Crear un sitio web es divertido pero lidiar con brechas de seguridad y piratería lo es mucho menos. Los diez mandamientos que vemos aquí nos llevarán también al infierno en caso de falta contra alguno de ellos, sin embargo, no será Dios quién nos castigue, sino el mismísimo Satanás disfrazado de pirata informático.
¿Qué tal público?
Es emocionante crear y presentar al mundo un sitio web o blog, pero también es fácil cometer errores durante la apertura.
Cuando configuramos un sitio web, es importante cerciorarse de que, tanto la propia website como sus visitantes, disfruten sobre seguro.
Afortunadamente, la mayoría de las cosas que debemos hacer son sencillas de implementar.
Algunas tomarán un poco de tiempo, pero es una inversión totalmente rentable.
Los diez mandamientos están escritos en las tablas de la web
No arranques la aventura con tu sitio desprotegido o durará saludable tan sólo unos pocos minutos.
Dios no estará para ayudarte porque de bits y scripts saben mucho más en el infierno.
Aquí están los diez mandamientos más importantes para mantener al usuario y la web alejados del diablo.
Elegir una empresa segura para registrar el nombre de dominio
Al registrar un dominio lo que menos deseamos es que alguien o algo tenga control sobre él.
De cajón de megas.
Si un pirata informático puede iniciar sesión en la cuenta del dominio, provocará un tsunami de problemas.
Hay algunas compañías que ofrecen autenticación 2FA de dos factores.
Esto eleva el nivel de seguridad y hace que sea mucho más difícil el acceso de un extraño.
Incluso si alguien consigue la contraseña, probablemente no tendrá acceso a tu teléfono.
Algunas empresas que ofrecen autenticación 2FA:
Dynadot
GoDaddy
Lexsynergy
Name.com
NameCheap
Ocultar la info disponible para el pirateo en un WHO IS
Cada sitio web tiene una entrada de WHO IS.
Si no tomamos medidas para asegurar este hecho, nuestra info no está protegida.
Datos como el nombre y dirección email, entre otros, serán fáciles de encontrar para las compañías de spam.
Tanto el nombre como la dirección mail son necesarios para el robo de identidad. Mantenerlos en privado ayudará a protegernos en ese combate también.
La mayoría de empresas ofrecen el registro anónimo de WHOIS por una ridícula tarifa anual, pero hay algunos que lo proporcionan gratis.
Tanto Dream Host como 1 &1, permiten abrir un sitio con información WHOIS anónima sin coste añadido.
De los diez mandamientos, la protección Whois dificultará un poco el que alguien obtenga información de un modo u otro comprometida.
Tercer mandamiento cambiar los passwords
Tan evidente como necesario.
Cambia las contraseñas de inmediato.
Si un dominio, hosting, CMS o cualquier otra cuenta viene con una contraseña de administrador estándar o débil, cambiarla YA.
Incluso deberíamos cambiar el nombre de usuario «admin» a otra cosa, si ese es el valor predeterminado.
No es mala idea cambiar las contraseñas regularmente.
Podemos usar un administrador de contraseñas para realizar un seguimiento de las mismas y asegurar que sean robustas.
Otro de kindergarden es actualizar el sofware de la website
Tras asegurar los registros, es hora de fortificar el sitio en sí.
El primer paso, una vez más, es mantenerlo todo actualizado.
A medida que las empresas descubren agujeros en su seguridad, lanzan parches y actualizaciones.
Si no actualizamos el software, seremos vulnerables y carne de cañón.
Acudir a terceros cuando saben mucho más de los diez mandamientos
Esto es, utilizar un plugin de seguridad.
Si utilizamos un sistema de administración de contenido CMS, existen plugins de seguridad disponibles para él.
Los grandes como WordPress, Drupal, Joomla y Magento ofertan una buena cantidad de ellos.
Todo consiste en elegir el que mejor se adapte a la configuración del sitio.
Tras ello, descargar, instalar, activar y configurar según las instrucciones servidas.
Cada CMS y extensión de seguridad proporciona diferentes consejos sobre exactamente lo que debe ser usado, y la manera de llevarlo a cabo.
Si el plugin está desarrollado por un proveedor acreditado, ayudará a mantener el sitio seguro.
Habilitar https es el sexto porque no quiero cometer actos impuros
Internet no consiste sólo en pensar sobre la propia seguridad.
Tanto los visitantes como Google apreciarán que todo el tráfico en el sitio pemanezca cifrado.
Especialmente si los visitantes van a compartir cualquier información sensible.
Algunos servicios hosting activan auto el protocolo HTTPS, y otros te permiten hacerlo con un clic o dos.
En lugares menos profesionales puede que debamos hacerlo de manera un poco más complicada.
Eso implica comprar un certificado SSL, activarlo y configurar el sitio para usar HTTPS.
No es especialmente complicado, pero el proceso puede diferir entre uno u otro hosting.
Consultar con el soporte para encontrar la mejor manera de llevarlo a cabo.
Verificar los permisos en archivos y directorios y otros requeridos
Varios usuarios en un sitio web tendrán diferentes niveles de permisos.
Como administrador uno tiene permiso para cambiar todo lo que desee, otras personas deben ser más restringidas.
Los CMS a menudo permiten cambiar los permisos para los visitantes, los editores, colaboradores y otros grupos de usuarios.
Pensaremos en cuánto acceso debe tener cada grupo.
La norma a seguir es conceder los permisos imprescindibles para realizar el trabajo sin torpezas.
Revisar todos los archivos y directorios del sitio y verificar sus permisos en notación simbólica o numérica.
Este asunto tan importante lo describimos a conciencia en el artículo Permisos de acceso en archivos y directorios
Ocultar de husmeos las páginas Admin
Las páginas para iniciar sesión y administrar el sitio web no deberían estar visibles para los motores de búsqueda.
Puede que esto no parezca una medida de seguridad, pero hace más difícil para los piratas la ventaja de encontrar esas páginas.
Generalmente es fácil de hacer y vale la pena gastar unos minutos.
Algunos CMS y plugins de seguridad permitirán ocultar estas páginas de los motores de búsqueda.
También puede hacerse de modo manual editando el archivo robots.txt, accesible desde el CMS o el cPanel del hosting.
Agregamos lo siguiente al archivo:
User-agent: *
Disallow: [the relative URL of the page]
WordPress usa /wp-admin/ como URL de acceso al login.
Otros CMS tendrán URL diferentes.
Cross-Site Scripting equivale a no robarás en el tablado de Moisés
XSS es una táctica de pirateo que implica ejecutar código en un sitio web a través de métodos diversos.
Podría suceder en un formulario de contacto, por ejemplo.
Al incluir un script en el formulario de contacto, un pirata puede lograr que el sitio web ejecute ese código.
Ello les dará acceso y causarán estragos.

Cross-Site Scripting Canal Youtube Hacking Etico, Luis Cambero
Protegerse contra este tipo de ataque es bastante complicado.
Si quieres aprender sobre los métodos que puedes usar, echa un vistazo a esta impresionante hoja de trucos Anti-XSS de OWASP
Si no disponemos de los conocimientos suficientes para entenderlo, hay algunos plugins anti-XSS disponibles.
Algunos plugins de seguridad estándar pueden cubrir esta vulnerabilidad, pero no asumas que sea el caso.
Asegúrate de estar protegido.
Prevenir la fuga de información para que todo quede en el cajón
XSS, inyección SQL, descifrado de contraseñas y otros métodos de piratería informática pueden parecer los más peligrosos.
Sin embargo, a menudo son las cosas más simples las que causan problemas.
La fuga de información es una de esas cosas y puede que uno ni siquiera se percate de ello.
Regalamos información crítica de forma accidental.
Es fácil que los desarrolladores dejen comentarios HTML en el código del sitio web, por ejemplo, con info comprometida.
Para verificarlo, la opción Ver Código Fuente en el navegador y el escaneo de los comentarios HTML que no fueron eliminados, ayuda.
El artículo Google hacking el bochornoso secreto de tu mejor amigo, ofrece algún ejemplo de pecado para este mandamiento.
De cualquier manera, es algo fácil de verificar, así que no se debe obviar.
Cumplo con los diez mandamientos luego estoy libre de pecado
Cuando creas un nuevo sitio web, hay muchas cosas que debes hacer …
Y resulta fácil olvidar alguna de estas medidas de seguridad básicas.
Ahorran muchos problemas y, potencialmente, una gran cantidad de dinero a largo plazo.
No te saltes ninguno de los diez mandamientos si no quieres ir derechito al infierno, sin tiempo siquiera de coger un abanico.
Antes de trabajar en los contenidos, el sitio web debe estar seguro.
De cajón de megas.