Creé un sitio web mediante la contratación externa. ¿Cómo puedo estar seguro de la seguridad del sitio web?

Si bien cada sitio web es diferente según el entorno de alojamiento, el código utilizado y otras consideraciones, ya sea que su sitio web tenga información confidencial almacenada en su base de datos o no, a continuación encontrará pautas generales para ayudarlo:
1- consulte con su proveedor de alojamiento y pregunte si hay un firewall instalado.
2- verifique con su codificador si los formularios están asegurados. Los formularios son el lugar más fácil donde los hackers (o hackers novatos) pueden acceder a su base de datos
3- verifique el código si hay una puerta trasera instalada, esto se puede verificar ejecutando un programa antivirus en sus archivos.
4- verifique con su codificador que las contraseñas estén encriptadas y no sean fácilmente accesibles en texto sin formato
5- si tiene información confidencial en su sitio web, asegúrese de instalar un ssl
6- encuentre un experto en seguridad para auditar su sitio web y cerrar cualquier agujero.

Espero que lo anterior sea útil.

Esto depende del tipo de vulnerabilidad que sospeche. Por ejemplo, si su sitio tiene ciertas transacciones de pago, observe si cumple con las normas de cumplimiento PCI-DSS.

Algunas preguntas para hacer:

  1. ¿Cómo se protegen sus datos?
  2. ¿Cuál es su política de creación de contraseñas?
  3. ¿Cómo se almacenan los datos protegidos?
  4. ¿Están cifrados los datos que viajan a través de redes públicas?
  5. Qué política de seguridad de la información se mantiene.

EN OTRA NOTA, las pautas de OWASPS son una de las mejores a seguir y con sus herramientas de prueba puede verificar algunas de las vulnerabilidades

Para hacer el trabajo preliminar inicial, puede usar sitios de vulnerabilidad en línea gratuitos y luego contar con la asistencia de entidades como utest.

¡Mis 2 centavos!

Mrinal Singh | LinkedIn

Aqui esta mi experiencia

Recientemente, mi equipo implementó un proyecto en el servidor del cliente. Al igual que cualquier otro equipo de desarrollo, mi equipo usó un nombre de usuario y una contraseña muy fáciles para el panel de administración del sitio de WordPress para fines de desarrollo, por supuesto, también usamos FTP, cPanel de ese servidor.
Una vez que el proyecto se terminó como una práctica estándar, le aconsejé a mi cliente que cambiara las Credenciales del Panel de administración, FTP y cPanel.
El cliente que había estado en el negocio de TI durante casi una década realmente apreció mis consejos y me contó una historia en la que era la víctima. Contrató a un desarrollador, le pagó una cantidad considerable para desarrollar una aplicación. Una vez que el proyecto se terminó e implementó, no se molestó en cambiar las credenciales del usuario administrador, que el desarrollador había estado utilizando durante la implementación.
Un día, su sitio fue pirateado, tuvo que pasar por un proceso largo y doloroso para que el sitio volviera a su estado original.
Si pudieras adoptar el siguiente proceso, puedes evitar estar en una situación como esta.

1. Cambie siempre las credenciales de los usuarios administradores del sitio, lo mejor es que simplemente pueda eliminar el usuario creado por el desarrollador durante el desarrollo.
2. Revise cuidadosamente cPanel y verifique que los usuarios tengan PHPMyAdmin, FTP: cambie las credenciales de todos los usuarios.
3. Siempre solicite al desarrollador que le proporcione archivos de código y script db, incluso si su desarrollador ha implementado el sitio en su servidor.
4. Utilice la Búsqueda de imágenes de Google para verificar si el diseño / banner / logotipo es el trabajo original del desarrollador / diseñador para evitar cualquier demanda posterior.

Una vez que verifique que todo está bien, marque el proyecto como completado, deje la revisión de acuerdo con la calidad del trabajo.

Siempre realice el mismo procedimiento, incluso si su desarrollador está haciendo los cambios menores.

Sus sugerencias y comentarios serán apreciados, no olvide agregar más puntos en sus comentarios.

Gracias,

Raheel Afzal

Puede solicitar a un tercero una auditoría de seguridad de “sombrero negro”. Básicamente, harán todo lo posible para entrar en su sitio web, pero se abstendrán de hacer ningún daño.
Es posible que desee estipular que pagará una cantidad mínima por el trabajo en sí, pero pagará una bonificación interesante por cada problema distinto que encuentren los piratas informáticos.
Descubrirá que hay bastantes vendedores de aceite de serpiente que simplemente ejecutarán un software estándar que se supone que verificará cualquier posible error. Tal prueba no es digna de su tiempo y su dinero, porque los resultados siempre están llenos de “falsos positivos”, es decir, advertencias que no tienen utilidad práctica alguna. Cuando escriba la descripción de su trabajo, debe especificar que está buscando administradores y programadores expertos del sistema, que utilizarán su experiencia en la búsqueda de errores reales, y no está interesado en “script kiddies”, que es el nombre despectivo para cualquiera que solo ejecutará un software escrito por otra persona sin una comprensión real de los problemas.
Un buen criterio: esté dispuesto a pagar si los piratas informáticos encuentran una manera de guardar archivos en su servidor web, almacenar datos en tablas de su base de datos teóricamente inaccesibles, desenterrar contraseñas, volcar la lista de usuarios registrados, ralentizar el servidor … Cosas como esas son Síntomas concretos de problemas en la configuración de su software, se le pueden demostrar fácilmente incluso si usted no es un ingeniero de software.

Debes concentrarte en:

1. Seguridad social
2. Seguridad del servidor y
3. Código del sitio web / seguridad de la base de datos.

No dude en enviarme los detalles del sitio web a: [correo electrónico protegido] y haré que nuestro equipo realice la auditoría.

¡Feliz de ayudar!

More Interesting

Tengo un restaurante de comida en Mumbai. Deseo vender en línea a todos en Mumbai. ¿Cuánto me costará crear un sitio web y una aplicación similar a Domino's Pizza en India?

Configuré un sitio web y usé un diseño de arranque. ¿Cuáles son las áreas que necesitan mejoras?

Quiero iniciar un sitio web como SitePoint. ¿Cuáles son los requisitos previos y por dónde empiezo?

¿Por qué la clasificación de mi sitio web cayó repentinamente?

¿Cómo se pueden hacer buenos backlinks?

Cómo crear un gran sitio web independiente

No tengo nada que hacer en el trabajo. Tengo internet a mi disposición. ¿Para qué lo usaré?

Tengo un sitio web de WordPress y algunos piratas informáticos inyectaron un código Javascript en mi sitio web y ahora hay muchos anuncios a pesar de que todavía no he colocado ningún anuncio en mi sitio web. ¿Qué puedo hacer al respecto?

¿Cuál es el mejor complemento de WordPress freemium para mejorar la velocidad de carga y el rendimiento general del sitio?

Si creo un sitio web en torno a alquileres de oficinas, ¿qué sería necesario para obtener listados?

¿Por qué necesito un sitio web profesional?

Tengo una idea para un sitio web, con una idea para eventualmente tener un flujo de efectivo fuera de él. Sin embargo, mis habilidades son insuficientes para construirlo y no tengo dinero para contratar a alguien, ¿cuál es mi mejor punto de partida?

Cómo asegurar imágenes en mi sitio web

Quiero construir un sitio web. ¿Cuál es alguna guía para hacer un sitio web?

Dirijo un sitio web que habla principalmente sobre problemas de seguridad de Internet y software de seguridad de Internet. ¿Cómo puedo generar ingresos del sitio?