Proteger la web es muy importante, todo el mundo sabe que una web sin seguridad puede caer fácilmente, pero si añadimos un poco de seguridad esa facilidad se reduce drásticamente.

El problema es que si nos ponemos a buscar por Internet formas de proteger una web encontraran cientos de formas y consejos para ese fin. Entonces…. ¿Hay que hacerlas todas? La respuesta es no.

Sin duda la forma más segura de proteger la web e impedir un hakeo es utilizar claves seguras y con seguras no me refiero a que no se las digamos a nadie sino que sea difícil de descifrar con fuerza bruta. La fuerza bruta es probar todas las combinaciones una por una.

Parece que se vaya a tardar mucho en conseguir descifrar una palabra o un número de cuatro cifras como en los cajeros automáticos pero lo cierto es que en los cajeros automáticos solo disponemos de unos pocos intentos antes de que se trague la tarjeta además de el handicap de tener que teclear los códigos uno por uno. Sería algo así… primer intento 0000 error, segundo intento 0001, error, tercer intento 0002, error. Adiós tarjeta y el sistema de seguridad termina ahí.

Un ordenador (sin límite de intentos) puede probar miles de combinaciones por segundo y es capaz de descifrar una clave sencilla de letras y números en 5 segundos. Y no es coña ni una exageración.

Una clave segura consta de letras mayúsculas, letras minúsculas, números y caracteres especiales como puntos, guiones, interrogantes, etc… Y para rematar que la longitud no sea inferior a 10 caracteres.

Con claves seguras ya tenemos el 50% del trabajo echo en cuestión de proteger la web y tampoco es una exageración. El resto de prácticas para defender una web de un posible hakeo depende mucho de que queremos proteger, pero no es tan importante como tener claves seguras.

Por ejemplo… podríamos crear un archivo htaccess y un archivo htpasswd para proteger el acceso a la sección de administración o a los directorios que deseemos proteger pero no serviría de nada si el haker consigue la clave de acceso por ftp o la de la base de datos de mysql.

Con acceso a la base de datos un hacker podría cambiar el contenido de una web como poco, puede cambiar tareas programadas y colapsar el servidor, puede borrar complemente la base de datos dejando la web sin contenido y eliminar las configuraciones de las aplicaciones php y por lo tanto dejar la web sin funcionamiento.

¿Qué claves cambiar por claves seguras? La respuesta es todas. Normalmente cuando compramos un dominio y lo alojamos en un hosting este hosting no asigna un nombre de usuario y una clave de acceso. Esa es la más importante de todas y la primera que hay que cambiar por una clave segura. Después de esa las más importantes son la clave de acceso de FTP y/o SFTP, la de la base de datos de MySQL (en caso de que la web funcione con base de datos) y la de acceso a la sección de administración de la web (en caso de que no sea una web estática).

Por tanto:

  1. Clave de acceso al hosting
  2. Clave de acceso de FTP y/o SFTP
  3. Clave de acceso a la base de datos
  4. Clave de acceso a la sección de administración de la web

Podíamos llenar la web de la mejor seguridad y no serviría de nada si el haker supiera la clave de acceso de ftp y la ip del equipo que administra la web (ver como proteger el acceso a la web por ip),

Entonces la conclusión es clara y ya no os parece una tontería que con poner claves seguras tengamos el 50% del trabajo echo, ¿verdad?

En mi opinión si utilizando claves seguras ya tenemos echa la mitad del trabajo… eso significa que haciendo todo lo demás cubriríamos el otro 50% y la web estaría totalmente blindada pero esas prácticas conllevan muchísimo más trabajo que poner una contraseña. ¿No?