Una guía para fortalecer su servidor web

Debido a su función, los servidores web son diferentes de muchos otros dispositivos en un entorno de red regular, sino que no solo están expuestos a Internet por diseño, sino que probablemente sirven al tráfico web para completar los extranjeros. Además, en muchas situaciones, los servidores web probablemente sirven aplicaciones dinámicas, como sitios web de WordPress o actúen como proxy para otras aplicaciones internas. Por lo tanto, no es sorprendente que los servidores web sean objetivos interesantes para los atacantes. El fortalecimiento de un sistema se refiere al proceso de mejorar la defensa de un sistema para que sea más difícil para un hacker malicioso comprometer ese sistema y ganar un punto de soporte.
El proceso de fortalecer un servidor web dependerá, por supuesto, del tipo de servidor web que use (por ejemplo, Apache HTTP Server, Nginx, Microsoft IIS …), sin embargo, hay una serie de principios y mejores prácticas básicas Para mejorar la seguridad de su servidor web, debe tener en cuenta independientemente del servidor web que use. Este artículo es una guía de refuerzo del servidor web. En esto, analizaremos una serie de buenas prácticas independientes de tecnología mediante las cuales puede mejorar la seguridad de su servidor web. Para fortalecer WordPress, consulte nuestra Guía de seguridad y refuerzo de WordPress.
1. Mantenga su servidor web actualizado manteniendo el software actualizado puede no sonar como un gran problema, pero la aplicación oportuna del parche de seguridad es, sin duda, una de las defensas más importantes que puede implementar.Además de las mejoras de rendimiento y estabilidad, las actualizaciones del servidor web y el sistema operativo a menudo contienen remedios para vulnerabilidades de seguridad.En la superficie, puede parecer trivial, sin embargo, cualquier profesional en la seguridad de la información le dirá que la corrección es más complicada de lo que parece, no porque instalar la versión más reciente de la mayoría del software sea particularmente difícil, sino porque la corrección siempre se ve . Como algo que se puede posponer.
El mejor enfoque para garantizar que el software de su servidor web se actualice constantemente es encontrar un sistema o rutina que funcione para usted o cualquiera que tenga la tarea de actualizar su servidor web y software el sistema operativo. La mayoría de las veces, se limita a un recordatorio periódico (por ejemplo, estableciendo un evento repetido en el calendario) para el cual hará tiempo. 2. Elimine el software y los módulos innecesarios, aunque no siempre parece así, los servidores web son componentes de software complejos. Algunos servidores web, como Apache HTTP Server, se entregan con una serie de “módulos” (similar a los complementos de WordPress) que puede activar o desactivar según su caso de uso. Se sabe que los atacantes maliciosos usan las características y vulnerabilidades de un módulo de servidor web para recopilar más información sobre su servidor web. Aunque puede no ser la única razón para un ataque exitoso, el propósito de fortalecer el servidor web es adoptar un enfoque de defensa profunda y dificultar que los malos actores obtengan incluso el punto de apoyo más bajo.
Un ejemplo práctico a este respecto son módulos como el servidor Apache HTTP. Este módulo está diseñado para obtener una descripción general de la actividad y el rendimiento del servidor (hosts actuales, el número de solicitudes procesadas, el número de trabajadores inactivos y el uso de CPU) a través de la dirección URL /Servidor-Status. Tal característica puede proporcionar a un atacante una buena indicación de qué tan bien funciona su servidor web: una herramienta bastante útil para un ataque de denegación de servicio (DOS). Del mismo modo, otros programas de software no utilizados que se ejecutan en su servidor web podrían presentar un riesgo inútil. Por ejemplo: ¿ejecuta un servidor FTP como VSFTPD, que no necesita?
¿Existe un agente de transferencia de correo electrónico como Sendmail o Postfix, que ya no necesita? Si está utilizando un servicio de terceros para mejorar la capacidad de entrega de WordPress, no necesitará dicho servicio.
Estas aplicaciones/servicios y más en el servidor son componentes que tienen sus propias características de seguridad, vulnerabilidades y requisitos de corrección.
En resumen, ejecute menos software cuando sea posible. Si no usa un módulo o servicio, debe olvidarse de apagarlo o eliminarlo. Por supuesto, no solo deshabilite solo módulos o aplicaciones sin pruebas exhaustivas en un entorno de desarrollo o capacitación (a veces puede no estar completamente claro que se utiliza un módulo o aplicación de servidor web).

3. Recopile el control de acceso para acceder al acceso a su servidor web es esencial para ser correcto. Después de todo, desea minimizar la posibilidad de que el acceso a su servidor web caiga en manos equivocadas. Las siguientes son una serie de buenas prácticas a seguir en relación con el mantenimiento de un control de acceso adecuado. No use el usuario raíz. Si necesita realizar tareas administrativas, use sudo en su lugar;
Usar contraseñas de sistema sólidos (y WordPress);
Use las teclas SSH en favor de la contraseña cuando use SSH;
Considere la restricción del acceso SSH/RDP desde ciertas direcciones IP;
Habilitar la autenticación de dos factores (2FA) en cualquier cuentas de proveedores de nubes;
Asegúrese de que cada persona que acceda al servidor web tenga su propio usuario: no comparta cuentas de usuario entre usuarios;
Limite el acceso del escritorio shell/ssh/remoto explícitamente a las personas que lo necesitan.
4. Configurar el monitoreo de integridad de archivos (FIM) de monitoreo de integridad de archivos (FIM) ayuda a los administradores del sistema a identificar archivos en un servidor web. Si bien algunos archivos cambian con bastante frecuencia como parte de las operaciones normales del servidor web, los archivos como una instalación de WordPress nunca deben cambiar a menos que un administrador realice cambios (por ejemplo, actualice el wp-config.php) o actualice WordPress en sí.
Aunque hay una multitud de opciones que puede elegir usar cuando se trata de monitorear la integridad de los archivos, se recomienda permanecer con algo que sea específico para la aplicación que realiza, es fácil de configurar y usar y no requiere mucha subvención. De lo contrario, se ahogará en notificaciones sin sentido y antes de darse cuenta, se instalará la fatiga alerta, limpiando su esfuerzo para estar con usted. En resumen, más alertas y funciones no son mejores cuando se trata de FIM, en su lugar, busque una solución que ofrezca el valor más alto con la menor cantidad de gastos generales. Use un servicio de atenuación DDoS y WAF en lugar de exponer su servidor web directamente a Internet, debe considerar usar un servicio como CloudFlare, Akamai o similar para protegerlo contra una amplia gama de ataques, incluidos ataques distribuidos por la negación del servicio ( Ddos). Un ataque de denegación de servicio (DOS) es un tipo de ataque en el que un atacante tiene como objetivo abrumar un sitio web con solicitudes y, como resultado, evitar que su servidor web envíe usuarios legítimos. Además de mitigar el rechazo del servicio, dichos servicios en la nube generalmente ofrecen capacidades web de firewall de aplicaciones web (WAF) que pueden detener muchas aplicaciones web comunes, como SQL (SQLI) e inyección simple de sitios cruzados. Script (XSS). Aunque los WAF no son una solución para las vulnerabilidades de aplicaciones web, ofrecen una cierta protección de explotación, especialmente con reglas de WAF que están optimizadas para los sitios de WordPress.