Es indispensable para cada webmaster o propietario de sitio web conocer un poco sobre la seguridad de su sitio. Esto es necesario aunque tu proveedor de hospedaje web tome todas las medidas necesarias para proteger los sitios alojados en sus servidores, aunque tenga un ambiente seguro de web hosting. Los puntos más débiles son, de manera general, las puertas que dejas abiertas en los scripts que utilizas en tu web.

Los ataques más comunes a sitios web son dos: Cross Site Scripting XSS y SQL Injection.

Un ataque realizado con Cross Site Scripting busca las vulnerabilidades en el código mismo de tu sitio web; por lo general utiliza las páginas donde se requiere llenado de datos por parte del usuario, lo que conocemos como formas. Si se encuentra alguna vulnerabilidad, el atacante intentará inyectar un script en la página web. El objetivo del atacante es lograr acceso a datos importantes, cookies de sesión, y cualquier otra información que permanece en el navegador del usuario. Este tipo de ataques puede utilizarse para extraer la identidad de un usuario en el transcurso de una sesión de comercio electrónico, por ejemplo.

Existen varias acciones que puedes tomar para proteger tu sitio en contra de este tipo de ataques XSS. Uno de los más efectivos es asegurarte que tu script bloquee la entrada de cualquier tipo especial de carácter requerido para scripting, tales como < >, &, «, entre otros.  Incluso, sitios como http://htmlpurifier.org/ pueden ayudarnos a eliminar este tipo de amenazas.

El otro ataque más común es el llamado SQL Injection y es igualmente utilizado por los hackers para tener acceso a información importante. Un ataque clásico de SQL Injection inyecta un código de SQL en una forma, por ejemplo, una forma de entrada o de contacto, para tener así acceso a la base de datos. El comando SQL inyectado puede utilizarse para eliminar partes de la base de datos o para recuperar información.

Las acciones a tomar para prevenir un ataque de SQL Injection son similares a las usadas para prevenir el Cross Site Scripting. Puedes usar mysqli_real_escape_string de PHP que terminará el proceso al detectar caracteres especiales en una consulta SQL antes de enviarla a la base de datos.

Encuentras más información sobre SQL Injection aquí.

Encuentras más información sobre Cross Site Scripting aquí.

No olvides consultar nuestros planes de hospedaje web, todos con un nivel apropiado de seguridad en los servidores.

 

Share This