Diseño y desarrollo de aplicativos web con contenido seguro

En la siguiente información podrá encontrar recomendaciones para aplicar en su diseño, para mostrar contenido seguro, a todos sus usuarios.

Todos los contenidos son de total responsabilidad del cliente, diseñador o Web Master del mismo, ya que dichos elementos no fueron diseñados por Colombia Hosting,
y es un caso relacionado totalmente con DISEÑO WEB y no ALOJAMIENTO (HOSTING). Por lo que dicho soporte técnico de diseño web debe ser tramitado por el cliente con un diseñador o empresa de diseño web.

Recomendaciones esenciales de protección y disfrute de su contenido seguro:

Aplicaciones propias: Diseños o Desarrollos propios creados o contratados a terceros por el usuario:

• El código debe ser compatible con la última versión estable de PHP según la fecha. (Actualmente PHP 8.1).
• Los formularios deben tener un sistema de captcha (verificación de humano, por ejemplo: digite los números que aparecen en la imagen).
• La recepción de datos de formularios u otros (variables GET, POST, etc.) deben ser filtrados y controlados de forma segura para evitar inyecciones de: SQL, RFI, Path, Comandos y Código.
• El sitio no debe permitir Secuencias de Comandos en Sitios Cruzados (XSS)
• El sitio no debe permitir la Falsificación de Peticiones de Sitios Cruzados (CSRF)
• Si la aplicación tiene subida de archivos, la subida debe filtrar el tipo de documento a subir con más de 4 filtros (Extensión, Dimensiones, Mime, nombre, primer byte, etc) y prevenir subidas de archivos maliciosos.
• Las secciones privadas o requeridas del sitio web deben estar protegidas por sesiones gestionadas de forma segura y con roles, al igual que las funciones deben tener control de acceso.
• Gestión de contraseñas seguras con sistemas de encriptación actualizada.
• Los documentos privados deben alojarse en una carpeta fuera del contenido web, y entregados por alguna página PHP que utilice sesiones y permita la descarga de dichos documentos.
• La entrega de información debe realizarse preferiblemente por POST para evitar publicar información en la barra de direcciones.
• El sitio debe evitar la referencia directa insegura a objetos.
• Evitar usar funciones de riesgo como (shell_exec, exec, passthru, system).
• Revisar el código fuente y sospechar de código ofuscado o ilegible.
• Evitar la exposición de información sensible (al mostrar errores, dentro del código html, etc).
• Validar correctamente redirecciones e inclusiones remotas.
• El sitio debe tener un archivo de robots.txt, protegiendo de motores de búsqueda u otros los contenidos que presenten algún riesgo o no se requieran indexar en buscadores.
• El sitio debe permitir utilizar https de forma sencilla o ser compatible con ambos protocolos http y https.
• Gestión de presentación de errores controlada.
• Eliminar archivos de prueba, versiones anteriores y/o elementos que no serán utilizados.
• Realizar y entregar lista de control de contenidos de directorios y archivos con fecha.
• El cliente debe tener una copia del diseño inicial (contenido web y base de datos) en su oficina o ubicación local: USB, DVD, CD, Disco Duro, etc (no hosting).
• Si utiliza librerías de terceros, debe tener en cuenta adicionalmente todos los puntos mostrados en el siguiente punto a continuación. (Aplicaciones de Terceros)

Aplicaciones de terceros: Si utiliza alguna aplicación, librería o componente web como Joomla, WordPress, Drupal, Prestashop, Moodle, Magento, plugin, entre otros, debe tener en cuenta:

• El instalador y todos sus componentes deben ser descargados de las páginas oficiales (joomla.org, wordpress.org, etc).
• La aplicación debe cumplir con las recomendaciones mostradas en el dato anterior (Aplicaciones Propias)
• Debe utilizar la última versión estable disponible según la fecha de instalación.
• Utilizar plantillas y componentes actualizados y obtenidos de fuentes confiables y analizar sus contenidos.
• Si en el contrato de su diseñador, este no incluye actualizaciones, puede solicitarle la entrega de un manual al cliente final donde se indique como se actualiza la aplicación web a la última versión.
• Evitar que el sitio web permita la creación de usuarios o comentarios de forma automática.
• Utilizar sistemas de captcha en todos los formularios del sitio web.
• Revisar el código fuente y sospechar de código ofuscado o ilegible de los componentes/plantillas/plugins.
• No debe utilizar componentes o software que no tenga actualizaciones periódicas.
• No debe sobreescribir archivos del núcleo de la aplicación (por ejemplo, editar la plantilla que viene con Joomla o editar los archivos originales del Joomla).
• El usuario debe actualizarse constantemente en información de seguridad de la aplicación o librería utilizada.
• Eliminar archivos de prueba, instaladores, versiones anteriores, plugins, temas y/o elementos que no serán utilizados.
• Realizar y entregar lista de control de contenidos de directorios y archivos con fecha del diseño inicial.
• El cliente debe tener una copia del diseño inicial (contenido web y base de datos) en su oficina o ubicación local: USB, DVD, CD, Disco Duro, etc (no hosting).

Otros contenidos: archivos o carpetas que son subidos o creados por el cliente o a través del diseño web:

• No alojar backups o copias de seguridad.
• No alojar versiones anteriores o que no se utilicen de un sitio web.
• Eliminar archivos o aplicaciones de pruebas que no tengan uso en el sitio.
• Limpiar archivos temporales y/o papelera regularmente
• No sobreescribir aplicaciones (Por ejemplo, instalar WordPress en una carpeta donde está Joomla y viceversa).