Los sitios web de comercio electrónico siguen siendo las principales víctimas de ciberataques y dado que los servidores virtuales o VPS son la solución preferida en los segmentos de ecommerce y venta online, estos deben convertirse en el factor principal de defensa de este tipo de ataques.
Cuando contratas un VPS a un proveedor confiable, este puede ser un gran recurso tanto en términos de seguridad y precio, pero hay ciertos puntos esenciales para contar con la seguridad óptima que un VPS o servidor virtual puede llegar a ofrecer.
Control de acceso
El primer paso para la creación de entorno de alojamiento estable es la de regular las funciones de configuración y administración de servidores. Al recibir el acceso al servidor VPS, es crucial para los administradores configurar los nombres de usuario y contraseñas para todas las cuentas que se utilizarán para su gestión.
Generar contraseñas seguras y definir los nombres de usuarios son algunas de las actividades iniciales que los administradores de TI deben regular en ambientes donde se permite a varias personas acceder al servidor.
En los servidores basados en Linux, los diferentes usuarios se pueden asignar los roles de sudoers, los que le asignan ciertos privilegios, mientras que en base Hosting Windows esto se hace mediante la adición de usuarios a grupos de escritorio remoto.
Aquí, debes asegurarte de quitar el acceso remoto de las cuentas de administrador por defecto para minimizar las opciones de acceso no autorizado. De esta manera, sólo las cuentas con permisos suficientes serán capaces de gestionar las áreas críticas.
Instalación Firewall
Para permitir el acceso al servidor sólo desde lugares o puertos particulares, se debe ejecutar un servidor de seguridad que controle el tráfico y el acceso remoto. Aunque muchos usuarios no tendrían la opción de configurar el acceso sólo para una IP en particular o un servicio de acceso remoto, algunos pueden decidir habilitar el acceso en todo el mundo con el fin de tener la oportunidad de manejarlo a través de múltiples dispositivos y desde diferentes lugares.
Una herramienta útil para la gestión de la configuración de seguridad del servidor y firewall es ConfigServer Security and Firewall.
Asegura MySQL
Otro paso fundamental para prevenir los ataques maliciosos es asegurar el sistema MySQL para no permitir a los hackers leer las bases de datos del servidor. Aunque el tráfico entre el cliente y el servidor de MySQL es seguro, toda la información se transfiere en forma de texto y, por tanto, es legible por cualquier persona que potencialmente explore el tráfico.
Para asegurar el sistema MySQL te recomendamos lo siguiente:
– Todas las cuentas MySQL se accede a través de contraseñas seguras (mínimo 10 caracteres, mezcla de, números, caracteres superior / inferior de sintaxis)
– Administrar privilegios de forma eficiente, es decir, no se les conceda a nadie más que a los usuarios administradores. Esto también va para otros privilegios, como process y super.
Configuración del servidor web y PHP
Independientemente del servidor web que utilices, es posible que desees desactivar diferentes métodos o propiedades de indexación para garantizar el máximo control sobre el tráfico de su servidor transmite.
Con PHP, por otro lado, las características clave de seguridad deben establecerse después de comprobar configuraciones inseguras de PHP. Una de las maneras de hacerlo es utilizar un script como PHP Configuration Checker Secure o PCC, que evalúa el estado de php.ini y otros temas relacionados.