Seguridad del sitio web: ¿debería contratar a un desarrollador? [cerrado]

Navega tus respuestas
16

Voy a crear un nuevo sitio web con Joomla! 3.

Potencialmente, este sitio me dará algo de dinero a través de anuncios, pero estoy un poco preocupado por lo que se podría hacer para atacarlo. Digo un poco porque no espero grandes ingresos y no creo que alguien intente sobornarme para que les dé el control de mi sitio (como sucedió con el propietario de la cuenta de Twitter de @N), pero al momento de negociar con sombreros negros que nunca conoces.

No necesito proporcionar autenticación pública o hacer que otras personas que no sean yo ingresen datos en este sitio web (podría aceptar entradas por correo y copiarlas y pegarlas manualmente después de verificar su contenido, ya que deseo que la calidad de escritura sea bueno y consistente con el resto del sitio).

Voy a utilizar Joomla gratis! Temas: los básicos incluidos en la instalación estándar podrían funcionar bien.

¿Existe alguna amenaza de la que yo, como noob de seguridad que entienda un poco sobre cómo funciona Internet (digamos lo suficiente para entender a Heartbleed), sea absolutamente necesario protegernos?

¿Debería contratar a un desarrollador profesional para mi proyecto, o hay algunas cosas que debería hacer para proteger mi sitio de forma razonable (por lo que no vale la pena el pirateo) sobre lo que podría aprender en, por ejemplo, menos de un mes de un 8/5 tiempo libre de los trabajadores?

    
pregunta Zachiel 02.03.2016 - 12:07
fuente

2 respuestas

36

Lo más importante que debe hacer cuando usa aplicaciones de terceros como Joomla! es mantenerlas siempre actualizadas. La mayoría de los ataques están dirigidos a las vulnerabilidades que fueron reparadas hace mucho tiempo y solo afectan a aquellas personas que descuidan la actualización. Así que cree un recordatorio regular en su calendario para verificar si hay una actualización disponible para Joomla (así como los temas y complementos que está ejecutando) e instálela. Actualizar Joomla es muy simple, ya que se puede hacer desde la interfaz de administración. No necesitas ninguna habilidad avanzada de TI para hacer eso. ¡Pero es muy importante hacer esto regularmente!

Tenga cuidado con los complementos, temas, extensiones y otros complementos que no lanzaron ninguna actualización durante mucho tiempo. Significa que el complemento es perfecto y no tiene problemas de seguridad, o que al desarrollador simplemente no le importa lanzar más actualizaciones para corregir las vulnerabilidades de seguridad. Pero el último caso es mucho, mucho más probable. También debe consultar la Lista de extensiones vulnerables y evitar todo lo que aparece en la lista.

Para obtener más información, consulte las Preguntas frecuentes sobre seguridad y rendimiento en la wiki de Joomla.

En realidad, esto se aplica no solo a una aplicación como Joomla sino a toda la pila de software, desde el sistema operativo al servidor web, PHP a MYSQL. El sistema operativo y el servidor web también deben configurarse de forma segura. Pero cuando utiliza una solución alojada, es probable que el proveedor se ocupe de todo, excepto de las aplicaciones que instale, por lo que es probable que no tenga que preocuparse por eso.

Pero es algo diferente cuando alquilas un servidor virtual que te proporciona un sistema operativo desnudo (o ni siquiera eso) y espera que configures todo por tu cuenta. En ese caso usted es responsable de actualizar todo. Cuando requiera esto para su proyecto, debe considerar contratar a alguien que sepa cómo reforzar un servidor adecuadamente, quién sabe qué componentes deben actualizarse y cómo se hace esto. Pero la persona que busca no es un desarrollador de software. Es un administrador del sistema .

    
respondido por el Philipp 02.03.2016 - 14:38
fuente
4

Esto es muy subjetivo y la respuesta es una pregunta, ¿cuánto valora su sitio? tener un profesional que desarrolle su sitio no significa que sea seguro, los profesionales desarrollan sitios que también han tenido infracciones masivas.

Como desarrollador, diría que un desarrollador sería mejor si busca calidad, y sí, la seguridad también puede ser mejor, pero hay muchos pasos que puede tomar al desarrollar un sitio para garantizar que el sitio web sea seguro. .

Si sigue las 10 vulnerabilidades más comunes de OWASP y las detiene, se encuentra mejor que en muchos sitios web más pequeños en Internet, la mayoría de sus problemas estarán relacionados con SSL e inyecciones como (pero no se limitarán a):

  1. Sangrado del corazón (SSL)
  2. DROWN (SSL)
  3. XSS (inyección)
  4. SQL (inyección)
  5. Ejecución de código / datos arbitrarios (inyección)

Estos 5 están en mi opinión en cualquier aplicación web, la PENA pesadilla, ¡pero también es fácil de no dejar pasar!

Summary

¿Necesita un experto en seguridad? Sería útil y si crees que vale la pena, entonces sí lo haces, si no crees que valga la pena, entonces no, no lo harás.

¿Necesita un desarrollador profesional? No, aunque sí por calidad y seguridad razonable.

¿Puedes protegerte? Sí, por supuesto, al menos en cierta medida.

¿Puedes aprender lo suficiente dentro de tus limitaciones de tiempo? No hay problema.

Obviamente, todo esto está relacionado con la aplicación web SOLAMENTE y no con el servidor en el que está alojado.

    
respondido por el TheHidden 02.03.2016 - 12:44
fuente

Lea otras preguntas en las etiquetas

¿La validación del certificado se hace completamente local? ¿Es legal registrar contraseñas de inicios de sesión fallidos?