man using stylus pen for touching the digital tablet screen
CategoriasHosting

Mejoras en la seguridad de los servidores

Todos los servidores conectados a Internet, sufren de forma periódica dos tipos de ataques frente a los que no hay una solución 100% efectiva: se trata de los ataques de fuerza bruta y los de denegación de servicio.

Los de fuerza bruta, son los más comunes y menos sofisticados. Consisten en probar contraseñas comunes a ver si hay suerte. Aunque pueda parecer que no son efectivos, de vez en cuando, consiguen acceso a una cuenta de email y lo aprovechan para enviar tanto spam como puedan (hasta que se detecta y se pone solución).

Los de denegación de servicio, son más específicos. Aquí el objetivo no es el hackeo como tal sino la inutilización de una web o red, por el simple hecho de crear molestias y daños económicos. He sufrido varios de estos y son realmente difíciles de bloquear.

En ambos casos, hay muchos tipos de protecciones para minimizar sus efectos pero todos se basan en aguantar el tirón: rechazar peticiones malintencionadas, servidores inseguros y bloquear IP ¡muchas IPs!

En el último ataque de fuerza bruta que sufrimos en uno de los servidores la semana pasada, fueron ¡más de 2.800 IPs las bloqueadas! Además de tener que bloquear el acceso a China al completo (principal emisor de ataques). El bloqueo sigue a día de hoy.

Sólo para que te hagas a la idea del arsenal que tenemos que tener listo para proteger los servidores, aquí va un listado abreviado:

  • Tecnología Cloud para absorber picos de carga de 4-5 veces el habitual. Esto supone que un servidor que tiene una carga de entre un 4-12% puede pasar a tener una carga del 300% en unos minutos.
  • Hardware en la red que actúe como cortafuegos para filtrar paquetes de datos.
  • Cortafuegos por software a nivel de servidor.
  • Protección específica para ataques de fuerza bruta (configuraciones personalizadas).
  • Protección para WordPress y optimizaciones del servicio.

A partir de ahora, añadimos dos nuevas medidas más pero esta vez, del lado de la seguridad preventiva:

Protección por captcha gratuita para todos los WordPress

Todas las webs alojadas, cuentan ahora con una protección extra que evita que las peticiones con malas intenciones lleguen a la página de acceso de WordPress. Esto se hace mediante la petición de elegir No soy un robot la primera vez que se acceda desde una dirección IP nueva. Una vez completado el proceso, la dirección IP se guardará durante 7 días.

Con esta medida se evita entre otras cosas, que las webs consuman todos sus recursos contratados durante uno de estos ataques. Las peticiones de los atacantes se quedarán en el captcha.

Protección a ficheros vulnerables

Hay dos ficheros que son los favoritos de los atacantes:

phpinfo.php es el primero, es el nombre más común que se suele utilizar para añadir un comando que muestra información del servidor. Se crea en servidor en el momento de hacer una web, para consultar algún dato y luego se deja olvidado y público, accesible a cualquier persona.

Durante los escaneos que se reciben en los servidores, es uno de los ficheros más buscados junto con los propios de WordPress. En ellos, se puede encontrar información sobre las versiones de los programas que están instalados en el servidor y buscar posibles puntos de ataque.

A partir de ahora, todos los ficheros phpinfo.php que se encuentren en las carpetas /public_html se borrarán. Puedes seguir haciendo uso de los ficheros phpinfo.php cuando lo necesites, pero si se te olvida borrarlo una vez termines, se borrará. Esto no afecta a tu web de ningún modo a tu web.

El otro son los ficheros xmlrpc.php, que eran útiles en los primeros momentos de desarrollo de Internet y WordPress, pero que hoy están llamados a desaparecer. Se utilizaban para realizar publicaciones offline, notificar a otros blogs de que se había publicado y conectar desde el móvil. Hoy en día, está en desuso y se aconseja desactivarlos o borrarlos. Al igual que con los phpinfo.php, se borrarán de la carpeta /public_html

Se permitirá su ejecución en otras subcarpetas como puede ser la de plugins, pero ten en cuenta que sería mejor no utilizarlos.

Y por último, una mejora menor pero que también evitará algún susto:

No se muestra el mensaje de alerta en el bloqueo de dominios .es

En el área de cliente se mostraba un alerta en los dominios .es indicando que el dominio no estaba bloqueado frente a traslados. A diferencia de otros dominios como los genéricos, los .es no tienen la opción de bloquearse porque ya se considera suficiente seguro el proceso de transferencia habitual, donde el contacto administrativo tiene que aceptar los cambios. Se ha modificado la web para que no muestre esa alerta que puede crear confusión.

En los próximos días, se harán más mejoras al área de cliente. Si quieres estar al día y todavía no estás suscrito, puedes hacerlo indicando tu email en la barra de la izquierda.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *