Elementos web que pueden afectar la seguridad de los sitios web

seguridad
Compartir:

La seguridad es una cuestión que preocupa bastante a los desarrolladores web y a los usuarios. Las vulnerabilidades pueden ser causadas por código mal escrito, software no actualizado por parte de los usuarios, algo malicioso que ha entrado en el sitio, o piratas informáticos que encuentran una manera de acceder al servidor de manera remota.

Hay ciertos elementos web que podrían afectar la seguridad de los sitios web. Comprender cómo estos elementos pueden verse comprometidos y cómo afectan a los sitios web ayuda a tomar decisiones más inteligentes cuando se trata de usarlos. Es simplemente una cuestión de saber lo que son para poder estar atento.

Temas comprometidos

Siempre que se use un software de terceros para construir o iniciar un diseño, hay que tener cuidado con los temas que se eligen. Incluso si se hace una descarga o compra de un tema en un sitio de confianza, podría haber problemas. Estos temas son tan susceptibles a un problema de seguridad como cualquier otro. Desafortunadamente, no siempre es el tema el que se ve comprometido. Un ejemplo de esto es lo que pasó con TimThumb, una herramienta de redimensionamiento de imágenes que se incluyó en varios temas de WordPress que expuso a los usuarios que usaban estos temas a ataques.

Plugins comprometidos

Las extensiones de terceros son otra herramienta que los diseñadores suelen utilizar para crear elementos de diseño avanzados en los sitios web. Nuevamente, dado que el software es particularmente vulnerable, se debe tener mucho cuidado con los plugins que se usan y su mantenimiento.

El plugin Slider Revolution (RevSlider), fue uno de esos casos de vulnerabilidad de la seguridad (exploit) introducidos en sitios web por una extensión de terceros.

Elementos comprometidos

Para aquellos que desarrollan webs desde cero, la seguridad no está más garantizada que para los que usan plugins y temas. Esto es especialmente cierto si se utilizan elementos escritos previamente como CSS o fragmentos de código JavaScript, bibliotecas. Esto no quiere decir que no se pueda confiar en el código de los demás, pero hay que ser consciente de la calidad de los elementos que se introducen en el sitio web.

Carga de archivos maliciosos

Para que un sitio web tenga éxito en la conversión de visitantes a clientes de pago o suscriptores, es necesario que haya una forma de interactuar activamente con ellos. Los formularios de contacto y los sistemas de comentarios pueden ser particularmente problemáticos cuando no están protegidos contra los mensajes basura (spam). Sin embargo, también hay elementos que pueden provenir de usuarios externos que pueden causar problemas de seguridad.

Específicamente, si tu sitio web acepta la carga de archivos de los usuarios. Si los usuarios cargan imágenes en el contenido o envían imágenes para un concurso, esto podría poner en riesgo el sitio web. Esto no significa que no debas aceptar archivos de otros usuarios, significa que es necesario implementar formas de analizar mejor esos archivos y asegurarse de que no sea una forma de inyectar código malicioso.

Malvertising

Hay varias maneras de monetizar un sitio web. Pero si quiere hacer con un elemento que se integre a la perfección con el diseño, probablemente uses un sistema como AdSense que coloca el contenido del anuncio en el sitio web. Una vez más, hay que confiar en que el tercero detrás del contenido del anuncio no compromete la seguridad del sitio o de los visitantes.

En 2015, AdSense fue noticia cuando se descubrió campañas de malvertising en los sitios web de sus usuarios. Estos anuncios parecían inofensivos, hasta que los visitantes comenzaron a ser redirigidos a sitios fraudulentos.

Páginas de Phishing

Cuando se diseña un sitio, se es cuidadoso con las páginas necesarias que se incluyen para una buena experiencia de usuario. De vez en cuando, puedes crear una página de destino (landing page) que exista fuera de la navegación, pero siempre debe tener el propósito de promocionar algo especial. Esta es una táctica de marketing comúnmente utilizada. Sin embargo, los piratas informáticos también son conscientes de esto, y es por eso que algunos de ellos pueden salirse con la suya subiendo páginas falsas en sitios legítimos. Esto es lo que se conoce como una página de phishing y está construida con el propósito de instalar malware en el dispositivo de un visitante o dirigirlos a un sitio web para robar sus credenciales.

Imágenes infectadas

El malware también puede estar oculto en imágenes.

En 2011, este mismo problema se descubrió en «Imágenes de Google«.

Los piratas informáticos han aprendido a evitar la creciente conciencia de los usuarios sobre enlaces maliciosos y archivos adjuntos y han encontrado una forma de comprometer las imágenes.

Contenido mixto

A medida que la web avanza hacia un lugar más seguro con la adopción de certificados SSL y HTTPS, algunos diseñadores web tienen problemas cuando los archivos multimedia no se transfieren correctamente a una dirección segura. Esto es lo que se conoce como «contenido mixto».

Básicamente, esto es lo que sucede cuando un sitio web se ha movido de HTTP a un seguro HTTPS. Sin embargo, cuando las imágenes permanecen en el servidor no seguro (HTTP), exponen el resto del sitio web hasta la posibilidad de una violación.

Protege tus elementos de diseño

Para que la probabilidad de que todo lo anterior suceda sea lo más baja posible hay que concentrarse en configurar lo siguiente en el servidor web:

También existe la posibilidad de trasladarse a un alojamiento seguro de WordPress. Un proveedor de alojamiento administrado de WordPress se ocupará de la seguridad, para poder centrarse estrictamente en la creación y el diseño de sitios web.

 

En Xperenti hacemos desarrollo y diseño web y velamos por la seguridad de tu sitio.

Contáctanos

Fuente: 1stwebdesigner

Compartir:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies