7 mejores prácticas para proteger un sitio web estático

Los sitios web estáticos almacenan contenido ya renderizado, por lo que no necesitan acceder a ninguna base de datos, ejecutar scripts complejos o depender de un motor de tiempo de ejecución cada vez que un usuario solicita una página.

Eso se traduce en claras ventajas en tiempos de carga y seguridad: las páginas estáticas ahorran mucho tiempo en el servidor y tienen menos vulnerabilidades. Eso, a su vez, significa que los motores de búsqueda clasificarán las páginas estáticas mejor que sus equivalentes dinámicos.

Los expertos en SEO recurren al contenido estático siempre que pueden, para competir mejor en un mundo en el que una fracción de segundo puede marcar la diferencia entre el éxito total y el fracaso total. La implementación de contenido estático se ha convertido en una palabra de moda entre los estrategas de marketing, y al personal de TI le encanta tener un lugar menos vulnerable al que vigilar.

Pero tenga cuidado, no son 100% a prueba de piratería, por lo que si planea implementar contenido estático en su sitio web, existen algunas prácticas recomendadas que debe seguir para mantenerlo protegido.

Encabezados de seguridad son un subconjunto de encabezados de respuesta HTTP, un paquete de metadatos, códigos de error, reglas de caché, etc. que el servidor web agrega al contenido que sirve, diseñado para indicarle al navegador qué hacer y cómo manejar el contenido que recibe. No todos los navegadores admiten todos los encabezados de seguridad, pero hay un pequeño conjunto que es bastante común y proporciona medidas de seguridad básicas para evitar que los piratas informáticos aprovechen las vulnerabilidades.

X-Frame-Options: SAMEORIGIN

El encabezado X-Frame-Options está destinado a deshabilitar o mitigar los riesgos impuestos por iframes en su sitio. Los piratas informáticos pueden utilizar los iframes para capturar clics legítimos y dirigir a los visitantes a cualquier URL que deseen. Hay diferentes formas de prevenir el uso indebido de iframes.

La mejor práctica recomendada por OWASP (Open Web Application Security Project) sugiere usar este encabezado con el MISMO ORIGEN parámetro, que permite el uso de iframes solo por alguien del mismo origen. Otras opciones son DENY, para deshabilitar los iframes por completo, y PERMITIR DESDE, para permitir que solo URL específicas coloquen páginas en iframes.

Consulte la guía de implementación para APACHE y Nginx.

Protección X-XSS: 1; modo = bloque

El encabezado X-XSS-Protection está diseñado para proteger los sitios web de secuencias de comandos entre sitios. Esta función de encabezado se puede implementar de dos maneras:

El primero es más permisivo, filtra los scripts de la solicitud al servidor web, pero representa la página de todos modos. La segunda forma es más segura ya que bloquea toda la página cuando se detecta un script X-XSS en la solicitud. Esta segunda opción es la mejor práctica recomendada por OWASP.

Opciones de tipo de contenido X: nosniff

Este encabezado evita el uso de MÍMICA "Olfateo": una función que permite al navegador escanear el contenido y responder de manera diferente a lo que indica el encabezado. Cuando este encabezado está presente, el navegador debe establecer el tipo de contenido según las instrucciones, en lugar de inferirlo "olfateando" el contenido de antemano.

Si aplica este encabezado, debe verificar que sus tipos de contenido se apliquen correctamente en cada página de su sitio web estático.

Tipo de contenido: texto / html; charset = utf-8

Esta línea se agrega a los encabezados de solicitud y respuesta para páginas HTML desde la versión 1.0 del protocolo HTTP. Establece que todas las etiquetas se renderizan en el navegador, mostrando el resultado en la página web.

Use TLS certificates

Un certificado SSL / TLS es imprescindible para cualquier sitio web porque permite al servidor web cifrar los datos que envía al navegador web a través del protocolo seguro HTTPS. De esa forma, si los datos son interceptados en su recorrido, serán ilegibles, lo cual es fundamental para proteger privacidad del usuario y asegurar el sitio web. Un sitio web estático no almacena la información personal de sus visitantes, pero es esencial que la información que solicitan no pueda ser vista por observadores no deseados.

El uso de encriptación por parte de un sitio web es necesario para que la mayoría de los navegadores web lo marquen como un sitio seguro y es obligatorio para los sitios web que buscan cumplir con el Reglamento General de Protección de Datos (GDPR) de la UE. La ley no establece específicamente que se deba utilizar un certificado SSL, pero es la forma más sencilla de cumplir con los requisitos de privacidad del reglamento.

En términos de seguridad, la Certificado SSL permite a las autoridades verificar la propiedad de un sitio web y evitar que los piratas informáticos creen versiones falsas del mismo. El uso de un certificado SSL permite al visitante del sitio web comprobar la autenticidad del editor y estar seguro de que nadie puede espiar sus actividades en el sitio web.

La buena noticia es que el certificado no cuesta mucho. De hecho, puedes conseguirlo GRATIS desde CeroSSL o compre uno premium en Tienda SSL.

Deploy DDoS protection

Los ataques de denegación de servicio distribuido (DDoS) son cada vez más comunes en la actualidad. En este tipo de ataque, se utiliza un conjunto de dispositivos distribuidos para abrumar a un servidor con una avalancha de solicitudes, hasta que se satura y simplemente se niega a funcionar. No importa si su sitio web tiene contenido estático: su servidor web podría convertirse fácilmente en víctima de un ataque DDoS si no toma las medidas necesarias.

La forma más sencilla de implementar la protección DDoS en su sitio web es hacer que un proveedor de servicios de seguridad se encargue de todas las amenazas cibernéticas. Este servicio proporcionará detección de intrusiones, servicios antivirales, escaneo de vulnerabilidades y más, por lo que prácticamente no tiene que preocuparse por ninguna amenaza.

Una solución tan completa podría ser costosa, pero también existen soluciones más enfocadas con costos más bajos, como la Protección contra DDoS como servicio (DPaaS). Debe preguntar a su proveedor de alojamiento si ofrece dicho servicio.

Las soluciones más asequibles son protección DDoS basada en la nube servicios, como los que ofrece Akamai, Sucurio Cloudflare. Estos servicios brindan detección y análisis tempranos de ataques DDoS, y filtran y desvían esos ataques, es decir, desvían el tráfico malicioso fuera de su sitio.

Al considerar una solución anti-DDoS, debe prestar atención a su capacidad de red: este parámetro indica cuánta intensidad de ataque puede soportar la protección.

Avoid Vulnerable JavaScript Libraries

Incluso si su sitio web tiene contenido estático, podría utilizar Librerías JavaScript que imponen riesgos de seguridad. En general, se considera que el 20% de esas bibliotecas hacen que un sitio web sea más vulnerable. Afortunadamente, puede utilizar el servicio proporcionado por Base de datos de vulnerabilidad para comprobar si una biblioteca en particular es segura o no. En su base de datos, puede encontrar información detallada y orientación para muchas vulnerabilidades conocidas.

Además de verificar una biblioteca en particular en busca de vulnerabilidades, puede seguir esta lista de mejores prácticas para las bibliotecas de JavaScript que proporcionarán solución a sus riesgos potenciales:

Implement Backup Strategy

Un sitio web estático siempre debe tener una copia de seguridad de su contenido de forma segura cada vez que se cambia. Las copias de seguridad deben almacenarse de forma segura y ser de fácil acceso en caso de que necesite restaurar su sitio web en caso de un bloqueo. Hay muchas formas de hacer una copia de seguridad de su sitio web estático, pero en general, se pueden clasificar en manual y automático.

Si el contenido de su sitio web no cambia con mucha frecuencia, una estrategia de copia de seguridad manual puede ser adecuada; solo debe recordar hacer una nueva copia de seguridad cada vez que realice un cambio en el contenido. Si tienes un panel de control para administrar tu cuenta de hosting, es muy probable que dentro de ese panel de control, encuentres una opción para realizar copias de seguridad. De lo contrario, siempre puede usar un cliente FTP para descargar todo el contenido del sitio web a un dispositivo local donde puede mantenerlo seguro y restaurarlo si es necesario.

Por supuesto, la opción de copia de seguridad automática es preferible si desea mantener las tareas de administración de su sitio web al mínimo. Pero los proveedores de alojamiento suelen ofrecer copias de seguridad automáticas como características premium, lo que aumenta el costo total de mantener su sitio web seguro.

Puede considerar usar almacenamiento de objetos en la nube para la copia de seguridad.

Use a Reliable Hosting Provider

Un servicio de alojamiento web confiable es necesario para garantizar que su sitio web funcione sin problemas y con rapidez, pero también para estar seguro de que no será pirateado. La mayoría de las revisiones de alojamiento web le mostrarán cifras y comparaciones sobre velocidad, tiempo de actividad y soporte al cliente, pero al considerar la seguridad del sitio web, hay algunos aspectos que deben observarse cuidadosamente y que debe consultar a su proveedor antes de contratar su servicio:

Primero eche un vistazo al sitio web de la página plataforma confiable de alojamiento de sitios estáticos.

Enforce a Strong Password Policy

Dado que un sitio estático no tiene una base de datos o un sistema de contenido administrado, tiene menos nombres de usuario y contraseñas para administrar. Pero aún debe aplicar una política de contraseña para las cuentas de hosting o FTP que usará para actualizar el contenido estático.

Las buenas prácticas para contraseñas incluyen, entre otras:

Además, la contraseña predeterminada para las cuentas administrativas debe cambiarse desde el principio; este es un error común que los piratas informáticos pueden aprovechar fácilmente. No tenga miedo de perder la contraseña; usar una administrador de contraseñas para gestionarlos de forma segura.

Pongámonos estáticos

Hace unos años, el contenido dinámico era el camino a seguir: todo podía cambiarse y actualizarse fácilmente, lo que permitía rediseñar todo un sitio web en segundos. Pero entonces, velocidad se convirtió en la máxima prioridad y el contenido estático de repente volvió a ser genial.

En ese sentido, todas las prácticas de seguridad de los sitios web deben reevaluarse; seguro que hay menos aspectos a considerar, pero no debe relajarse del todo. Esta lista de mejores prácticas seguramente lo ayudará a crear su propia lista de verificación para mantener su sitio web estático sano y salvo.