Proteger el sitio web es un tema que preocupa tanto a los desarrolladores como a los usuarios, porque a nadie le gusta que la seguridad de su información se vea comprometida.
La aparición de los CMS ha revolucionado la manera de hacer páginas web. Con su llegada, sitios que podrían costar meses en construirse, se hacen en cuestión de semanas. Igualmente, personas con escasos conocimientos de desarrollo, llegan a hacer cosas realmente interesantes. Los CMS permitieron que las personas se centraran más en el contenido, que en el contenedor en sí.
Es cierto que cada creación o invento, cuando parece que cubre una necesidad, genera otras muchas. Por la popularidad de los sitios web y por su facilidad de creación y mantenimiento, han crecido a un ritmo alarmante programadores y diseñadores web, analistas, expertos SEO, agentes de comunicaciones y marketing, etc. Todo esto es una muestra clara de la importancia que tiene la web para nosotros desde su invento, y la relevancia que ha tenido aún más con la llegada de los CMS como Joomla, WordPress, Prestashop, Drupal, etc.
¿Por qué escribo este artículo?
Porque algo que no ha cambiado en todo este tiempo es la necesidad que tienen algunos de acceder de manera indebida a nuestro sitio web y la responsabilidad que tenemos todos de protegerlo. En esta entrada no voy a tratar de la importancia de proteger nuestro sitio web. Aquí voy a hablar de qué me ha tocado hacer a mí, en un proyecto reciente en WordPress, para mejorar la seguridad del sitio, por los problemas que he tenido.
En un proceso rápido de preparación y lanzamiento de esta web, me centré en el diseño y en la distribución de contenido tanto profesional, como socio-cultural, tal y como lo describo aquí, para unir en un solo producto, mi sitio para temas profesionales, mi sitio para temas culturales y un enlace social que conecte ambas partes. Cuando conseguí materializar la idea y, pendiente de solo unas pequeñas anotaciones en el diseño, subí y lancé la web. ¿Qué pasó entonces?
Primeros problemas tras el lanzamiento del sitio web
Además de los visitantes habituales, que podían dejar un comentario en los artículos, empezaron a llegarme comentarios y mensajes no deseados, parecidos a comentarios generados automáticamente. Al principio no le di mucha importancia, pero ya había anotado la tarea de agregar CAPTCHAS a los formularios de contacto o comentarios.
Un tiempo después, para sorpresa mía, encontré que se había registrado un usuario genérico en el sitio, siendo que no tenía habilitado el registro de usuarios. Lo eliminé pero, pocos días después, se creó otro. También lo eliminé de forma manual. Luego, además de los correos no deseados y generados automáticamente, empezó a ser habitual encontrarme con usuarios creados en la base de datos. La última vez, el atacante creó el usuario, le cambió de contraseña y le puso un perfil de administrador. Así que llegó el momento de tomar la decisión de reforzar la seguridad para proteger el sitio web, antes de que el problema se pusiera más grave.
Búsqueda de soluciones para proteger el sitio web
- Limitar el número de intentos de inicio de sesión. Para evitar los ataques por fuerza bruta, limité el número de intentos de inicio de sesión que se podía hacer en el sitio. Si se superaba un número muy reducido de intentos, el sitio bloqueaba el acceso al usuario, sin dejarle iniciar más la sesión y pidiéndole que se pusiera en contacto con el administrador. Además, se guarda la IP y el nombre durante varios meses. A mí me dejó fuera en alguna ocasión por haberme olvidado del nombre de usuario :D.
- Controlar el acceso por región. Esto permite que solo usuarios de una determinada región puedan iniciar sesión en el sitio.
- Activar la doble autenticación. Agregar la autenticación de dos factores hará que, aunque consiguiera el intruso conocer las claves de acceso, tendrá que tener también un dispositivo físico del administrador, para poder obtener una clave extra que necesitará para acceder.
- Alertas e Informes. Recibir alertas e informes de los intentos de acceso, IPs, países, usuarios, tanto fallidos como logrados, para tener una idea de cuán amenazado está el sitio.
- Eliminación automática de usuario creado. En última instancia, en caso de creación indebida de un usuario, se lanza un proceso de inmediato que lo elimina de la base de datos en este mismo instante, sin darle tiempo a hacer nada al intruso.
- Cambiar la URL de inicio de sesión. WordPress crea una URL por defecto de administración. Es un buen foco para los atacantes.
Mucho no es suficiente
Tras todas estas medidas, no volví a encontrar ningún usuario ilegítimo creado en la base de datos. Además, empecé a recibir constantemente mensajes de inicio de sesión fallidos, con los consiguientes bloqueos. Pero el asunto no terminaba ahí. Todavía tenía que evitar que me llegaran mensajes no deseados al correo.
Antes de que pudiera ponerle remedio a la inserción de CAPTCHA a los formularios, sufrí un ataque que inhabilitó el acceso a todas las páginas. Es más, se infectaron todos los sitios alojados en el servidor. Cualquier solicitud de acceso a una página devolvía el error HTTP 410, recurso no disponible.
La solución para este problema fue eliminar el contenido de todas las web alojadas en el servidor y volver a restaurar los sitios, junto con la eliminación y restauración de la base de datos. Después de esto y de una limpieza de la caché, todos los enlaces de todos los sitios web de este servidor volvieron a funcionar correctamente.
Una vez haberlo conseguido, me he puesto a trabajar sobre el CAPTCHA, utilizando el de google. Por ahora, no me ha llegado una notificación nueva de intrusión a mi bandeja de correo.
Conclusiones
Hay varias acciones a tomar para tener una web segura frente a ataques para proteger el sitio web. He mencionado algunas acciones que he tomado. No está de más indicar que la complejidad de la contraseña, la URL no genérica y un nombre de usuario no identificable con el dominio son pasos esenciales para proteger el sitio web.
Pero, como hemos citado, mucho no es suficiente. Siempre es posible romper la seguridad de la web. Solo es cuestión de interés y tiempo. Lo que tratamos de hacer es disminuir el interés del atacante al encontrarse con bloqueos. Es más fácil para él buscar sitios cuya seguridad sea más sencilla de vulnerar. Recordemos que la mayoría son robots automatizados, por lo que nuestra web no es, en principio, un foco de atención directo del atacante, sino una entre una lista aleatoria que haya conseguido.
Así que por lo dicho y no mencionado hasta ahora, lo más importante es hacer siempre copias de seguridad periódicas del sitio, tanto de las páginas como de la base de datos. Y asegurarse de poder restaurarlas en cualquier momento, para los momentos en los que nos sea imposible recuperar nuestra web de un ataque.
Y tú, ¿Qué medidas consideras importantes para proteger el sitio web? O ¿Qué medidas pones al tuyo para protegerlo? ¿Me recomiendas hacer algo más? Deja tu opinión en los comentarios.
2 comentarios
Buenas Carmelo, Al final la seguridad es minimizar el riesgo hasta alcanzar un nivel aceptable. Es evidente, tal como has dicho, que la seguridad no existe ningún sistema seguro al 100%. Lo más importante es lo que has hecho tú, tomar una serie de medidas conforme a las buenas prácticas.
Lo que podría añadir es ponerte en el lado del atacante y hacer una evaluación completa del TOP 10 OWASP en tu web.
Y para terminar, ojalá haya más gente de nuestro entorno que se tome lo de la seguridad en serio, que el grado de exposición al que estamos tiene cada vez mayor impacto.
Muchas gracias por tu aporte.
Pues sí, tienes razón. Las medidas tomadas son generalmente en base a los pequeños ataques que he ido teniendo. Trataré de evaluar el TOP 10 OWASP para cubrir por lo menos todos estos riesgos que consideran esenciales.
Seguiremos trabajando para la conciención social en este aspecto de la seguridad.