-
Pues ahora que tengo mi nueva pagina ya un poco rodada, ya me han hackeado un par de veces (nada grave), estaba mirando de tener algo de mas seguridad en mi servidor. Así que porque no hacer una recopilación de cosas importantes para tener una web/blog seguro.
Que os puedo decir yo:
-
Los permisos de carpetas y archivos, esto es una de las cosas mas importantes, los permisos deben de restringirse siempre que se pueda para que solo el propietario pueda escribir. 755 para carpetas y 644 para archivos es normalmente lo mas recomendable.
-
No guardar ningun archivo que contenga contraseñas en el servidor. En el caso que sea necesario tener este tipo de archivos de configuración asegurarnos de que estos esten protegidos ya sea por un codigo php (como suele venir en los cms) o sino podemos hacerlo de forma manual*.
-
Mantener actualizados los foros, cms, o cualquier modulo 'prefabricado' que usemos con la ultima versión y parches de seguridad. Si os acostumbrais a hacerlo amenudo os resultara menos pesado.
-
Eliminar todos los archivos de instalación una vez instalado en el servidor un cms, o cualquier elemento.
-
Esconder de la vista de los usuarios los accesos a la administración, aunque esta este protegida por clave, es mejor prevenir.
-
Utilizar claves distintas para para cada apartado y usuario, y por supuesto que sean claves seguras, que mismamente las podemos guardar en un archivo protegido en nuestro ordenador. Por ejemplo uno crea un super administrador con una contraseña y deberia crear otro usuario con derechos como administrador con otra contraseña para usar a diario en la web. Tambien es util tener contraseñas de acceso a la base de datos del localhost, MyAdmin (SQL), FTP, administracion, etc. diferentes cada una. Así en caso de que una contraseña sea revelada no afectara a nada más.
Si sospechamos que alguna contraseña ha sido leida, cambiarla lo antes posible. -
Hacer copias de seguridad. Dependiendo de la importancia del contenido de la web y de la cantidad de información que se introduzca deberiamos hacer bakups tanto de la base de datos como de todos los archivos de la web. Por poner un ejemplo razonable, una vez cada semana un bakup de la base de datos (son 30'' hacerlo) y una vez cada mes o cada dos meses de los archivos via FTP (el tiempo depende del tamaño de la web, una web de 100MB puede tardar unos 10-15')
*Como proteger un directorio con contraseña de forma manual. Existe un archivo php que permite poner contraseña a carpetas determinadas, para ello la carpeta que debamos proteger deberá estar con permisos 777 introduciremos el archivo de configuración htaccess en la carpeta, lo ejecutaremos y seguiremos las instrucciones; y finalmente deberemos eliminar el archivo ***_htaccess.php.
Podeis mirar las instrucciones y bajar el archivo por ej. de aquí.Bueno pues estas son las primeras ideas que se me pasan por la cabeza, aportad mas ideas para poderlo completar
Un saludo
-
-
En este sentido siempre he sido un ignorante con suerte, pero no está de más tomar precauciones.
-
Hey Yorus, ya respondí tu comentario en mi blog (Tampoco está tan escondido ¬_¬, y ya añadi tu blog a mis enlaces), de veras que lo mejor es prevenir que curar.
Yo digamos que no he tenido mucha suerte, he estado un par de años administrando una web que tiene entre 20-30 nuevos usuarios al día, y nos hackearon un par de veces (culpa del jefe) y es un follon tremendo tener que reacer la web y mucho más si no haces bakups periodicos.
Ahora con mi web, ha sido cosa de un par de minutos arreglar lo que habían hecho…Hablando de bakups ya sabia que se me olvidava algo en la lista!!
Un saludo
