Home » Macos

7 Consejos de seguridad HTML para vulnerabilidades de sitio web estático

toadmin. ru

Los sitios web estáticos almacenan contenido que ya se ha procesado, por lo que no necesitan acceder a ninguna base de datos, ejecutar scripts complejos o depender de un motor de tiempo de ejecución cada vez que un usuario solicite una página.

Esto lleva a claros beneficios en el tiempo de carga y la seguridad: las páginas estáticas ahorran mucho tiempo en el servidor y tienen menos vulnerabilidades. Esto a su vez significa que los motores de búsqueda clasifican las páginas estáticas mejor que sus equivalentes dinámicos.

Los especialistas en SEO recurren al contenido estático siempre que sea posible competir mejor en un mundo donde una fracción de segundo puede decidir la diferencia entre el éxito completo y el fracaso completo. La implementación de contenido estático se ha convertido en una palabra de moda entre los estrategas de marketing, y le gusta el hecho de que tienen un lugar menos vulnerable para vigilar.

Pero tenga cuidado: no son 100% a prueba de hack, por lo que si planea implementar contenido estático en su sitio web, hay algunas pautas que debe seguir para mantenerlo seguro.

Los encabezados de seguridad son un subconjunto de encabezados de respuesta HTTP: un conjunto de metadatos, códigos de error, reglas de almacenamiento en caché, etc. que un servidor web agrega al contenido que sirve, diseñado para decirle al navegador qué hacer y cómo manejar el contenido que recibe. No todos los navegadores admiten todos los encabezados de seguridad, pero hay un pequeño conjunto que es bastante común y proporciona medidas de seguridad básicas para evitar que los hackers exploten las vulnerabilidades.

Contents
  1. Opciones de frame X: Sameorigin
  2. X-XSS-Protección: 1; modo = bloque
  3. Opciones de tipo X-contenente: Nosniff
  4. Tipo de contenido: texto/html; codificación = UTF-8
  5. Utilice certificados TLS
  6. Desplegar protección contra ataques DDoS
  7. Evite las bibliotecas de JavaScript vulnerables
  8. Implementar una estrategia de respaldo
  9. Utilice un proveedor de alojamiento web confiable
  10. Hacer cumplir una política de contraseña segura
  11. Dar estático

Opciones de frame X: Sameorigin

El encabezado X-Frame-Options está diseñado para deshabilitar o mitigar los riesgos asociados con los iframes en su sitio. Los piratas informáticos pueden usar iframes para interceptar clics legítimos y dirigir a los visitantes a cualquier URL que deseen. Hay varias formas de evitar que los iframes se usen mal.

Las mejores prácticas recomendadas por OWASP (Proyecto de seguridad de aplicaciones web Open) sugieren usar este encabezado con el parámetro Sameorigin, que solo permite que el iframe sea utilizado por alguien de la misma fuente. Otros parámetros se niegan, para deshabilitar los iframes por completo y permitir, para permitir que solo las URL específicas alojen páginas en iframes.

Consulte la Guía de implementación para Apache y Nginx.

X-XSS-Protección: 1; modo = bloque

El encabezado X-XSS-Protection está diseñado para proteger los sitios web de las secuencias de comandos entre sitios. Esta función de encabezado se puede implementar de dos maneras:

  • X-XSS-Protección: 1
  • X-XSS-Protección: 1; modo = bloque

El primero es más permisivo, filtrando scripts para solicitar el servidor web, pero aún muestra la página. La segunda opción es más segura, ya que bloquea la página completa cuando se detecta un script X-XSS en una solicitud. OWASP recomienda la segunda opción.

Opciones de tipo X-contenente: Nosniff

Este encabezado evita el uso de «olfateo» MIME, una característica que permite al navegador escanear el contenido y reaccionar de manera diferente al encabezado especifica. Cuando este encabezado está presente, el navegador debe establecer el tipo de contenido según las instrucciones, en lugar de inferirlo «olfateando» el contenido de antemano.

Si aplica este encabezado, debe verificar que los tipos de contenido se aplican correctamente en cada página de su sitio web estático.

Tipo de contenido: texto/html; codificación = UTF-8

Esta línea se agrega a los encabezados de solicitud y respuesta para las páginas HTML que comienzan con la versión 1. 0 del protocolo HTTP. Especifica que todas las etiquetas se representan en el navegador, mostrando el resultado en la página web.

Utilice certificados TLS

Un certificado SSL/TLS es obligatorio para cualquier sitio web porque permite que el servidor web cifre los datos que envía al navegador web a través del protocolo HTTPS seguro. De esta manera, si los datos se interceptan en tránsito, será ilegible, lo que es necesario para proteger la privacidad del usuario y la seguridad del sitio web. Un sitio web estático no almacena la información personal de sus visitantes, pero es muy importante que la información que soliciten no sean accesibles para los observadores no deseados.

El uso del cifrado por parte de un sitio web es necesario para que la mayoría de los navegadores web lo marquen como seguro, y es obligatorio para los sitios web que buscan cumplir con la Regulación General de Protección de Datos (GDPR) de la UE. La ley no establece específicamente que se debe utilizar un certificado SSL, pero es la forma más fácil de cumplir con los requisitos de privacidad de las regulaciones.

Desde una perspectiva de seguridad, un certificado SSL permite a las autoridades confirmar la propiedad de un sitio web y evitar que los piratas informáticos creen versiones falsas de él. El uso de un certificado SSL permite que un visitante del sitio web verifique la autenticidad del editor y tenga la seguridad de que nadie puede monitorear sus acciones en el sitio web.

La buena noticia es que el certificado es económico. De hecho, puede obtener uno gratis de Zerossl o comprar uno premium en una tienda SSL.

Desplegar protección contra ataques DDoS

Los ataques distribuidos de denegación de servicio (DDoS) se están volviendo cada vez más comunes hoy en día. En este tipo de ataque, se usa un conjunto de dispositivos distribuidos para inundar un servidor con una avalancha de solicitudes hasta que se sature y simplemente deje de funcionar. No importa si su sitio web tiene contenido estático, su servidor web puede ser fácilmente víctima de un ataque DDoS si no toma las medidas necesarias.

La forma más fácil de implementar la protección DDoS en su sitio web es que un proveedor de seguridad se encargue de todas las amenazas cibernéticas. Este servicio proporcionará detección de intrusos, servicios antivirus, escaneo de vulnerabilidad y más, por lo que prácticamente nunca tendrá que preocuparse por ninguna amenaza.

Una solución tan integral puede ser costosa, pero hay soluciones más específicas con costos más bajos, como la protección DDoS como servicio (DPAA). Debe preguntarle a su proveedor de alojamiento si ofrecen dicho servicio.

Las soluciones más asequibles son los servicios de protección de ataque DDoS basados en la nube, como los ofrecidos por Akamai, Sukurili Cloudflare. Estos servicios proporcionan detección y análisis tempranos de los ataques DDoS, así como el filtrado y el rechazo de estos ataques, es decir, redirigir el tráfico malicioso de su sitio web.

Al considerar una solución anti-DDOS, debe prestar atención al ancho de banda de su red: este parámetro indica cuánta intensidad de ataque puede resistir la defensa.

Evite las bibliotecas de JavaScript vulnerables

Incluso si su sitio web tiene contenido estático, puede usar bibliotecas JavaScript que representan un riesgo de seguridad. En general, se cree que el 20% de estas bibliotecas hacen que el sitio web sea más vulnerable. Afortunadamente, puede usar el servicio proporcionado por Vulnerabilidad DB para verificar si una biblioteca en particular es segura o no. En su base de datos, puede encontrar información y recomendaciones detalladas para muchas vulnerabilidades conocidas.

Además de verificar una biblioteca específica para las vulnerabilidades, puede seguir esta lista de las mejores prácticas para las bibliotecas de JavaScript que garantizarán que se aborden los riesgos potenciales:

  • No use servidores de biblioteca externos. En su lugar, almacene bibliotecas en el mismo servidor que aloja su sitio web. Si debe usar bibliotecas externas, evite usar bibliotecas de servidores con lista negra y verificar periódicamente la seguridad de los servidores externas.
  • Use el control de versiones para las bibliotecas de JavaScript y asegúrese de estar utilizando la última versión de cada biblioteca. Si el control de versiones no es posible, al menos debe usar versiones libres de vulnerabilidades conocidas. Puede usar Retire. js para detectar el uso de versiones vulnerables.
  • Verifique regularmente para ver si su sitio está utilizando bibliotecas externas que no conoce. De esta manera, sabrá si un hacker ha inyectado enlaces a proveedores de biblioteca no deseados. Los ataques de inyección son poco probables en los sitios web estáticos, pero no puede estar de más realizar un control tan de vez en cuando.

Implementar una estrategia de respaldo

Un sitio web estático siempre debe tener una copia de seguridad segura del contenido siempre que cambie. Las copias de seguridad deben almacenarse de forma segura y fácilmente accesible en caso de que necesite restaurar su sitio web en caso de una interrupción. Hay muchas formas de respaldar su sitio web estático, pero generalmente se pueden clasificar en manual y automático.

Si el contenido de su sitio web no cambia muy a menudo, una estrategia de copia de seguridad manual puede ser suficiente: solo necesita recordar hacer una nueva copia de seguridad cada vez que realiza cambios en el contenido. Si tiene un panel de control para administrar su cuenta de alojamiento, es probable que encuentre una opción de copia de seguridad en ese panel de control. De lo contrario, siempre puede usar un cliente FTP para cargar todo el contenido de su sitio web en un dispositivo local donde puede mantenerlo seguro y restaurarlo si es necesario.

Por supuesto, la opción de copia de seguridad automática es preferible si desea minimizar las tareas de administración de sitios. Pero los proveedores de alojamiento generalmente ofrecen copias de seguridad automáticas como características opcionales, lo que aumenta el costo general de asegurar su sitio.

Es posible que desee considerar usar el almacenamiento de objetos en la nube para copias de seguridad.

Utilice un proveedor de alojamiento web confiable

El alojamiento web confiable es esencial para garantizar que su sitio web se ejecute sin problemas y rápidamente, y para asegurarse de que no sea pirateado. La mayoría de las revisiones de alojamiento web le mostrarán cifras y comparaciones de velocidad, tiempo de actividad y atención al cliente, pero al considerar la seguridad del sitio web, hay algunos aspectos que deben observarse cuidadosamente y que debe preguntarle a su proveedor antes de contratar sus servicios:

  • Seguridad del software: debe averiguar cómo se manejan las actualizaciones de software; Por ejemplo, si todo el software se actualiza automáticamente o si cada actualización está sujeta a un proceso de prueba antes de la implementación.
  • Protección DDoS: si dicha protección está incluida en el servicio de alojamiento, solicite detalles sobre cómo se implementa para garantizar que cumpla con los requisitos de su sitio.
  • Disponibilidad y soporte de SSL: dado que en la mayoría de los casos los certificados son administrados por el proveedor de alojamiento, debe verificar qué certificado ofrecen y cuál es su política de renovación de certificado.
  • Copia de seguridad y restauración: muchos proveedores de alojamiento ofrecen un servicio de copia de seguridad automático, y esto es bueno porque le permite olvidarse virtualmente de crear copias de seguridad, almacenarlas y actualizarlas. Pero tenga en cuenta el costo de dicho servicio y compare con el esfuerzo que se necesitaría para respaldar su contenido usted mismo.
  • Protección de malware: un proveedor de alojamiento confiable debe proteger sus servidores del malware escaneando periódicamente para la integridad de los archivos de malware y monitoreo. En caso de alojamiento compartido, es aconsejable que el proveedor de alojamiento use el aislamiento de la cuenta para evitar que el malware se propague entre los sitios web vecinos.
  • Protección de firewall: un proveedor de alojamiento puede mejorar la seguridad de los sitios web que aloja implementando un firewall que bloquea el tráfico hostil.

Familiarícese con una plataforma confiable para alojar sitios web estáticos.

Hacer cumplir una política de contraseña segura

Debido a que un sitio estático no tiene una base de datos o un sistema de contenido administrado, tiene menos nombres de usuario y contraseñas para administrar. Pero aún necesitará hacer cumplir una política de contraseña para las cuentas de alojamiento o FTP que usará para actualizar el contenido estático.

Las buenas prácticas de contraseña incluyen, entre otras cosas:

  • Cambiarlos periódicamente
  • Configuración de una longitud mínima de contraseña.
  • Uso de combinaciones de letras mayúsculas/minúsculas junto con caracteres y números especiales
  • Evitando comunicarse con ellos por correo electrónico o mensajes de texto.

Además, la contraseña predeterminada para cuentas administrativas debe cambiarse desde el principio, un error común que los hackers pueden explotar fácilmente. No tengas miedo de perder tu contraseña; Use un administrador de contraseñas para administrarlos de forma segura.

Dar estático

Hace unos años, el contenido dinámico estaba de moda: todo podría cambiarse y actualizarse fácilmente, lo que le permite rediseñar completamente su sitio web en segundos. Pero entonces la velocidad se convirtió en la principal prioridad, y el contenido estático se volvió fresco nuevamente.

En este sentido, todas las prácticas de seguridad del sitio web deben revisarse; por supuesto, hay menos aspectos a considerar, pero no debe relajarse al respecto. Esta lista de las mejores prácticas seguramente lo ayudará a crear su propia lista de verificación para mantener su sitio web estático seguro y seguro

© 2023

política de privacidad