fbpx

Cómo hackear mi web pretende ser un acercamiento al mundo de la seguridad para pymes, empresas y emprendedores que tienen página web y no son informáticos. Por delante tendremos una serie de artículos que irán tocando aspectos cotidianos que pueden fastidiar mucho a nuestra empresa o página web personal. La seguridad informática es un tema que parece de ciencia ficción y, sin embargo, está muy presente en cada movimiento digital que hacemos, y mucho más ahora que todo lo hacemos a través de Internet. Necesitamos concienciarnos y deberíamos tener muy en cuenta la seguridad web o seguridad de tu sitio en Internet.

En este serial de seguridad estudiaremos los puntos más débiles que suelen tener las organizaciones en torno a su página web. Supongo que ya os habréis dado cuenta de que no va a ser un manual para hackear una web propiamente dicho, pero sí nos servirá para poder evitar un poco mejor que dichos ataques se produzcan en la nuestra.

Una puntualización previa sobre los hackers antes de introducirnos en el primer punto. Me gustaría aclarar que desde mi punto de vista, un hacker es como un intruso, una persona muy curiosa que abre grietas para pasar, pero no quiero utilizarla en el lado negativo que la RAE nos ha propuesto, [hacker = «pirata informático»], por lo que cuando me refiera a alguna persona que nos puede hacer el mal, destruir, borrar, cambiar o extorsionar por el contenido de nuestra web me referiré a ellos como crackers o simplemente «los malos».

brian-king-anonymous-hacker-6870002408_abf6b5b6a8_z

Si pensamos en atacar o, mejor dicho, defender un sitio web, debemos tener en cuenta todos los flancos, puertas y ventanas que permitirían el acceso desde el exterior y poder obtener algo que no queramos que obtengan.

La primera puerta, la puerta principal, deberá ser el login o registro de usuario.

La mayoría de sitios web permiten registro e inicio de sesión, como casi todas las herramientas online que aspiran a ser un poco más que una vieja web 1.0 de contenido estático. Ahora se necesita editar contenidos, crear blog y añadir funcionalidades constantemente, por lo que recurrimos a los gestores de contenidos, donde entre los más famosos están WordPress, Drupal, Joomla, Typo3 y otros muchos, e incluso se construyen a mano entornos backend/frontend directamente.

Muchas empresas, pymes y organizaciones hicieron sus webs pensando en la forma más fácil de editarla y, a veces, sin preocuparse en exceso de la seguridad web ni de su mantenimiento, por lo que si tenemos un usuario y contraseña para escribir este suele quedarse en admin:admin, usuario:usuario, o algo así. Este tipo de prácticas son muy habituales y sería equivalente a dejar la llave de la puerta puesta por fuera. A la hora de poner un login, pensad en algo que no sea corriente, un usuario y una contraseña no relacionadas con la página web o sus usuarios estándar. De esta forma evitaremos el primero de los ataques más comunes, que son los ataques de fuerza bruta o con diccionarios.

Ingreso de contraseña

Es muy importante tener unas buenas prácticas para proteger de «los malos» a nuestros usuarios y contraseñas en las páginas de empresa. Aquí van unos consejos:

  1. Cambiar la ruta de login por alguna no estándar. Por ejemplo, en WordPress es: dominio.com/wp-login.php y podríamos cambiarlo por dominio.com/loguearse.php
  2. Utilizar nombres de usuario que no sean los que vienen por defecto, cambiando admin por cualquier otra cosa.
  3. Instalar un máximo de intentos por minuto o bloquear el usuario.
  4. Para la contraseña:
  • No utilizar nombres ni apellidos.
  • Que no contenga el nombre de usuario en la contraseña.
  • No utilizar fechas de nacimiento.
  • Cambiarla cada X tiempo.
  • Utilizar letras, números y caracteres especiales.
  • Utilizar un algoritmo y cambiarlo por un factor que se pueda recordar. Ejemplo:
    • Paso 1.- (La casa de Juan es pequeña). Partiendo de algo que conocemos y no olvidamos, la casa de Juan es pequeña.
    • Paso 2.- Reduciendo obtenemos «lcdjep».
    • Paso 3.- Ahora «l4c4d3jep3» , hemos añadido y cambiado las típicas letras por números; esta es segura pero aún será mejor.
    • Paso 4.- Añadimos símbolos en las letras que no queramos números, por ejemplo 4 por la A y el 3 por la E que es evidente y lo demás pues guión bajo y guión medio en ese orden. Resultando «l4c4d3j_e-p3».
    • Paso 5 y final.- Añade alguna mayúscula. Por ejemplo, la primera y la última: «L4c4d3j_e-P3».
    • Inténtenlo con cualquier frase que quieran y recuerden cómo hacerla, no la contraseña en sí.

Siguiendo estos consejos ya queda nuestro sitio web un poco más seguro… Si este artículo te ha sido de utilidad, contribuye al conocimiento compartiéndolo en las redes sociales o déjanos algún comentario. Si deseas tener más información puedes subscribirte a nuestro blog, en el bloque de la derecha, o visitar nuestra página sobre seguridad y mantenimiento web, estaremos encantados de ayudarte.

Te puede interesar

Hosting SSD Wordpress
Shares
WhatsApp chat

Si continuas utilizando este sitio, aceptas el uso de las cookies. Más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar