Seguretat web (II)

Seguretat Web (I)

Seguretat Web (II)

Seguretat Web (III)

 

6.- Monitorització 24 hores. Convé monitoritzar la web tant via servidor com via programari (Manage WP) perquè, quan caigui o tingui alguna vulnerabilitat de seguretat, el sistema ens avisi per mail.

7.- Protegir els sospitosos habituals. Cal fortificar certs fitxers crítics, carpetes i paràmetres, especialment abans de pujar a producció i hi ha altres fitxers que cal bloquejar l'accés via .htaccess. (SAR One Click Security, WPHardening)

– Fitxers crítics: wp-config.php, .htaccess, xmlrpc.php
– Modificar permisos als arxius a 644 i en directoris a 755
– Modificar els prefixos de la base de dades de “wp_” per altres lletres, per exemple “cool_”
– Esborrar el fitxer domini.com/readme.html per evitar dir la nostra versió de WordPress
– De la mateixa manera, eliminar les capçaleres que indiquen les versions de Core i components
– Canviar l'usuari 'admin' o degradar-lo a rol Subscriptor
– Canviar ruta d'accés al tauler de control i inhabilitar l'antiga ruta

8.- Tenir un bon hosting actualitzat. Una tecnologia més avançada incrementa la seguretat alhora que la velocitat i ajuda a reduir el cost cononòmic. Per exemple, tenir al dia el PHP7, HHVM o cPanel important per prevenir vulnerabilitats. Un cop tenim una connexió xifrada SSL, lús HTTP/2 accelera significativament la càrrega de llocs web. Per cert, no dubtis entre discos amb o sense SSD per a webs en producció ja que estalvien temps en cada acció que fem.

9.- Usar 3 capes de seguretat. La primera consisteix en un servidor proxy o CDN: Per evitar pics, minimitzar els efectes d'atacs, etc. A més ens donarà un extra de velocitat pel seu escorcoll (CloudFlare).
La segona és el Firewall per prevenir directament l'hackeig o la força bruta (atacs DDoS). Molts CDN i plugins ja ofereixen aquesta opció integrada (CloudFlare, Sitelock, WordFence). I la tercera capa és un Plugin de seguretat: Aquests plugins són com navalles multiusos de prevenció i control però consumeixen molts recursos del servidor. Si la integritat de la nostra web no està afectada, és millor limitar aquest tipus de plugins. Serveixen per controlar fitxers Core modificats, veure logins no desitjats, escanejar el servidor o configuracions preventives d'atacs (All i One WP, Sucuri, WordFence, iThemes Security).

10.- Usar un certificat digital SSL. Tenir una web que comença per “https” és senyal de confiança. Un web amb un certificat digital encripta la comunicació entre el client i el servidor prevenint el pishing (suplantació d'identitat) i certifica que el nostre domini és segur. Especial atenció al SEO, ja que afegir https canvia els permalinks.

11.- DNSSEC afegeix una capa de seguretat addicional al protocol DNS que permet comprovar la integritat i l'autenticitat de les dades. Gràcies a aquestes extensions de seguretat es poden prevenir atacs de suplantació i falsificació.