/ insights

Seguridad Web

Es necesario preparar tus sitios y aplicaciones web para que tengan la seguridad mínima necesaria, a continuación, presentamos los casos más comunes que a veces, debido a las fechas de entregas, podemos pasar por alto.

DDoS attack

Un ataque distribuido de negación de servicio, es (de forma burda y minimizada) un montón de peticiones enviadas a un sitio, con el objetivo de saturar el servidor para que los usuarios reales no puedan consumirlo

Este es un problema serio, aunque hasta cierto punto, fácil de proteger. Prácticamente hay que instalar un firewall para DDoS, ya existen muchos tutoriales en esto y realmente depende de tu instalación. Este firewall impedirá que la misma IP solicite recursos del sitio dentro de un rango de tiempo

Esto te va a resolver los siguientes problema:

  • Negación de servicio
  • Ataques de fuerza bruta. Por ejemplo, solicitar el login múltiples veces hasta acertar en la correcta para hackear a los usuarios

Bots

Muchas veces creemos que los crawlers son buenos, sin embargo, hay muchos que son intrusivos y no nos benefician en nada. Mientras que estos no podrían hacernos daño per se, generan un consumo innecesario de recursos. Para remover este problema hay dos formas:

  • robots.txt - El archivo de robots.txt le indica a los bots a qué recursos pueden entrar los crawlers, la frecuencia y el horario para ellos (recomendado de revisar las visitas en los analíticos para configurarlo en base al horario mínimo de consumo / visitas)
  • Web server security - Aunque en el archivo robots.txt se le indique a los crawlers como funcionar en tu sitio, ellos no son obligados a seguirlos, por lo que es necesario también seguir la lista de bots intrusivos y que no sean necesarios para el SEO y así agregarlos a un black list

Man in the middle

Las recomendaciones anteriores son para mantener tu sitio seguro de alguien externo. Este punto es para que tus usuarios estén seguros

Es muy común que como usuario utilicemos cualquier conexión disponible a internet, incluyendo cafés, restaurantes y demás. Cualquier persona con conocimientos de red, puede instalar un sniffer para revisar todo el tráfico que se efectúa en la red, esto es, desde cualquier computadora conectada en la red hasta el router

HTTPS es la versión segura del protocolo HTTP, el cual implementa un cifrado que funciona precisamente entre el browser y el router, por lo tanto, es altamente recomendable que tu sitio esté completamente bajo HTTPS

Si actualmente tienes HTTP / HTTPS, cambia todo a HTTPS únicamente, de lo contrario, un atacante podría robar información importante en las transiciones entre HTTPS a HTTP