Recomendaciones para tener un servidor web más seguro.

Buenas prácticas de seguridad para páginas webs

Recomendaciones para tener un servidor web más seguro

Problema

Una persona teme que su web pueda ser atacada o infectada con software malicioso que la deje inaccesible o que pueda extraer datos sensibles.

Solución

La seguridad del servidor se construye sobre tareas de prevención. Para ver por qué una web está caída, revisar por qué mi web está caída o ataques DDOS.

Prevención / Sensibilización

Para mantener un servidor web seguro es necesario:

  • Tener el servidor asegurado, actualizado y estar suscrita a las alertas de seguridad de los programas que se utilizan.
  • Tener los CMS (Wordpress, Drupal, Joomla, etc.) o apps que se utilizan actualizados y estar subscrita a sus alertas de seguridad.
  • Hacer copias de seguridad y guardarlas en un sitio diferente del servidor en cuestión. Para más información, ver la ficha Respaldos web (hacer y restaurar).
  • Tener un sistema de alertas de posibles ataques y registros (logs) del servidor.

Para reforzar la seguridad de una web se debería tener en cuenta no solo el código de la misma, sino también la seguridad física del servidor donde está alojada la web, ya que los ataques podrían explotar vulnerabilidades de ambas.

Consideraciones generales
  • No delegues la gestión del dominio. Lo debe registrar la propia colectiva y tener a mano las credenciales. Revisa cómo gestionar dominios de forma segura.
  • Conoce dónde está alojada la página web y ten guardadas las credenciales del panel de control.
  • Si has comprado algún plug-in para el CMS, como pasa con WordPress, ten la cuenta para renovar el pago.
  • Aloja tu web en un servidor de confianza y asegúrate de que tengan un buen servicio de atención al cliente.
    • Recomendamos maadix.net que está gestionada por feministas, centrada en la seguridad y la privacidad, usa FLOSS y tiene buena atención a usuarias.
    • Puedes ver más opciones de infraestructura segura.
Administración de la página web
  • Haz respaldos de manera asidua, tanto de los contenidos, como de la base de datos. De esa manera, se puede restaurar el sitio web sin mayores pérdidas. Para aprender a hacer copias de seguridad web, visita esta ficha. Si tu web se actualiza todos los días, el respaldo tendría que ser diario.
  • Cada persona que publica en la web debe tener una usuaria única y con los permisos mínimos necesarios. No uses cuentas colectivas y no otorgues privilegios de administración a una persona que solo publica noticias.
  • Cada usuaria debe tener su cuenta con una contraseña fuerte. Aprende a crear y gestionar contraseñas seguras.
  • No intercambies contraseñas a través de medios inseguros como correo electrónico en texto plano, Telegram, WhatsApp, mensajes directos de redes sociales, etc.
  • Mantén actualizado el sitio web y sus plug-ins con la última versión disponible y descargados de fuentes fiables. Antes de actualizar un plug-in asegúrate de que es compatible con tu versión de Wordpress.
  • Borra los plug-ins y temas que no utilices. Revisa la compatibilidad entre temas y plug-ins.
  • Instala únicamente plug-ins confiables, que tengan una comunidad activa y que se actualicen de manera constante.
  • No utilices iframes.
  • Salvo que sea necesario tenerlos activados, anula los comentarios, ya que son una vía sencilla de inyectar código malicioso en la página web.
  • Elige el CMS que más se ajuste a las necesidades de tu organización. Quizás con una página de HTML básica es suficiente para hacer una landing page. Cuánto más sencillo sea el CMS mejor.
Consideraciones específicas para Wordpress
  • Instala plug-ins que fortalezcan la seguridad del sitio:
    • Wordfence Security. Bloquea accesos no autorizados y envía reportes. Tiene un servicio básico gratuito y funcionalidades de pago.
    • WPS Hide Login: cambia la URL de la página de identificación de Wordpress.
    • Implementar diferentes estrategias para los permisos de archivos y directorios: el archivo .htaccess, la doble autenticación, etc.
  • Puedes aprender más sobre cómo asegurar y proteger Wordpress.
Administración del servidor web

Si la web está alojada en tu propio servidor virtual o dedicado, puedes implementar estrategias a nivel de sistema:

  • Configura Fail2ban, un sistema de bloqueo de IPs basado en un contador de intentos fallidos de autenticación: Fail2ban.
  • Configura SSH y elimina el acceso por contraseña al servidor. Quienes administran el servidor podrán acceder exclusivamente utilizando su clave privada.
  • Instala un sistema de detección de rootkits, puertas traseras y otro software malicioso como rkhunter.
  • Activa un sistema de alertas de los registros (logs) y delega una persona responsable de recibirlos.
  • Puedes conocer más consejos de seguridad en la administración de un servidor web en el fanzine Cómo montar una servidora feminista con una conexión casera.

Consideraciones seguridad física

  • No guardes copia de las contraseñas en papeles a la vista de otras personas o post-its pegados en el monitor.
  • No almacenar las contraseñas de acceso en el navegador ni dejar abiertas las sesiones.
  • Si el servidor lo tienes en tu casa, asegúrate de que tenga condiciones ambientales adecuadas y suministro eléctrico constante.

Enlaces de interés