Protege tu web de los hackers

Hola lechuguitas! En esta ocasión tratamos un tema peliagudo, el tema de la seguridad informática. Siguiendo estos sencillos pasos vamos a tener nuestra web un poco más segura.

Evidentemente lo que aquí os traemos son algunas consideraciones para evitar alguno de los trucos más usados por los hackers. Evidentemente si un hacker experto quiere hacerte pupita, lo más probable es que lo haga, pero entended estos trucos para proteger webs que no tengan que proteger secretos de estado o la formula de la cocacola. Estos trucos nos protegerán de los hackers principiantes que hacen scripts para simplemente borrar tu web (que supongo que a nadie le hará demasiada gracia).

Vamos a tomar medidas sencillas de seguridad!

Pues bien, no se si lo habreis hecho alguna vez, pero cuando monitorizas los logs de tu web, podrás ver que la mayoría de intentos de pirateo vienen del user-agent “libwww-perl. Este user-agent intenta obtener acceso a las páginas de tu web e inyectar código o subir archivos a tu servidor. Una vez estos scripts (a veces llamados botnet-scripts) están en tu web, ellos tienen vía libre para desactivar funciones, incluso del servidor.

Este tipo de hackeo se puede evitar bloqueando el acceso a los agentes libwww-perl y las URLS que incluyan el comando “=http:” “=http:”, que es el típico modo de ataque por parte de los hackers para entrar en tu web. Por ejemplo:

http://www.ejemplo.com/pagina.php?id1=http://www.paginarara.com/id.txt?

Esto podemos prevenirlo añadiendo el siguiente código en nuestro .htaccess

RewriteCond %{HTTP_USER_AGENT} libwww [NC,OR]

RewriteCond %{QUERY_STRING} ^(.*)=http [NC]

RewriteRule ^(.*)$ – [F,L]

Además para bloquear el acceso a otros agentes, deberás bloquear la exploración de directorios en tu web. Puedes hacer eso quitando los permisos desde el servidor o via ftp.

Además de bloquear los accesos de libwww-perl y bloquear la exploración de directiorios de tu web, puedes evitar que un programador web realice cambios en tus Scripts cambiando el comando GET por el POST que tuviésemos. ¿Qué ocurre con ese cambio? Pues que el comando POST es mucho más seguro que el GET, ya que con el GET ven todos los parametros de entrada de la función facilmente(tampoco vamos a profundizar mucho más).

Con estos sencillos pasos haremos que nuestra web esté un poco más segura. Antes os he dicho que si un hacker experto quiere entrar en vuestra web, lo hará.. no quiero asustaros con eso, simplemente quiero que quede claro que este mundo cambia constantemente, y para estar completamente seguro, hace falta mucho trabajo y por supuesto contratar a un experto en seguridad si lo que contiene nuestra web es verdaderamente importante y secreto.

Un saludo y espero que nos leamos pronto!

2 comentarios en “Protege tu web de los hackers

  • Hola amigo, muy buenos consejos, ¿puedo hacer una peticion?
    Podrias hacer una guia completa paso a paso, para nosotros que somos menos versados en PHP y mysql de como hacer un centro de descargas y generar una entrada con cada archivo?

    • Buenas Nathan! Nos encanta que nos pidan cosas. Intentaremos hacer una guia próximamente, lo que no puedo decirte cuando, porque estamos un poco pillados de tiempo, pero intentaré hacerlo antes de que acabe el verano. Un saludo y gracias por comentar!

Deja un comentario