Blog

Muchos de los ataques a páginas web son por scripts o robots que primero “inspeccionan” la web para ver sus vulnerabilidades. Preguntan cosas como la versión del gestor de contenidos, versión de php etc. Están buscando agujeros de seguridad, y ocurre constántemente. Por esto nos gusta este firewall que hemos encontrado para .htacess (Apache). El creador ha recopilado una serie de peticiones o queries que son maliciosas y con contenido potencialmente dañino (como  eval(, base64_ ..), y ha creado una lista para que podamos bloquearlas. Lo interesante es que este bloqueo se realiza a nivel de servidor, antes del acceso a la página. Así que, al bloquear estos intentos de acceso, también mejora el rendimiento de la misma. nG Firewall, como decimos, es una lista de queries maliciosas que, en el momento de escribir el artículo está en su versión 6G. La manera de implementarlo en cualquier web es sencillo, añade la lista de exclusiones que da a tu fichero .htaccess. El Apache, al leerlas, se encargará de bloquear estos accesos indebidos.La lista está dividida en secciones, y puedes añadir todas, o sólo alguna de las secciones (son independientes). Aunque están muy probadas, mira el artículo de tu nG antes sobre las notas de implementación y su sección de troubleshooting. # 6G:[QUERY STRING] # 6G:[REQUEST METHOD]# 6G:[REFERRER] # 6G:[REQUEST STRING] # 6G:[USER AGENT] # 6G:[IP ADDRESS] Firewall ligero para WordPress: BBQ: Block Bad Queries Si tienes WordPress, es más fácil implementar este firewall. Puede servir tanto como capa añadida de seguridad a lo que tengas de firewall, o como solución ligera y sencilla para aquellos a los que el alojamiento o los conocimientos no les deje usar soluciones más complejas. BBQ: Block Bad Queries implementa el firewall nG, con añadidos que te permite gestionarlo de modo gráfico. Un plugin muy interesante a tener muy en cuenta.

Prestashop tiene unas medidas básicas de seguridad, como ponerle un nombre aleatorio a la carpeta de administrador (adminXXXX). Pero si quieres asegurar algo más tu tienda, puedes añadir otra capa de seguridad: una contraseña adicional.Con el método de este artículo, cuando un usuario intente entrar en la dirección https.//tudominio.com/adminXXX el navegador mostrará una ventana emergente pidiendo un usuario y contraseña que es independiente de la web, se configura en el servidor. Así que, aunque te hayan descubierto los datos de usuario y contraseña de la web (de alguna otra manera), no podrían entrar en tu backend. Cómo proteger la carpeta de administrador. El proceso es el siguiente: Creamos un fichero llamado .htpasswd en algún lugar de nuestro servidor (fuera de las carpetas de la web es mejor, para que no puedan descubrirlo hackeando la web. El contenido está encriptado, lo podemos crear con una web como esta (o esta). Sólo copiamos el contenido que nos da al final, tras poner el usuario, la contraseña y dar a Create .htpasswd file. Una vez generado el fichero, vamos a la carpeta de administrador del Prestashop y creamos un fichero llamado .htaccess con el siguiente contenido.AuthType Basic AuthName “Acceso restringido con contraseña” AuthUserFile /home/user/.htpasswds/public_html/wp-admin/.htpasswd require valid-user AuthUserFile tiene la ruta del fichero .htpasswd Es importante que el usuario web tiene que poder leer el fichero htpasswd. Comprueba los permisos de htacess y htpassd si tienes errores. Ahora cuando intentes entrar te pedirá una contraseña previa. Buen método para mejorar la seguridad de tu Prestashop. Cuando hagas esto puede dejar de funcionar alguna función de tu web dependiendo de si esta requiere un fichero en ese directorio (no debiera pero cada web es diferente). Si es así, sólo hay que excluirlo. También por .htaccess podemos limitar el acceso sólo a una IP (o denegar otras). Por ejemplo: order deny,allow allow from XXX.XXX.XXX.XXX (tu ip) deny from all