Base de Conocimiento
Sitio, Diseño, Desarrollo, Página, Contenido y Aplicaciones Web Seguras
Escrito por Julian Andres Moná en 04 January 2018 01:26 PM

El Sitio, Diseño, Desarrollo, Página, Contenido o Aplicaciones Web son creados, adquiridos y/o implementados directamente por el cliente, diseñador o webmaster del mismo y no tiene relación con el servicio de Hosting.

Todos los contenidos son de total responsabilidad del cliente, diseñador o webmaster del mismo, ya que dichos elementos no fueron diseñados por ColombiaHosting, y es un caso relacionado totalmente con DISEÑO WEB y no ALOJAMIENTO(HOSTING). Por lo que dicho soporte técnico de diseño web debe ser tramitado por el cliente con un diseñador o empresa de diseño web.

 

Recomendaciones esenciales de protección y de vital importancia que un diseño debe cumplir para evitar inconvenientes de seguridad en diseño web:

 1. Aplicaciones propias: Diseños o Desarrollos propios creados o contratados a terceros por el usuario:

  1. El código debe ser compatible con la última versión estable de PHP según la fecha. (Actualmente PHP 7.1 o PHP 7.2).
  2. Los formularios deben tener un sistema de captcha (verificación de humano, por ejemplo: digite los números que aparecen en la imagen).
  3. La recepción de datos de formularios u otros (variables GET, POST, etc) deben ser filtrados y controlados de forma segura para evitar inyecciones de : SQL, RFI, Path, Comandos y Código.
  4. El sitio no debe permitir Secuencias de Comandos en Sitios Cruzados (XSS)
  5. El sitio no debe permitir la Falsificación de Peticiones de Sitios Cruzados (CSRF)
  6. Si la aplicación tiene subida de archivos, la subida debe filtrar el tipo de documento a subir con más de 4 filtros (Extension, Dimensiones, Mime, nombre,primer byte,etc) y prevenir subidas de archivos maliciosos.
  7. Las secciones privadas o requeridas del sitio web deben estar protegidas por sesiones gestionadas de forma segura y con roles, al igual que las funciones deben tener control de acceso.
  8. Gestión de contraseñas seguras con sistemas de encripción actualizada.
  9. Los documentos privados deben alojarse en una carpeta fuera del contenido web, y entregados por alguna página PHP que utilice sesiones y permita la descarga de dichos documentos.
  10. La entrega de información debe realizarse preferiblemente por POST para evitar publicar información en la barra de direcciones.
  11. El sitio debe evitar la referencia directa insegura a objetos.
  12. Evitar utilizar funciones de riesgo como shell_exec, exec, passthru, system.
  13. Revisar el código fuente y sospechar de código ofuscado o ilegible.
  14. Evitar la exposición de información sensible (al mostrar errores, dentro del código html, etc).
  15. Validar correctamente redirecciones e inclusiones remotas.
  16. El sitio debe tener un archivo de robots.txt, protegiendo de motores de búsqueda u otros los contenidos que presenten algún riesgo o no se requieran indexar en buscadores.
  17. El sitio debe permitir utilizar https de forma sencilla o ser compatible con ambos protocolos http y https.
  18. Gestion de presentación de errores controlada.
  19. Eliminar archivos de prueba, versiones anteriores y/o elementos que no seran utilizados.
  20. Realizar y entregar lista de control de contenidos de directorios y archivos con fecha.
  21. El cliente debe tener una copia del diseño inicial (contenido web y base de datos) en su oficina o ubicación local: USB, DVD, CD, Disco Duro, etc (no hosting).
  22. Si utiliza librerias de terceros debe tener en cuenta adicionalmente todos los puntos mostrados en el númeral 2. (Aplicaciones de Terceros)

 

2. Aplicaciones de terceros: Si utiliza alguna aplicación, libreria o componente web como Joomla, Wordpress, Drupal, Prestashop, Moodle, Magento, plugin, entre otros debe tener en cuenta:

  1. El instalador y todos sus componentes deben ser descargados de las páginas oficiales (joomla.org, wordpress.org, etc).
  2. La aplicación debe cumplir con las recomendaciones mostradas en el númeral anterior 1. (Aplicaciones Propias)
  3. Debe utilizar la última versión estable disponible según la fecha de instalación.
  4. Utilizar plantillas y componentes actualizados y obtenidos de fuentes confiables y analizar sus contenidos.
  5. Si en el contrato de su diseñador, este no incluye actualizaciones, puede solicitarle la entrega de un manual al cliente final donde se indique como se actualiza la aplicación web a la última versión.
  6. Evitar que el sitio web permita la creación de usuarios o comentarios de forma automática.
  7. Utilizar sistemas de captcha en todos los formularios del sitio web.
  8. Revisar el código fuente y sospechar de código ofuscado o ilegible de los componentes/plantillas/plugins.
  9. No debe utilizar componentes o software que no tenga actualizaciones periódicas.
  10. No debe sobreescribir archivos del nucleo de la aplicación (por ejemplo editar la plantilla que viene con Joomla o editar los archivos originales del Joomla).
  11. El usuario debe actualizarse constantemente en información de seguridad de la aplicación o librería utilizada.
  12. Eliminar archivos de prueba, instaladores, versiones anteriores, plugins, temas y/o elementos que no seran utilizados.
  13. Realizar y entregar lista de control de contenidos de directorios y archivos con fecha del diseño inicial.
  14. El cliente debe tener una copia del diseño inicial (contenido web y base de datos) en su oficina o ubicación local: USB, DVD, CD, Disco Duro, etc (no hosting).

 

3. Otros contenidos: archivos o carpetas que son subidos o creados por el cliente o través del diseño web:

  1. No alojar backups o copias de seguridad.
  2. No alojar versiones anteriores o que no se utilicen de un sitio web.
  3. Eliminar archivos o aplicaciones de pruebas que no tengan uso en el sitio.
  4. Limpiar archivos temporales y/o papelera regularmente.
  5. No sobreescribir aplicaciones (Por ejemplo instalar Wordpress en una carpeta donde esta Joomla y viceversa).
(3 votes)
El artículo fue de ayuda
El artículo no fue de ayuda

Sistema de Soporte de ColombiaHosting