Mejores practicas para implementar sitios web o portales corporativos seguros

Mejores practicas para implementar sitios web o portales corporativos seguros

Buen dia a todos

Quisiera compartir algunas buenas practicas que considero importante al momento de implementar un sitio web o portal

  1. Al pensar en una implementación de un sitio web o portal de alto valor, es recomendable disgregar en varias capas todos los elementos tecnologicos, base de datos, webservers, servidores de aplicaciones.
  2. Si es posible y entra en el presupuesto del proyecto, se debe pensar en redundancia y alta disponibilidad, asi como disponer de entornos de desarrollo, certficación.
  3. Si se disponen de elementos publicos y privados, se recomienda altamente que estos esten totalmente separados.
  4. Al momento de comenzar una implementación de software en el 98% de los casos los técnicos tienden a eliminar protecciones a nivel de kernel como por ejemplo de SELinux, en lo posible no eliminarlo (En algunos casos el fabricante te manda a eliminar este tipo de protecciones)
  5. Como en todo servidor es importante deshabilitar todos los servicios que no se usan, para que quiero CUPS en un equipo que no lo va a usar o tener share NFS si tampoco va a ser utilizado, es simple, lo que no se usa se apaga.
  6. Si en un servidor que se va a ejecutar una aplicación en PHP, que necesidad se tiene que pueda ejecutar scripts en perl o ruby dentro del webserver, por lo tanto aplicamos lo mismo que lo anterior, no permitir que interpretes innecesarios se ejecuten, no se usa, se quita.
  7. Una buena configuración de cada uno de los componentes de la solución, nos puede ahorrar dolores de cabezas futuros, un buen esquema de particionamiento, tuning adecuado del manejador de base de datos, nuestros webservers, etc…
  8. Si se va a implementar una solucion de un tercero, es muy importante tener por parte del fabricante las mejores practicas de la implementación, asi como los elementos minimos de configuración para un entorno de producción, siempre es muy facil hacer un chmod -R 777 * y que mi solución funcione «bien».
  9. En puntos anteriores comentábamos acerca que posiblemente se ejecutara una aplicación PHP, imaginemos que usamos algún CMS como Joomla o Drupal, por lo que es muy importante como consultor informarle a los administradores del sitio que es fundamental hacer un seguimiento de las listas de correos o notificaciones acerca de la seguridad.
  10. Las políticas de passwords a nivel de Sistema Operativo, Base de Datos y el aplicativo deben ser fuertes y se recomiendan que estas sean diferentes.
  11. Uno puede tener unas políticas fuertes de passwords, pero si no protegemos nuestras contraseñas de ataques de fuerzas bruta eventualmente algún día van a caer, es recomendable usar elementos como fail2ban que permitan proteger los diferentes servicios que componen tu solución tecnológica.
  12. En muchos casos las organizaciones implementan soluciones informaticas, pero olvidan o no disponen de elementos que permitan monitorear en tiempo real, todos los componentes involucrados dentro de una solucion web (Balanceador de Carga, Webservers, DB, Application Server), algunas soluciones libres: Nagios, Zenoss, Zabix.
  13. Uno de los momentos mas felices es cuando el proyecto llega a etapas avanzadas y el cliente comienza a ver su portal y pregunta cuando va a ser la publicación final, en muchos casos la organización que implementa esta desesperada por finalizar y cobrar, pero en un alto numero de proyectos se comete el error de nunca definir politicas de respaldos y mucho menos definir planes de contigencia adecuados en caso de una catastrofe, por lo que siempre define esto desde un principio, evaluando los costos y recursos necesarios.
  14. Como ultimo, siempre es recomendable hacer un test de seguridad completo despues de realizar la implementación, utilizar herramientas de penetration testing, existen distribuciones dedicadas a esto ejemplo: backtrack.

Hasta una proxima oportunidad de compartir con ustedes mis lectores virtuales.

6 pensamientos sobre “Mejores practicas para implementar sitios web o portales corporativos seguros

  1. Pingback: Tweets that mention Mejores practicas para implementar sitios web o portales corporativos seguros | eidast.me - tecnología en web 2.0 -- Topsy.com

  2. Pingback: Mejores practicas para implementar sitios web o portales corporativos seguros

  3. Richzendy

    Excelente articulo, del punto de vista del website en si, yo agregaría que la gente tiende a usar muchos temas sacados de otros lados o reusar temas de otros, que generalmente tienen más código css del necesario o del que realmente se está usando, o probar plugines que luego no se usan y no se remueven.

    Acá aplica la política de CSS que no se usa se quita, imágenes que no se usan se quitan, animaciones que no se usan, se quitan, módulos, plugines, componentes que no se usan, se quitan.

  4. eidast Autor de la entrada

    Bueno pienso que ese tema puede generar otro articulo con respecto a la optimización de un website o portal en si, el uso de CSS Sprites para minimizar las conexiones no es lo mismo 100 conexiones contra 1, eliminar todo el codigo CSS, JS no usado cuando se usa algún template como base o algún plugin.

    En fin son muchos los elementos a tomar en consideración al momento de realizar optimizaciones, claro en algunos casos esto tambien puede afectar la seguridad del sitio.

  5. Pingback: Mejores practicas para implementar sitios web o portales corporativos seguros | Efecto Tequila

  6. m00g

    Execelente artículo.
    En lo personal, tengo entendido que existen templates en blanco o base que se pueden utilizar para generar una plantilla descente. Está a criterio personal la selección de los plugins necesarios para cada portal; más sin embargo es bueno fijarse en los plugins que utilizan otras personas y que tipo de feedback hay en la red.

    Particularmente recomiendo el artículo «Mi top 10 WordPress plugins» http://richzendy.org/2009/11/20/mi-top-10-wordpress-plugins.html

    Saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *