrategia SAST sólida que incorpore revisiones y auditorias de código de detección temprana de vulnerabilidades y estándares de codificación seguros, como CERT es la forma más completa de asegurar una aplicación y dejar de tener los mismos problemas de seguridad una y otra vez. Pero, para complementar, con una auditoria de tipo DAST podemos conectar SAST con lo que DAST está haciendo y ejecutando en tiempo real, reportando nuestras actividades SAST con información obtenida de DAST y evitar por ejemplo que nuestros sistemas formen parte de una Botnet por un ataque.

Al usar SAST y DAST combinados, trabajas con lo que nos gusta pensar como una mentalidad a prueba de fallos de seguridad, previniendo a futuro incidentes de seguridad. En un entorno seguro por diseño, a prueba de fallos, es interesante también que adoptamos el enfoque de la arquitectura, ciframos bases de datos, aplicando parches de vulnerabilidades, etc. De esa manera, el comportamiento de nuestra aplicación o proyecto, de forma predeterminada será seguro o minimizaremos de forma considerable potenciales fallos o vulnerabilidades, gracias a las pruebas de SAST y DAST.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad tanto a nivel de código (SAST) como auditorias dinámicas (DAST) a una de aplicaciones web y CMS, que contemplan auditorias en sistemas de acceso con Smart Cards, con el fin de mejorar la seguridad de tu compañía.

seguridad ecommerce prestigia seguridad
Consejos para mejorar la seguridad en tu ecommerce
1020 680 Prestigia

La seguridad del comercio electrónico (ecommerce en inglés) se refiere a los principios que guían las transacciones electrónicas seguras, permitiendo la compra y venta de bienes y servicios a través de Internet, pero con protocolos establecidos para proporcionar seguridad a los compradores y vendedores.

Las estrategias de seguridad de comercio electrónico incluyen el uso de protocolos HTTPS y certificados SSL tal y como comentamos en un post anterior, la monitorización de transacciones y copias de seguridad periódicas, entre otros. En este articulo profundizaremos en estas y otras medidas de seguridad efectivas y comprobadas.

Pasos a seguir para mejorar la seguridad de tu ecommerce

El correcto mantenimiento de tu proyecto online puede ayudarte a prevenir ataques, a continuación, enumeramos que debes tener en cuenta:

  • Protocolo HTTPS: Estos protocolos han aumentado su popularidad en los últimos años, en comparación con HTTP tradicional. El protocolo HTTPS se ha utilizado normalmente en partes del sitio web destinadas a pagos, debido a la necesidad de securizar la información de clientes y compañías. En la actualidad, sin embargo, el uso de estos protocolos se ha generalizado. Ahora se necesitan en todo el sitio web, que ha condenado los antiguos protocolos HTTP a considerarse inseguro por la posible interceptación de datos por parte de atacantes.
  • Copias de seguridad: Uno de los errores comunes en la gestión de la seguridad, esta es otra de las estrategias de seguridad de comercio electrónico más efectivas. Y ciertamente no requiere contratar profesionales, ya que se puede automatizar simplemente. Existen multitud de complementos de copias seguridad aconsejamos hacerlas de forma regular de las bases de datos de la web. Es extremadamente importante hacer copias de seguridad periódicas de los datos de tu sitio. Entre las mayores amenazas, para nuestro comercio electrónico se encuentran no solo malware o phishing, también el error humano.
  • Almacenar tarjetas de crédito o débito: Más allá de las técnicas y herramientas de seguridad y cifrado del comercio electrónico, las mejores tiendas en línea utilizan el sentido común para proteger a sus clientes. La mejor manera de evitar fugas de información de tarjetas de crédito y débito es no almacenarlas. Sabemos que los números de tarjeta de crédito y los nombres de los clientes son esenciales para facilitar el pago rápido. Sin embargo, no es necesario almacenarlos en nuestros servidores o en todo caso, deberán ir cifrados de forma obligatoria.
  • Firewall de aplicaciones: Ya comentamos en un artículo anterior donde hablamos sobre los mejores Firewall para empresas, un WAF es un sistema de hardware o software que esencialmente funciona como una puerta de enlace entre dos o más redes, permitiendo el tráfico autorizado y bloqueando el acceso de tráfico no autorizado o potencialmente malicioso a una red. En general, WAF protege los sitios web de ataques comunes, como inyecciones SQL y ataques DDoS. Dado que los sitios web de comercio electrónico tienen mucho tráfico entrante, necesitan firewalls para protegerse contra la actividad maliciosa.
  • Política de contraseñas seguras: Establezca políticas estrictas de contraseñas que obliguen a los clientes a usar letras mayúsculas y minúsculas, caracteres especiales y tener contraseñas largas de al menos 10 caracteres.

Problemas comunes de seguridad en ecommerce

Este aumento masivo en el uso del comercio electrónico, ha llevado a una nueva generación de amenazas de seguridad asociadas, pero cualquier sistema de comercio electrónico debe cumplir con cuatro requisitos integrales:

  • Privacidad: la información intercambiada debe mantenerse a terceros no autorizados.
  • Integridad: la información intercambiada no debe ser alterada o alterada.
  • Autenticación: tanto el remitente como el destinatario deben probar sus identidades entre sí.
  • No repudio: se requiere prueba de que la información intercambiada fue efectivamente recibida.

Estos son los 4 pilares basicos que mantendran protegido tus sistemas de comercio electronico.

Por último, desde Prestigia Seguridad, nuestro equipo puede analizar los consejos aportados anteriormente para que el mantenimiento técnico de tu proyecto ecommerce online sea seguro, que contemplan pruebas de hacking ético con el fin de mejorar la seguridad de tu sitio web.

Cross-Site Scripting
Qué es un Cross-Site Scripting y cómo afecta a tu web
1020 683 Prestigia

Las vulnerabilidades de tipo Cross-Site Scripting o también denominadas XSS, tienen como objetivo principal la inyección de código en un sitio web cara a ejecutarlo en el explorador del usuario, no en el servidor del sitio web, es decir, sería un ataque directamente hacia el cliente utilizando la página web que visualiza. En el caso de que el usuario visualice el contenido malicioso, se ejecutaran en su explorador secuencias de comandos maliciosas, es decir, código JavaScript en su explorador que intentarán infectar su equipo. La mayoría de ataques de tipo Cross-Site Scripting es bastante ilimitada, pero mediante este tipo de ataques pueden realizar la obtención de datos personales, crear una redirección a un sitio web malicioso controlado por cibercriminales o el robo de sesiones de nuestro sitio web. En este sentido, no queríamos dejar de lado el post realizado hace unos meses sobre qué son y qué hacer ante las Brechas de Seguridad.

Evitar ser atacado por un Cross-Site Scripting como usuario

Lo principal y fundamental para evitar ser vulnerable a este tipo de ataques, es contar con soluciones  de seguridad instaladas y correctamente actualizadas. Esta parte es muy importante debido a que si se ejecuta algún malware o código malicioso en tu equipo al acceder a un sitio web vulnerable, estas soluciones que contengan las últimas firmas sean capaces de bloquearlas.

Adicionalmente, es posible que se aprovechen este tipo de ataques, como comentamos al principio para crear redirecciones a sitios que contengan algún tipo de phishing, en este caso, las protecciones de los antivirus cuentan con el bloqueo a este tipo de sitios  y también el bloqueo por parte de los navegadores web.

Es primordial siempre vigilar los sitios donde ingresamos, observar la dirección URL a la que accedemos por ejemplo, ya que en este caso podremos identificar las redirecciones no controladas y aprovechadas por estos ataques, que podrían ser aprovechadas por los atacantes.

También existen complementos o extensiones para nuestros navegadores web, encargados de bloquear y mitigar la ejecución de estos scripts maliciosos. Recomendamos la extensión NoScript, la cual permite realizar configuraciones personalizadas y adicionalmente, es gratuito.

Por último, recomendamos utilizar navegadores alternativos, es decir, no tan populares, como pueden ser Opera, Comodo o Chromium. De este modo, si un usuario malicioso nos envía un ataque que intente explotar alguna deficiencia o vulnerabilidad, normalmente será para los navegadores más conocidos y al no darse las condiciones para la ejecución de la vulnerabilidad, no podrá explotarse correctamente.

Mitigar los Cross-Site Scripting en nuestra web

La detección y prevención es primordial para mitigar este tipo de ciberataques, a continuación te explicamos que hacer para detectar este tipo de ataques. Primeramente, deberíamos en todo momento tener actualizados los plugins de nuestro CMS y adicionalmente, de forma continuada, realizar pruebas de Hacking Ético y Test de Intrusión, en embargo, queremos dar las siguientes pautas para mitigar este tipo de ataques:

OWASP (Open Web Application Security Project) proporciona una librería denominada ESAPI, está creada para numerosos lenguajes de programación. Esta permite funcionalidades muy variadas, como por ejemplo validar los caracteres de entrada recibidos por el usuario o codificar de forma adecuada los caracteres especiales.

  • Función htmlspecialchars(): creada para filtrar la salida de contenido mostrado en el navegador del usuario. Si utilizamos alguna codificación diferente a ISO-8859-1 o UTF-8, tenemos disponible la función  htmlentities().
  • Función strip_tags(): esta función también elimina código HTML y no permitirá dar formato de ningún tipo a los datos que el usuario ingrese. De igual modo, si necesitamos dar la posibilidad a los usuarios de utilizar alguna etiqueta, esta función tiene un argumento con el cual podemos especificar etiquetas en una lista blanca.
  • BBCode: Última opción que proponemos, bastante popular también,  seria permitir una especie de pseudocodigo que posteriormente será reemplazado  por etiquetas HTML controladas.

Como puede afectar el Cross-Site Scripting a nuestro SEO

Los ataques de tipo Cross-Site Scripting pueden afectar negativamente a tu posicionamiento SEO como indicamos en su día. Es decir, un sitio web que haya sido hackeado y donde se hayan incluido backlinks donde apunten a un dominio para crear notoriedad. Los ataques de Cross-Site Scripting son conocidos por los cibercriminales por insertar enlaces donde el webmaster del sitio web infectado no conoce. Google y otros motores de búsqueda penalizan estos enlaces. Para esto, hay que prevenir de forma eficaz que mediante este tipo de ataques inserten links maliciosos en nuestra web y sean indexados, tomando las recomendaciones en el apartado anterior.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad a una inmensidad de sectores empresariales, que contemplan este tipo de pruebas con el fin de mejorar la seguridad de tu sitio web.

htacess
Htaccess, una gran ayuda para el SEO y la seguridad de tu web
1024 554 Prestigia

El fichero de sistema llamado .htaccess ofrece una variedad de funcionalidades bastante útiles los administradores de páginas web que nos pueden ayudar a evitar penalizaciones de Google por ejemplo. En este post comentaremos qué funciones tiene este fichero, como puede ayudarnos en nuestro posicionamiento SEO y algunos trucos de seguridad para nuestro sitio.

¿Qué función tiene el archivo .htaccess?

El nombre de este fichero viene del Inglés Hypertext Access, mediante el cual es posible configurar los directorios de nuestro sitio web. La funcionalidad es de Apache, servidor web conocido y utilizado a nivel mundial por su fiabilidad.

Mediante los ficheros .htaccess se pueden ajustar de forma personalizada las carpetas de nuestro servidor web, las cuales están identificadas en la configuración del servidor web Apache, en el fichero httpd.conf.

Hay que contemplar que este tipo de reglas pueden afectar a las carpetas superiores y subdirectorios donde este fichero se encuentre. Si lo que necesitas es que este tipo de reglas afecten a toda la página web, solo habrá que incluir el fichero .htaccess en el directorio principal.

Adicionalmente, si lo que necesitas es crear reglas específicas que afecten solo a una carpeta, puedes crear ficheros .htaccess en la carpeta o subdirectorio específico para que sus reglas se apliquen solamente a esa carpeta.

Cómo afecta el .htaccess al SEO de mi web

El fichero .htaccess se configura e incluye en la carpeta principal de nuestro dominio y permite dar instrucciones a los robots de los buscadores que nos servirán de ayuda para el posicionamiento web. A continuación os contamos distintas configuraciones que puedes incluir en tus ficheros .htaccess para mejorar el posicionamiento SEO.

Forzar el cacheo de ficheros del dominio:

FileETag MTime Size

ExpiresActive on

ExpiresDefault «access plus X seconds»

Cuando configuremos el parámetro «X seconds», determinaremos una cantidad de segundos. Lo más usual, sería configurar un día, que serían 86400 segundos, quedando la configuración más óptima que sería:

FileETag MTime Size

ExpiresActive on

ExpiresDefault «access plus 86400 seconds»

Mediante la configuración del caché, podremos ofrecer los archivos alojados en un servidor de una manera más rápida a los usuarios.

Regular las redirecciones permanentes de tipo 301 o temporales de tipo 302:

Esto nos resultará muy beneficioso si cambiamos la ubicación de fichero en nuestro servidor. Podremos crear una redirección de tipo 301 para que los buscadores entiendan que solamente existe un dominio y de esta moto evitar problemas con la duplicación de contenidos. Para esto, añadiremos la siguiente configuración a nuestro fichero .htaccess:

RewriteEngine on

rewritecond %{http_host} ^tupaginaweb.com [nc]

rewriterule ^(.*)$ http://tupaginaweb.com/$1 [r=301,nc]

Permitir la compresión, mediante GZip, de los contenidos del dominio:

Gracias a esto agilizaremos de forma notable la carga de nuestra web:

AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript

BrowserMatch ^Mozilla/4 gzip-only-text/html

BrowserMatch ^Mozilla/4.0[678] no-gzip

BrowserMatch bMSIE !no-gzip !gzip-only-text/html

Prevenir el hotlinking de imágenes desde el .htaccess:

Ya hablamos en un anterior post sobre los backlinks toxicos, el hotlinking permite a un sitio web desconocido tomar la dirección URL de una imagen cualquiera de nuestro sitio web y mostrarla en la suya, haciendo uso de los recursos de nuestro servidor. Para evitar esto, añadiremos el siguiente código para prevenir el hotlinking:

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www\.)?tupaginaweb.com/.*$ [NC]

RewriteRule \.(gif|jpg|js|css)$ – [F]

Seguridad mediante .htaccess

La configuración del fichero .htaccess nos puede ayudar de forma notable a mejorar la seguridad de nuestro servidor web. A continuación os contamos algunas configuraciones que fijo os pueden ayudar a fortificar vuestros servidores simplemente configurando de forma correcta este fichero:

Especificar páginas de error

Para personalizar tu página de error 404 not found:

ErrorDocument 404 /Notfound.html

Indicar que se puede realizar con otro tipo de errores:

ErrorDocument 403 / Forbidden.html

Evitar listar los contenidos de tus directorios

Para evitar el listado de directorios solamente hay que añadir la siguiente línea al fichero .htaccess:

Options –Indexes

No mostrar la firma del servidor

La información sobre la versión de nuestro servidor, puede ayudar a los atacantes a identificar vulnerabilidades en nuestro software, para no mostrar esta información, solamente debemos añadir las siguientes líneas al fichero .htacces:

ServerSignature Off

Trucos para mejorar el SEO y rendimiento de vuestra web

No solo vamos a hablar de posicionamiento SEO o Seguridad, mediante las siguientes configuraciones podremos incluso mejorar la velocidad de carga de nuestra web, te lo contamos a continuación:

Ahorrar ancho de banda

Con la siguiente configuración, mejoraremos el rendimiento en servidores con PHP instalado:

<ifmodule mod_php4.c>

php_value zlib.output_compression 16386

</ifmodule>

Conjunto de caracteres de nuestro servidor

Mediante el siguiente parámetro, identificaremos el conjunto de caracteres por defecto antes de que nuestro servidor los cargue:

AddDefaultCharset utf-8

Te podemos decir que existen otras configuraciones aplicables en el fichero .htaccess pero desde Prestigia Seguridad, creemos que estas son las más importantes. Por último, desde Prestigia Seguridad, ofrecemos servicios de asesoramiento en Seguridad, penalizaciones mediante SEO y una gran variedad de servicios, no dudes en consultarnos para los servicios que puedan ayudar a tu compañía.

extensiones para mejorar la seguridad de tu navegador
Extensiones para mejorar la seguridad de tu navegador
1024 690 Prestigia

En esta entrada vamos a escribir sobre cuáles son las mejores extensiones para mejorar la seguridad de tu navegador, mientras los utilizas en tu ordenador personal o el ordenador de tu empresa. Tus datos y los datos que gestiona tu empresa, están en una continua exposición a no ser que tomes las medidas apropiadas y cuentes con herramientas que te ayuden a mejorar tu seguridad online.

En nuestro post principales tipos de ataques hacker que existen, verás cuáles son los ataques más utilizados y en qué consisten cada uno de ellos.

¿Cuáles son los navegadores más seguros?

Seguramente en tu empresa utilizas Google Chrome o Mozilla Firefox, por este motivo vamos a enseñarte a configurar las mejores extensiones para mejorar la seguridad de tu navegador, así proteger tus datos personales y los datos que gestiona tu empresa.

Antes de mostrar cuáles son dichas extensiones, te daremos información sobre los distintos navegadores mencionados en el párrafo anterior, para que puedas valorar cuál utilizar en relación a la seguridad que proporcionan.

Google Chrome

Google Chrome es el navegador más utilizado en todo el mundo, esto es debido, entre otras cosas, a sus buenas prácticas para proteger al usuario de ciberataques. Como pudiste ver en nuestro anterior post 5 ventajas de implementar un certificado SSL, Google Chrome te avisa si estás navegando por una página web que no tenga un protocolo HTTPS. Gracias a esta función Google Chrome te avisa frente a posibles amenazas por páginas web con código malicioso o cuando haya altas probabilidades de sufrir un ataque phishing.

Mozilla Firefox

En el 2017 Firefox lanzó la versión Quantum. Esta actualización dedica mayor atención a la seguridad de navegación del usuario y su privacidad. Mediante la implementación de una capa de seguridad basada en sandbox, Firefox pasa de ejecutar todo el código en el mismo proceso, a que sean varios procesos limitados en acceso los que ejecuten el código. Otra de las mejoras incluidas para mejorar la seguridad delnavegador Firefox, es la navegación privada con protección contra rastreo que se encarga de bloquear el contenido por posibles amenazas y evitar trazabilidad por parte de terceros.

Otro navegador como Internet Explorer, ha sufrido una devastadora caída a causa de sus problemas con la ciberseguridad.

¿Cuáles son las mejores extensiones para mejorar la seguridad de tu navegador?

Una vez repasados los dos navegadores más utilizados en el mundo, te mostraremos cuáles son las mejores extensiones compatibles con ambos navegadores, para mejorar la seguridad de tu equipo. Con estas extensiones podrás delimitar cuáles son los datos que recogen las páginas web por las que navegas y junto a un buen antivirus y nuestros consejos para mejorar la ciberseguridad de tu pyme, lograrás una mejor protección ante posibles ciberataques.

LastPass 

LastPass es una de las extensiones imprescindibles para mejorar la seguridad de tu navegador. Esta extensión, es un gestor de contraseñas gratuito encargado de almacenar todas tus contraseñas y las contraseñas que utilizas para tus gestiones empresariales en la nube de forma cifrada.

El panel de control donde se almacenan las contraseñas está protegido con una contraseña maestra, desde Prestigia Seguridad recomendamos no almacenar esta contraseña en ningún ordenador o dispositivo conectado a una red, así evitarás que sea robada y puedan acceder a las contraseñas guardadas.

Otras funciones que ofrece la extensión para mejorar tu seguridad online, es la posibilidad de sincronizar tu cuenta con otros navegadores y la capacidad de compartir contraseñas de manera cifrada con otros usuarios que la utilicen.

HTTPS Everywhere

Es una extensión de código abierto que se encarga de forma automática que las páginas web que visitas con tu navegador, utilicen siempre que sea posible conexión HTTPS en lugar de HTTP.

Esta extensión incluye una función denominada observatorio SSL, utilizada para determinar una vez analizados los certificados de clave pública, si eres vulnerable a un ciberataque.

Privacy Badger

Privacy Badger es otra de las extensiones que te ayudan a mejorar la seguridad de tu navegador, con la intención de mejorar tu privacidad ante el proveedor de contenido, bloqueando cookies y anuncios de terceros que buscan rastrear tus movimientos en Internet.

Esta extensión te ofrece la posibilidad de sincronizarla con otro navegador, así tus preferencias de bloqueo se mantienen siempre que estés navegando por internet.

Como usuario tienes la posibilidad de marcar los límites dentro de la extensión, bloqueando completamente a los rastreadores o solo las Cookies.

Y tú, ¿Qué navegador utilizas para mantener una buena seguridad online?, ¿has utilizado alguna extensión para mejorar la seguridad de tu navegador?, ¿conocías las extensiones de seguridad?, ¿te sientes protegido cuando navegas por internet?

Recuerda, en Prestigia Seguridad ofrecemos servicios de seguridad en Internet como: Seguridad de entornos Web, Seguridad en servidores Linux, seguridad en E-mail y Seguridad en WordPress para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

eliminar malware de mi página web
Detectar y eliminar malware de mi página web
1020 690 Prestigia

Si un hacker consigue entrar en tu página web e infectarla con malware, puedes tener un grave problema. Para ello hoy vamos a ver cómo detectar y eliminar malware de tu sitio web.

¿Qué es el malware y cómo te han infectado la web?

El malware es un software o código malicioso que permite el acceso de los hackers sin tu permiso dentro de tu página web, servidor o dispositivos, con la finalidad de infectarlos. Existen una gran cantidad de muestras de malware distintos, algunos sirven para robar información, otros para bloquear o cifrar información, otros para eliminarla e incluso existen algunos creados para espiar tus movimientos en el ordenador.

Para que un hacker infecte con malware tu página web, debes haber sido atacado en algún momento. Ya sea mediante un ataque phishing o utilizando un ataque de fuerza bruta. En nuestro post qué son los ataques de fuerza bruta y cómo eliminarlos, podrás encontrar más información sobre estos. También debes tener en cuenta la importancia de actualizar los plugins para mantener tu web segura.

¿Cómo detectar el malware dentro de tu página web?

La forma en la que nuestros clientes suelen detectar el malware en su página web, es a través de una penalización de Google. Google detecta que la página web es hackeada y envía un mensaje a los usuarios que intentan entrar en tu página web diciendo: The site ahead contains malware. 

Si este es tu caso, te recomendamos leer nuestro artículo: Penalización de Google: qué es, cómo detectarla y porqué afecta al SEO, donde explicamos al detalle cómo detectar una penalización de Google y porqué afecta al SEO y a la imagen de tu empresa.

Estas son otras formas de detectar que un hacker ha infectado con malware tu página web:

  • A través de un mensaje de correo electrónico o SMS donde el hacker te pide dinero para liberar tu web.
  • Gracias a algún cliente que ha intentado entrar en tu página web y te informa de que no puede acceder a ella por culpa de un virus.
  • Que el propio proveedor de hosting te informe de una sobrecarga en el consumo de recursos o de la detección de malware dentro de tu página web.

¿Cómo eliminar malware de tu página web?

El modo más común de infectar una página web tiene por nombre ‘iframe attack’, un ataque en donde el hacker introduce código malicioso dentro del código de tus páginas que visualizarán los usuarios para a su vez incluso ser infectados. En estos casos no podemos eliminar el malware con alguno de los mejores antivirus para servidores, para solucionarlo de la manera más operativa posible, debemos restablecer una copia de seguridad limpia y cambiar todas las contraseñas de nuestro sitio web.

Por otro lado, existen tipos de ataques donde por mucho que restaures una copia de seguridad limpia, cambies las contraseñas o actualices los plugins y demás, la web seguirá infectada. Son estos ataques los que posteriormente pueden evolucionar hacia ataques más complejos, en nuestro blog escribimos un artículo sobre los principales tipos de ataques hackers que existen.

Si te encuentras en una situación parecida, recomendamos acudir a un equipo multidisciplinar de expertos en distintos ámbitos relacionados con la seguridad en Internet, para que ellos gracias a su conocimiento y sus herramientas de análisis y supresión de virus puedan eliminar el malware de tu página web.

Y tú, ¿has podido eliminar malware de tu página web?, ¿han insertado malware dentro de tu web?, ¿has podido detectar el malware insertado?, ¿conocías los distintos tipos de malware?

Recuerda, en Prestigia Seguridad ofrecemos servicios de ciberseguridad como la detección y eliminación de malware, para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.