En este post presentamos algunas de las señales que pueden indicar que nuestra web ha sido atacada, infectada o comprometida. Además, damos consejos de prevención para minimizar el riesgo.
Tanto si la página web es una extensión clave de nuestro negocio como si es un diario personal en formato digital, su integridad y seguridad es de suma importancia.
Si contamos con datos de terceros, como lo son suscriptores al boletín o participantes en los foros, tenemos una responsabilidad de proteger sus datos. En el caso de una tienda online, donde se introducen datos de medios de pago, direcciones y datos de contacto, la responsabilidad es aún mayor.
El certificado SSL
Un certificado SSL es el primer paso para hacer la tienda online y la red en general más segura. Entramos en los detalles de lo que supone un certificado y los distintos tipos de proveedores de certificados SSL en este post.
Cómo saber si nuestra web ha sido atacada
Además, es de conocimiento obligatorio el buen uso del email, del que hablamos aquí, y la navegación segura. En este post explicamos, en términos generales, lo que son los malware y los tipos de daños que pueden causar.
Una vez tomadas todas las precauciones, y manteniendo todos los componentes actualizados en todo momento, queda otro paso – reconocer los ataques cuando ocurren.
Como detectar anomalías
Sin duda, un especialista en ciberseguridad identifica anomalías y toma medidas en mucho menos tiempo que los demás. A continuación, proponemos una base de conocimiento, sobre la que se puede ampliar según necesidad, para reconocer las anomalías en el menor tiempo posible.
Así, se pueden tomar medidas, de la mano de un experto, para reducir los daños.
Se recomienda efectuar las siguientes comprobaciones del sitio web con cierta regularidad:
- ¿La apariencia de la web ha cambiado?
- ¿Muestra características o acciones distintas a las habituales?
- Las direcciones IP de las últimas conexiones al servidor FTP que guarda los activos han de coincidir con algunas de las direcciones conocidas por los propietarios de la web
- El archivo log de conexiones al sitio web guarda el acceso al sitio de todas las conexiones que se reciben. En este archivo se puede ver toda la actividad de la web y las peticiones recibidas.
- El listado de ficheros del sitio se puede comparar con el de días anteriores para descubrir si han ocurrido cambios no deseados o no autorizados.
- El directorio raíz y todos sus subdirectorios permite examinar los archivos de la web a través del gestor. A través del panel de control se pueden buscar ficheros modificados, desconocidos y que en general no debería estar ahí.
- Los permisos preestablecidos sobre los archivos de la web deben ser revisados para comprobar que no hay cambios no autorizados.
El código fuente
Por último, se debe revisar el código fuente de la web. Esto se puede hacer comparándolo con los archivos de las copias de seguridad de días anteriores para descubrir elementos nuevos o modificados.
Son habituales las introducciones de textos, la inyección de iframes o enlaces JavaScript.
El script
Un script malicioso se usa muchas veces para redirigir a los visitantes a otra web. Se “inyectan” en el contenido de la web, los archivos del servidor, las imágenes o documentos pdf.
Otras veces en lugar de inyectar un script completo en la pagina, solo inyectan un puntero a un archivo, almacenado en el servidor.
Además, puede aplicarse la ofuscación de código, dificultando su detección a través del antivirus.
El Iframe
Un iframe oculto es una sección de la web que carga contenido de otra página. Es habitual que estos iframes no se muestren en la página visitada, de modo que el contenido malicioso se carga aunque el visitante no lo vea.
En líneas generales, detectar amenazas y ataques consiste en buscar elementos sospechosos, que no deberían estar o que han sido modificados. Detectar comportamientos extraños o sospechosos, permite tomar medidas cuanto antes y reducir el tiempo de respuesta.
El hosting
En un gran número de casos, la primera señal que obtenemos de que nuestra web ha sido atacada proviene por parte del hosting que tenemos contratado. Muchos de ellos ofrecen un servicio de detección de malware a través del cual, analizan el sitio web, ponen en cuarentena aquellos ficheros que han sido comprometidos y avisan al cliente de que algo ha sucedido. En un gran número de casos, este tipo de servicio es gratuito para el usuario.
Aunque esto sea una buena forma de detectar que algo ha pasado, no debe ser considerada como la primera opción ya que, en función del tipo de ataque, las herramientas de seguridad y análisis que provee el hosting no son capaces de detectar todo tipo de amenazas, por lo que siempre es bueno combinarlo con plugins de seguridad y otras herramientas.
A la hora de elegir los plugins, se debe estudiar cuál es el mejor que se ofrece para una plataforma en concreto y llevar a cabo la configuración del mismo teniendo en cuenta lo nombrado más abajo..
Herramientas online
En internet, existen un gran número de herramientas disponibles por suscripción que llevan a cabo un escaneo del sitio web. En función de la tarifa a contratar, las herramientas ofrecen un mayor o menor número de elementos a analizar. Además, es posible elegir un plan personalizado, donde el usuario decide qué elementos de su sitio web quiere analizar. Cabe destacar que este tipo de herramientas están enfocadas en el análisis de CMS como WordPress, Joomla, Prestashop o Drupal.
Consejos de seguridad para una página web segura
Contar con un plan de prevención reduce el peligro de ataques. Aunque no se garantiza una protección del 100%, es un trabajo de prevención importante que dificulta los ataques.
Algunas de las medidas son comunes a otros posts de esta serie de ciberseguridad, mientras que otras son específicas de la gestión de un sitio web.
Actualizaciones de software
Desde el antivirus, hasta los plugins y la versión del CMS, las actualizaciones de software ayudan a corregir fallos de seguridad. Se puede activar la actualización automática o se puede solicitar el envío de emails de aviso sobre la disponibilidad de actualizaciones publicadas.
Accesos de usuarios
-
Tipos de permiso
En el caso de que varios usuarios cuenten con acceso al sitio web, se debe definir el tipo de permiso que requiere cada uno para ejecutar sus tareas. No se recomienda asignar el rol de administrador a todos los usuarios, sino de limitarlo solo a los que realmente requieren este tipo de permisos.
-
Permiso de archivo
Esto se refiere también a los permisos sobre los archivos. Se puede limitar el permiso a solo lectura, crear y modificar o ejecutar archivos de programa o script.
-
Contraseñas
Utilizar contraseñas para el inicio de sesión que sean fuertes. No se recomienda usar combinación del tipo admin/admin para el inicio de sesión. Las contraseñas deben ser complejas, largas y únicas.
Contraseñas CLU – complejas, largas y únicas
-
Intentos de login
Limitar los intentos de login, una buena opción es limitar los intentos de login a 3 veces fallidos, así en caso de que alguien quiera entrar y ponga usuario y contraseña mal 3 veces, tendrá que esperar un tiempo para volver a intentarlo.
El CMS
El CMS viene con una configuración por defecto, que se debe revisar para implementar la configuración más segura posible.
Las extensiones
Las extensiones se deben elegir con precaución y siempre desde fuentes fiables. Cada extensión adicional es una nueva oportunidad para ataques. A la hora de elegir extensiones, es recomendable fijarse en indicadores de fiabilidad, como lo son el número de descargas y la fecha mas reciente de actualización.
Las copias de seguridad
Las copias de seguridad frecuentes permiten comparar archivos y detectar anomalías. En el caso de error, se puede recurrir a ellas para una restauración que puede delimitar los daños.
Las auditorias
Ejecutar auditorias exhaustivas con cierta frecuencia permite encontrar anomalías y vulnerabilidades que no se detectan en el día a día. Cuanto antes se descubren, antes se pueden tomar medidas.
Las puede llevar a cabo una empresa externa especializada en la ciberseguridad. Ante la duda, siempre es recomendable acudir a un profesional.