WordPress, Jommla, Drupal.Seguridad en los sistemas de gestión

Los sitios Web construidos con los populares sistemas de gestión de contenidos de código abierto, elegidos por su bajo coste de implantación son especialmente vulnerables a los hackers, y en muchos casos su seguridad y mantenimiento son descuidados por sus propietarios. Si es responsable del mantenimiento de uno de ellos, o si es el propietario que aprueba el presupuesto para IT de su empresa, debe conocer el contenido de este libro. En él encontrará toda la información relativa a las amenazas de seguridad, cómo se llevan a cabo los ataques, qué medidas preventivas debe adoptar y cómo elaborar un plan de recuperación ante desastres. Descubrirá los aspectos de seguridad y operaciones que, a menudo, pasa por alto, ocasionando desastres como, caídas de red, violaciones de seguridad o excesivos costes financieros.Agradecimientos Sobre el autor Sobre el autor técnico Introducción Visión general del libro y tecnología Organización del libro A quién va dirigido este libro Herramientas necesarias Resumen 1. Introducción a la seguridad en CMS Objetivo alcanzado Consideraciones operacionales Formación a los empleados y usuarios Concienciar sobre la importancia de la seguridad Formación en políticas de seguridad de la información Protocolo estándar para informar de amenazas Seguridad en el correo electrónico Aplicar parches y actualizaciones Ser consciente y mantener la seguridad Observar nuestro sitio con los ojos de un hacker Pasos para acceder a un sitio Investigación Google Herramientas de hacking de Google (Dorks) Buscar huellas Utilizar NMAP con fines maliciosos Traceroute Encontrar subdominios Enumeración Atacar y apropiarse del sitio Borrar huellas Ejemplos de amenazas Ingeniería social Llamadas a la oficina Enviar a un amigo de confianza Lápices USB Navegación indiscriminada o mensajería instantánea Medios externos Terceros o clientes externos como amenaza Examinar el perímetro Protección antivirus Contraseñas en las mesas Obligación de complejidad de la contraseña y política de cambio Política de acceso inalámbrico Herramientas para la detección de accesos inalámbricos ¿Cómo respondería ante un incidente? ¿Tiene un plan? ¿Está actualizado el plan? ¿Dónde están sus cintas, discos y USB de seguridad? Resumen 2. Elegir el alojamiento adecuado Tipos de alojamiento disponibles Alojamiento compartido VPS (Virtual Private Server, Servidor privado virtual) Servidor dedicado Alojamiento en la nube Seguridad de datos en la nube Elegir la opción adecuada de alojamiento Consideraciones presupuestarias Determinar el tamaño de servidor adecuado Caso 1: Nivel bajo de tráfico en el sitio Web (alojamiento compartido) Caso 2: Nivel medio de tráfico en el sitio Web (VPS) Caso 3: Nivel alto de tráfico en el sitio Web Copias de seguridad En qué debe consistir la seguridad del alojamiento Seguridad física Ventanas de cristal Inundaciones Señales indicativas Personas Rebuscadores de basura e ingeniería social Reacción ante ataques Terrorismo Acceso a los equipos Detección de agua Extinción de incendios Procedimientos de emergencia Recuperación ante desastres y continuidad del negocio Ciberseguridad Firewall y detección de intrusos Auditoría de archivos de registro Correo no deseado, detección de virus y prevención Parches para puntos débiles VoIP Servidores Web Mantenimiento ambiental Redundancia de redes Servicio eléctrico Servicio técnico Plan de emergencia para el host Ubicación del centro de datos del host Procesos Copias de seguridad Procedimientos externos Aceptar tarjetas de crédito en el sitio Web Fundamentos de PCI Terminología PCI Certificación PCI Instalar un certificado SSL Pruebas del ASV Elección de un carrito de compras Almacenamiento seguro de datos Plan PCI de gestión de vulnerabilidades Prevenir riesgos habituales en las pruebas del ASV Tras la certificación Servidores de DNS Comprender el DNS Amenazas al DNS Fallo del DNS (servidor de nombres) Transferencias de zona Servidores DNS sin parchear Envenenamiento del DNS Alojar su propio servidor Web Prepararse Elaborar la lista de la compra Elegir un sistema operativo Garantizar la seguridad Parches Resumen 3. Prevenir problemas antes de que aparezcan Elección de un CMS apropiado para nuestras necesidades Tomar las decisiones empresariales correctas Joomla! Drupal WordPress Plone ¿Qué CMS ofrece mayor seguridad? Cuatro factores a considerar desde el punto de vista empresarial Consideración de los costes de desarrollo Asistencia Planificación previa Desarrollo en un servidor Desarrollo en el escritorio Instalación de diferentes CMS Instalación de Joomla! 1.5 Instalación de Joomla! 1.6 Instalación de Drupal Después de la instalación Permisos Instalación de Plone Instalación básica de Zope Otros recursos Instalación de WordPress Plug-in opcional de seguridad para WordPress Alojamiento compartido Seguridad avanzada después de la instalación Limpieza y verificaciones antes de la publicación Resumen 4. Punto de partida de su sitio Web actual Establecer el punto de partida Inventario Documentación CMS Red Servidor Escritorios Cuándo utilizar el informe de punto de partida Identificación de áreas conflictivas Comprobar el sistema operativo y los complementos Comprobar add-ons externos del CMS Joomla! Drupal Plone WordPress Vulnerabilidades de hardware Equipos de red Impresoras Desvelar peligros ocultos a través del sondeo de vulnerabilidad Herramienta Nmap Instalación de Nmap Usar Nmap Herramienta Nessus Configurar y ejecutar Nessus Interpretación de resultados Herramientas de sondeo de virus Resolución de problemas Categorización y establecimiento de prioridades Parcheo de agujeros de seguridad Informar de problemas a la compañía de alojamiento Resumen 5. Asegurar el servidor frente a los ataques Contraseñas seguras Archivo shadow password Contraseñas que caducan Identificar contraseñas predefinidas Configuración segura del sistema operativo Linux Cambiar el mensaje de acceso Yum Comandos Yum básicos Actualización del servidor con Yum Debian Linux Establecer permisos de archivo Permisos representados como números octales Archivos críticos de contraseña Archivos world-writeable Archivos ejecutables SUID/SGID no autorizados Archivos huérfanos Revisión del acceso al disco Deshabilitación de servicios innecesarios Asegurar un servidor Apache Configuración segura de Apache Deshabilitar o establecer servicios adecuados ModSecurity segurar SNMP Configuración Deshabilitación Configuración segura de PHP suPHP phpinfo PhpSecInfo php.ini Identificar puertos abiertos Asegurar puertos de comunicación FTP Riesgos de FTP Firewalls Ejecución de comando remoto Ataque bounce Privacidad Protección de nombres de usuario Errores habituales en FTP FTP anónimo Contraseñas débiles Conceptos equivocados de seguridad Versiones alternativas de FTP VSFTP Pure-FTPd Asegurar puertos de comunicación SFTP Registro seguro Registro de VSFTP Syslog Registros de acceso Registros de seguridad cPanel Logrotate Seguridad de los archivos de registro SSL Cómo funciona SSL Cuándo utilizar SSL Obtención de un certificado Autoemisión de certificados Instalar un certificado Trabajar con la compañía de alojamiento Instalación del propio certificado SSL Otras tareas de endurecimiento Packet sniffing o captura de paquetes Securing SMTP Transferencias de zona Seguridad física del equipo Resumen 6. Elaborar un plan factible de recuperación ante desastres Plan