Hosting con Imunify360, la mejor seguridad para tu web

La seguridad es claramente uno de los puntos fundamentales de un servicio de hosting, y es que los sitios web reciben constantes ataques, no solo de fuentes interesadas, sino de miles de redes de bots que solo buscan vulnerabilidades y vectores de ataque constantemente.

Por ello, desde ahora contamos en nuestros paquetes de hosting con una completa solución de seguridad, Imunify360.

Imunify360 se encarga de la seguridad de una forma novedosa, mediante el uso de captchas invisibles que no afectan al usuario final. Por ejemplo, si un bot introduce de forma errónea una contraseña varias veces, será bloqueado durante una ventana de tiempo. Sin embargo, si se determina que es un usuario real, será tratado como tal y no se verá afectado por un bloqueo en primera instancia, salvo que por ejemplo introduzca una contraseña errónea un número elevado de veces, en cuyo caso sería bloqueado. Adicionalmente, se generan instancias diferentes para la navegación y para el uso del sistema como cliente, de forma que un acceso erróneo a, por ejemplo, un WordPress, no impida el acceso al panel de control cPanel para así poder gestionar su página.

Estas son las características más destacadas:

  • Anti malware: Se analiza en tiempo real cualquier fichero modificado o subido al servidor, ya sea mediante el panel de control o un cliente FTP, y si el resultado es positivo, automáticamente se pone en cuarentena el fichero para evitar su acción.

 

  • Exploits / Vulnerabilidades CMS: Los sistemas CMS como WordPress o Drupal son amenazados a diario, y en potencial peligro cuando se publica una vulnerabilidad dada su dimensión global. El sistema se encarga de bloquear y anular los exploits, aunque aún no esté parcheado o no se haya aplicado la actualización de seguridad correspondiente.

 

  • Escáner de seguridad y vulnerabilidades: Se detecta de forma proactiva cualquier intento de búsqueda de vulnerabilidades, y se bloquea de forma preventiva dicha dirección IP sobre una ventana de tiempo, dependiente de la gravedad de la acción.

 

  • Análisis de reputación: Se trata de una utilidad adicional que permite saber si un dominio o página web resulta filtrado en algún buscador o en alguna lista de spam, y así poder tomar medidas antes de que afecte de forma real a un sitio o servicio.

 

  • Comportamientos sospechosos: Gracias a un sistema apoyado por inteligencia artificial y machine learning, se hace frente en tiempo real a nuevas vulnerabilidades y exploits que aún no han sido declarados de forma oficial.

Por supuesto, todas estas características complementan a las herramientas habituales de seguridad, como un cortafuegos avanzado, protección Anti-DDoS

Todos nuestros paquetes de hosting cuentan con esta solución, y podéis verlos desde aquí.

Novedades en el hosting compartido para 2016

En los últimos meses hemos estado preparando algunas novedades para mejorar el rendimiento y las prestaciones de todas nuestras gamas de hosting compartido, además de facilitar un mejor control sobre el sistema y las posibles incidencias.

Mayor aislamiento y seguridad

Hemos cambiado el núcleo del sistema operativo para ofrecer uno que trata cada cuenta como si fuese un servidor independiente, casi como si se tratase de un VPS. De esta forma, las cuentas se encuentran 100% aisladas unas de otras. Por ejemplo, en el desagradable caso de que un cliente sufriese un hackeo por alguna página web vulnerable, el resto de clientes que comparten servidor con él estarían totalmente aislados, ya que cada cuenta está “enjaulada” dentro del propio servidor.

Garantías sobre los recursos

Nunca hemos saturado los servidores de hosting compartido, pero aún así nuestra intención constante es mejorar y perfeccionar el servicio que ofrecemos. Por ello garantizamos los recursos fundamentales, tanto de consumo de procesador, memoria ram o escritura y lectura de disco, incluyendo la base de datos.

Asignamos unos recursos ampliamente generosos con cada cuenta (por ejemplo, hasta 1GB de memoria RAM para la ejecución de PHP), y si estos recursos se ven sobrepasados, el sistema automáticamente bloquea o retarda su ejecución para que el resto de cuentas no se vean afectadas. Por ejemplo, si una página web sufre un ataque DDoS la página quedará bloqueada de forma intermitente mientras dure el ataque, pero el resto de usuarios podrán operar con normalidad.

De la misma forma, ante una ejecución muy intensiva sobre la base de datos (por ejemplo, añadir miles de productos a una tienda de golpe), dicha operación será llevada de forma constante pero con baja prioridad, para permitir que ese proceso que dura horas no afecte a la velocidad del resto de páginas y elementos.

Mayor control para el usuario

Por supuesto, esto tiene una ventaja principal, y es que el usuario en todo momento desde su panel de control puede visualizar las estadísticas, tanto breve como detalladamente.

Consulta breve
Consulta breve

En la imagen superior se puede ver un fragmento del primer vistazo obtenido nada más al entrar al panel de control, donde junto a los valores habituales se puede observar el uso de procesador y los procesos entrantes, de forma que ante una saturación resultaría más sencillo averiguar de donde procede.

Consulta detallada
Consulta detallada

En este caso, podemos acudir a las estadísticas y el cliente puede consultar sus estadísticas detalladas. La imagen superior corresponde a los últimos 7 días, donde veríamos los máximos y las medias de prácticamente todos los procesos. De esta forma, por ejemplo, si aplicamos un cambio o mejora sobre nuestro sistema, podemos observar la evolución en términos de rendimiento.

Versión de PHP

Tras mucho tiempo trabajando en ello, el aislamiento finalmente nos ha permitido que cada usuario pueda escoger la versión de PHP que se adapte a sus necesidades. Hemos implementado versiones corregidas y actualizadas sin fallos de seguridad de versiones sin soporte actual, y al mismo tiempo mantenemos actualizadas las versiones actuales. De esta forma, desde el panel de control, es posible seleccionar 4.4, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6 y 7.0, disponible desde hace unos días. Por supuesto también es posible seleccionar la versión nativa (en estos momentos la versión 5.5) y dejar que nosotros nos encarguemos de ir subiendo las versiones progresivamente.

Screenshot_8Así mismo, una vez seleccionamos una versión, podemos personalizar los módulos que cargaremos en ella, por si necesitamos alguna función específica que no está cargada por defecto.

¿Qué será lo próximo?

Como no podía ser de otra forma, ya estamos trabajando para mejorar muchas de las funciones de cara a los primeros meses de 2016.

diseño

Nos encontramos en proceso de renovación del apartado visual del panel de control. Si bien el diseño actual es bastante moderno y de líneas redondeadas, aún quedan algunos detalles por pulir. Se va a realizar una transformación total para hacerlo 100% adaptable a teléfonos móviles, además de algunas nuevas características como cambiar el orden de los bloques a nuestro antojo.

login54

Otra de las mejoras importantes va a ser el login externo con servicios de terceros. De esta forma, en lugar de tener que recordar una contraseña adicional, se podrá asociar la cuenta del servidor a un servicio externo como Live, Google, Facebook u OpenID, facilitando así la autenticación. De la misma forma, se va a proceder a activar un sistema de autentificación en dos pasos, con verificación de código de seguridad.

Desde Systempix os queremos agradecer una vez más la confianza depositada en nosotros, y esperemos que estas mejoras y novedades sean del agrado de todos nuestros clientes.

 

La seguridad de las páginas web de los ayuntamientos españoles es nefasta

Así lo certifica un estudio realizado por la firma de seguridad Sophos, Securizame y el bufete de abogados Abanlex. El resultado fue de los más desalentador, pues el 90%  de las webs (de los 77 ayuntamientos más grandes del país) tiene unas vulnerabilidades en su cifrado que las hacen totalmente inseguras, de manera que para los cyberdelincuentes habilidosos es bastante sencillo acceder a información confidencial de cualquiera que se conecte a dichas páginas.

El estudio tan solo necesitó comprobar la seguridad de dos métodos de cifrado:

  • SSL, (Secure Sockets Layer) que hace cifra la conexión entre cliente (usuario) y servidor (la web) y también utiliza certificados digitales para verificar que el usuario es quien dice ser.
  • TLS, que es más moderno que el anterior pero totalmente compatible con él.

Según las palabras de Lorenzo Marinez, jefe de tecnología de Securizame y uno de los principales autores del informe, se propusieron investigar como las web de los ayuntamientos usan estos protocolos básicos en cuanto a seguridad web se refiere, y que de haber una vulnerabilidad en ellos, para un cracker sería tan fácil como abrir una red wifi, esperar a que los usuarios se conectasen y ya tendría acceso a todos sus datos.

Los resultados se repiten tanto como preocupan, el 40% de las webs usan SSLv2, que es una versión total y absolutamente desfasada y muy insegura. Otro 40% es vulnerable a ataques “Poodle” donde se suplanta al verdadero usuario.

Para saber cuáles eran las webs de los ayuntamientos más seguras se utilizó una web gratuita que cataloga la seguridad de la página desde la letra A, totalmente segura, a la letra F, totalmente insegura, con la letra T indicando que es “Trustable” que quiere decir que efectivamente hay un cifrado pero no sabe reconoce cual es. Por ejemplo, esto pasa con el cifrado de la casa de la moneda y timbre de Madrid y no es necesariamente malo, ya que es una de las páginas más seguras.

Podéis acceder a una tabla con las notas de todos los ayuntamientos analizados desde aquí.

Aunque parece que normalmente a mayor tamaño y presupuesto mayor nota, no siempre es así, y Barcelona, Valencia, Bilbao, Pontevedra o Gijón obtienen una F. Solo Girona obtiene una A, al igual que la única B es Valladolid, da ahí vamos cuesta abajo.

Estos fallos se pueden arreglar con mínimas inversiones, como actualizaciones de servidores, apunta Lorenzo. También aclara que los ayuntamientos no incumplen la ley, sino que la cumplen perfectamente, el problema está en que la ley solo te obliga a usar un protocolo de cifrado, pero ello no implica que una web sea segura o esté exenta de vulnerabilidades. Como poco deberían solicitar a los ayuntamientos la misma seguridad que se le exige a las PYMES españolas, qué menos.

Cuidado con los SMS, podrían robarte tu contraseña de gmail

Si bien los mensajes de texto han sido sustituidos por las nuevas aplicaciones de mensajería, para los ciber delincuentes nada pasa de moda, ya que según ha anunciado Panda Security, haciendo uso de in informe de la universidad de Toronto, los crackers (este es el término correcto para los ciber delincuentes) se pueden valer de ellos y de la ingeniería social para robarte tu contraseña de Gmail, incluso aunque tengas la verificación en dos pasos activada.

El modo en que hacen esto es mas simple de lo que os podéis estar pensando, es simplemente un engaño en el que los crackers, haciéndose pasar por Google, nos envían un SMS advirtiéndonos de que alguien ha podido intentar entrar en nuestro correo, y al mismo tiempo nos mandaran un correo electrónico con la misma advertencia, y es aquí donde esta el truco.

En este supuesto correo de Google, a parte de la falsa advertencia, tendremos un link que nos llevará a una pagina web que nos invita a cambiar la contraseña de seguridad de la cuenta, para reforzar la seguridad, y será con los datos que introduzcamos a continuación con los que los crackers lograran acceso a nuestro correo, ya que la web en realidad es suya y se los hemos servido en bandeja.

Como veis, no es ningún método excesivamente complejo, y la mejor manera de evitar esto es recordar unas simples directrices:

  • Las compañías no se ponen en contacto contigo por si solas, solo lo hacen a petición del usuario
  • Si en un momento dado vais a cambiar la contraseña, debéis aseguraros siempre de que la URL de la pagina este visible y esta tenga escrito https:// antes de las tres “w”, así sabréis que estáis en un sitio relativamente seguro.

Guía de referencia del túnel SSH / VPN

Bienvenidos a nuestra guía de referencia sobre el túnel SSH / VPN. A continuación os vamos a explicar en que consiste, las diferencias entre ambos servicios y como configurarlos. Como siempre, si tenéis alguna duda, podéis preguntarnos desde los comentarios o abrir un ticket de soporte, donde os atenderemos encantados.

¿Qué es un túnel SSH / VPN?

Una conexión SSH es una conexión cifrada y segura con una máquina remota, en este caso, nuestros servidores. Dicho tráfico queda completamente restringido entre el usuario y nuestro servidor, siendo completamente imposible para terceras personas (como un gusano, un hacker o un administrador de redes) ver el contenido de dicho tráfico, como las páginas web visitadas o los datos descargados.

Cuando hablamos de túnel SSH o VPN, se trata de usar dicha conexión para navegar por Internet y conectarnos a los diferentes servicios como si estuviésemos físicamente en el servidor remoto, en lugar de nuestro ordenador.

De esta forma, evitamos dos elementos principales. El primero, evitamos que cualquier persona con acceso a nuestra red (por ejemplo, los administradores en una empresa) pueda ver los contenidos que utilizamos en Internet. Por otra parte, nuestra dirección IP real no aparece en ningún registro web, ya que todas las páginas son visitadas por nuestras máquinas. Privacidad y seguridad se dan la mano gracias a dicha funcionalidad.

Hay que resaltar la utilidad de utilizar el túnel VPN en un teléfono móvil cuando nos conectemos a una WiFi pública. De esta forma, aunque dicha red contenga elementos inseguros o usuarios intentando extraer nuestros datos, no podrán acceder a ellos debido a que todas nuestras comunicaciones funcionan de forma cifrada.

Principales diferencias

Aunque el método de conexión es similar y el principio es el mismo, existe una diferencia fundamental entre el túnel SSH y la conexión VPN.

El túnel SSH requiere de una configuración algo más extensa, y su mecanismo de uso es mediante un proxy establecido en las aplicaciones. De esta forma, cada aplicación que deseemos utilizar mediante el túnel, como nuestro navegador de Internet, requerirá de una configuración manual y específica.

La conexión VPN se utiliza mediante OpenVPN, un programa que nos conectará de forma automatizada con un par de clicks (y desde casi todas las plataformas, incluyendo Android o iOS) a nuestro servidor. Desde ese momento, absolutamente todas las comunicaciones del terminal pasarán por el túnel, desde la navegación por Internet hasta el Whatsapp, el correo electrónico o una llamada de Skype. Conectar y desconectar el túnel será tan sencillo como activar o desactivar la aplicación, por lo tanto, es el método sencillo y recomendado.

A continuación vamos a explicaros como conectar, de forma básica, ambos servicios. No obstante, si tenéis dudas, nuestro equipo de soporte os atenderá de forma personalizada para ayudaros en dicha configuración.

Configuración del túnel SSH

Para configurar el túnel SSH, necesitaremos descargar un programa de conexiones SSH remotas. En el caso de Windows, usaremos PuTTY, mientras que en MacOS o Linux usaremos la propia terminal del sistema.

Windows

Descargamos la última versión de PuTTY y procedemos a ejecutarlo. Una vez lanzado, acudimos a SSH > Tunnels y lo ajustamos tal y como viene en la captura inferior. Añadimos el puerto 8080 (si lo tenemos ocupado con algún servicio, usar 8081) y pulsamos en “Add”, y posteriormente ajustamos en “Dynamic” y “Auto”. Por último, acudimos a “Session” y simplemente habrá que añadir la dirección IP que nuestro equipo de soporte os facilitará al contratar el servicio y pulsar en “Open”. Finalizaremos el proceso introduciendo nuestro usuario y contraseña.

putty1

A continuación, tendremos que acudir a nuestra aplicación (en este caso usaremos de ejemplo el navegador Firefox), y pulsaremos sobre red y configuración desde el menú de opciones, y marcaremos configuración manual, añadiremos la dirección 127.0.0.1 como servidor SOCKS, el puerto usado anteriormente y el protocolo SOCKS v5.

ssh_tunnel_firefox

Una vez pulsemos en aceptar, podremos acudir a cualquier página donde nos muestren nuestra dirección IP para darnos cuenta de que ya no estamos navegando con la nuestra, sino desde los servidores de Systempix. Si por cualquier error la conexión SSH se desconectase, las aplicaciones mostrarían un error en pantalla, de forma que jamás podríamos dejar de navegar de forma segura sin ser conscientes de ello.

Linux / MacOS

El proceso desde Linux o MacOS es aún más sencillo. Simplemente tendremos que abrir una terminal y escribir lo siguiente:

ssh -D 8080 -C -N usuario@IP

A continuación se nos solicitará la contraseña, y una vez introducida, ya estará el túnel creado. Ahora simplemente tendremos que ir a la aplicación y hacer el mismo proceso que hemos hecho con Firefox en Windows. Fácil y sencillo.

Configuración del túnel VPN

La configuración del túnel VPN se realiza mediante el cliente VPN, disponible en Windows, Linux, MacOS, Android e iOS. En las plataformas de sobremesa, simplemente tendremos que acudir a una dirección web, introducir nuestros datos y el cliente autoconfigurará todo el ordenador para conectarse mediante la red. Así es, en menos de 10 segundos y todas nuestras conexiones estarán tuneladas.

Por otra parte, para las plataformas móviles como iOS o Android, tendremos que descargar la aplicación gratuita, introducir nuestros datos y conectar. Nuevamente, en apenas un minuto estaremos conectados.

En ambos casos, para volver a conectar (o desconectar), será tan sencillo como lanzar la aplicación y proceder. Sin duda, el túnel VPN es la forma rápida y sencilla de configurar un entunelamiento seguro, aunque el túnel SSH puede ser suficiente para muchos usuarios.

Recordad, ante cualquier duda, nuestro equipo de soporte os atenderá encantado.