Agradecimientos
Sobre el autor
Sobre el autor técnico
Introducción
Visión general del libro y tecnología
Organización del libro
A quién va dirigido este libro
Herramientas necesarias
Resumen
1. Introducción a la seguridad en CMS
Objetivo alcanzado
Consideraciones operacionales
Formación a los empleados y usuarios
Concienciar sobre la importancia de la seguridad
Formación en políticas de seguridad de la información
Protocolo estándar para informar de amenazas
Seguridad en el correo electrónico
Aplicar parches y actualizaciones
Ser consciente y mantener la seguridad
Observar nuestro sitio con los ojos de un hacker
Pasos para acceder a un sitio
Investigación
Google
Herramientas de hacking de Google (Dorks)
Buscar huellas
Utilizar NMAP con fines maliciosos
Traceroute
Encontrar subdominios
Enumeración
Atacar y apropiarse del sitio
Borrar huellas
Ejemplos de amenazas
Ingeniería social
Llamadas a la oficina
Enviar a un amigo de confianza
Lápices USB
Navegación indiscriminada o mensajería instantánea
Medios externos
Terceros o clientes externos como amenaza
Examinar el perímetro
Protección antivirus
Contraseñas en las mesas
Obligación de complejidad de la contraseña y política de cambio
Política de acceso inalámbrico
Herramientas para la detección de accesos inalámbricos
¿Cómo respondería ante un incidente?
¿Tiene un plan?
¿Está actualizado el plan?
¿Dónde están sus cintas, discos y USB de seguridad?
Resumen
2. Elegir el alojamiento adecuado
Tipos de alojamiento disponibles
Alojamiento compartido
VPS (Virtual Private Server, Servidor privado virtual)
Servidor dedicado
Alojamiento en la nube
Seguridad de datos en la nube
Elegir la opción adecuada de alojamiento
Consideraciones presupuestarias
Determinar el tamaño de servidor adecuado
Caso 1: Nivel bajo de tráfico en el sitio Web (alojamiento compartido)
Caso 2: Nivel medio de tráfico en el sitio Web (VPS)
Caso 3: Nivel alto de tráfico en el sitio Web
Copias de seguridad
En qué debe consistir la seguridad del alojamiento
Seguridad física
Ventanas de cristal
Inundaciones
Señales indicativas
Personas
Rebuscadores de basura e ingeniería social
Reacción ante ataques
Terrorismo
Acceso a los equipos
Detección de agua
Extinción de incendios
Procedimientos de emergencia
Recuperación ante desastres y continuidad del negocio
Ciberseguridad
Firewall y detección de intrusos
Auditoría de archivos de registro
Correo no deseado, detección de virus y prevención
Parches para puntos débiles
VoIP
Servidores Web
Mantenimiento ambiental
Redundancia de redes
Servicio eléctrico
Servicio técnico
Plan de emergencia para el host
Ubicación del centro de datos del host
Procesos
Copias de seguridad
Procedimientos externos
Aceptar tarjetas de crédito en el sitio Web
Fundamentos de PCI
Terminología PCI
Certificación PCI
Instalar un certificado SSL
Pruebas del ASV
Elección de un carrito de compras
Almacenamiento seguro de datos
Plan PCI de gestión de vulnerabilidades
Prevenir riesgos habituales en las pruebas del ASV
Tras la certificación
Servidores de DNS
Comprender el DNS
Amenazas al DNS
Fallo del DNS (servidor de nombres)
Transferencias de zona
Servidores DNS sin parchear
Envenenamiento del DNS
Alojar su propio servidor Web
Prepararse
Elaborar la lista de la compra
Elegir un sistema operativo
Garantizar la seguridad
Parches
Resumen
3. Prevenir problemas antes de que aparezcan
Elección de un CMS apropiado para nuestras necesidades
Tomar las decisiones empresariales correctas
Joomla!
Drupal
WordPress
Plone
¿Qué CMS ofrece mayor seguridad?
Cuatro factores a considerar desde el punto de vista empresarial
Consideración de los costes de desarrollo
Asistencia
Planificación previa
Desarrollo en un servidor
Desarrollo en el escritorio
Instalación de diferentes CMS
Instalación de Joomla! 1.5
Instalación de Joomla! 1.6
Instalación de Drupal
Después de la instalación
Permisos
Instalación de Plone
Instalación básica de Zope
Otros recursos
Instalación de WordPress
Plug-in opcional de seguridad para WordPress
Alojamiento compartido
Seguridad avanzada después de la instalación
Limpieza y verificaciones antes de la publicación
Resumen
4. Punto de partida de su sitio Web actual
Establecer el punto de partida
Inventario
Documentación
CMS
Red
Servidor
Escritorios
Cuándo utilizar el informe de punto de partida
Identificación de áreas conflictivas
Comprobar el sistema operativo y los complementos
Comprobar add-ons externos del CMS
Joomla!
Drupal
Plone
WordPress
Vulnerabilidades de hardware
Equipos de red
Impresoras
Desvelar peligros ocultos a través del sondeo de vulnerabilidad
Herramienta Nmap
Instalación de Nmap
Usar Nmap
Herramienta Nessus
Configurar y ejecutar Nessus
Interpretación de resultados
Herramientas de sondeo de virus
Resolución de problemas
Categorización y establecimiento de prioridades
Parcheo de agujeros de seguridad
Informar de problemas a la compañía de alojamiento
Resumen
5. Asegurar el servidor frente a los ataques
Contraseñas seguras
Archivo shadow password
Contraseñas que caducan
Identificar contraseñas predefinidas
Configuración segura del sistema operativo Linux
Cambiar el mensaje de acceso
Yum
Comandos Yum básicos
Actualización del servidor con Yum
Debian Linux
Establecer permisos de archivo
Permisos representados como números octales
Archivos críticos de contraseña
Archivos world-writeable
Archivos ejecutables SUID/SGID no autorizados
Archivos huérfanos
Revisión del acceso al disco
Deshabilitación de servicios innecesarios
Asegurar un servidor Apache
Configuración segura de Apache
Deshabilitar o establecer servicios adecuados
ModSecurity
segurar SNMP
Configuración
Deshabilitación
Configuración segura de PHP
suPHP
phpinfo
PhpSecInfo
php.ini
Identificar puertos abiertos
Asegurar puertos de comunicación FTP
Riesgos de FTP
Firewalls
Ejecución de comando remoto
Ataque bounce
Privacidad
Protección de nombres de usuario
Errores habituales en FTP
FTP anónimo
Contraseñas débiles
Conceptos equivocados de seguridad
Versiones alternativas de FTP
VSFTP
Pure-FTPd
Asegurar puertos de comunicación SFTP
Registro seguro
Registro de VSFTP
Syslog
Registros de acceso
Registros de seguridad
cPanel
Logrotate
Seguridad de los archivos de registro
SSL
Cómo funciona SSL
Cuándo utilizar SSL
Obtención de un certificado
Autoem
Los sitios Web construidos con los populares sistemas de gestión de contenidos de código abierto, elegidos por su bajo coste de implantación son especialmente vulnerables a los hackers, y en muchos casos su seguridad y mantenimiento son descuidados por sus propietarios.
Si es responsable del mantenimiento de uno de ellos, o si es el propietario que aprueba el presupuesto para IT de su empresa, debe conocer el contenido de este libro.
En él encontrará toda la información relativa a las amenazas de seguridad, cómo se llevan a cabo los ataques, qué medidas preventivas debe adoptar y cómo elaborar un plan de recuperación ante desastres. Descubrirá los aspectos de seguridad y operaciones que, a menudo, pasa por alto, ocasionando desastres como, caídas de red, violaciones de seguridad o excesivos costes financieros.
