Episodio 12: Tips de seguridad
5 (100%) 1 voto

En este episodio (que será complementado con un video práctico), hablaré acerca de “buenas prácticas” para aplicar en tu servidor a la hora de montar un sitio Web.

  • no usar FTP
  • no mostrar mensajes de error
  • permisos de carpeta
  • programar pensando siempre en que te van a hackear
  • no mostrar versiones de servidor o lenguaje de programación
  • no usar +followSymLink en el .htaccess
  • usar una clave complicada (larga)
  • limitar la cantidad de intentos de login (ataques por fuerza bruta)
  • deshabilitar funciones de php como exec y system
  • agregar autenticación básica al panel de administración

ACTUALIZACIÓN:
Acá están los videos que menciono:

Episodio 12: Tips de seguridad
Etiquetado en:        

4 pensamientos en “Episodio 12: Tips de seguridad

  • 20/10/2014 a las 10:43
    Enlace permanente

    Una aclaración.
    SSH es más seguro que SFTP, SSH trabaja a nivel de sistema operativo, por ejemplo puedes instalar aplicaciones en tu servidor mediante SSH.

    Un Tip: en el HTML no poner en los Name de cada TAG el nombre del campo de base de datos. (lo mismo en los ID). Con esto ya le das una pista a un hacker de como es tu lógica de base de datos. Idealmente ponerle a todos los campos el mismo Name, después con lenguaje de servidor (En JSP se puede, no se si PHP), lograr identificar en base a la posición de recepción el campo al que se hace referencia.. por ejemplo

    Voy a trabajar en ese ejemplo, si me resulta lo enviaré

    Una buena práctica de Contraseñas es:
    – No usar palabras del diccionario
    – Usar caracteres especiales
    – No usar fechas, calles, rut o cosas familiares
    – Usar Mayúsculas y minúsculas
    – no poner Números consecutivos

    Utilizar números en lugar de letras en las frases largas, por ejemplo H0L4 MUND0

    Responder
  • 20/10/2014 a las 11:39
    Enlace permanente

    Muy buenos comentarios, Rogelio, como siempre… 😉

    Eso de no poner los mismos nombres de la base de datos los name de los inputs es algo que me faltó mencionar… lo tenía en mi cabeza por ahí dando vueltas, pero se me olvidó… jajaja.
    Lo que si se puede hacer es generar un array asociativo con los nombres de los inputs como key y con los nombres en la base de datos como value… así se pueden asociar los datos de forma muy simple:
    $inputs=array(
    “nombre”=>”columnaNombreEnBaseDeDatos”,
    “apellido”=>”columnaApellidoEnBaseDeDatos”
    );
    y luego llamarlos así $_POST[$inputs[‘nombre’]] o a través de la función que tengas para filtrar los datos de los inputs.

    😉

    Responder
  • 20/10/2014 a las 17:05
    Enlace permanente

    Que buena. Yo añadiría un par de consejos sobre qué hacer para cuando te hackeen y parar rapidamente el sitio otra vez: respaldos mensuales, guardarlos en la nube, etc.

    Saludos!

    Responder

Deja un comentario

¿Quieres recibir el contenido V.I.P de Preceptos Digitales?

¿Quieres recibir el contenido V.I.P de Preceptos Digitales?

Ingresa tu correo y te enviaremos contenidos especiales para quienes escuchan el Podcast!



Te has suscrito exitosamente! Nos hablamos!