por valc » Mié Abr 09, 2008 8:14 pm
Bueno, hacer auditorías de seguridad desde "sitios demo", pues no es lo suyo, porque, como es normal, tienen restringidas las funcionalidades que muestran, como por ejemplo, la subida de archivos.
Si que te permiten ver, más o menos, por donde van los tiros y que tipo de "utilidades/herramientas" tienes disponibles.
Los sitios demo que enlazas, entran dentro del tipo "sitio demo capado" y no te sabría decir cual es mejor o peor, porque para ello, es necesario saber exactamente como está todo configurado en su conjunto y el soporte que faciliten.
Si hay gente que haya probado sobre alguno de ellos, podrán orientarte mejor en ese sentido.
De los que facilitas, los hay que ofrenen un precio apartir de un año o dos de contrato con ellos.
Es importante revisar los términos y condiciones en las que aceptamos un servicio. Los hay que serán excelentes para unos tipos de aplicaciones y totalmente contraindicados para otras.
Lo más recomendado en estos casos, es que contactes directamente con ellos y les preguntes por lo que te interesa saber ( y a lo mejor te remiten a algún FAQ disipador de dudas que queda bien a la vista).
Por ejemplo:
¿Hay más usuarios alojados contigo en esa máquina o servidor?¿cuantos?¿Pueden verse unos a otros?
¿vas a poder interactuar con la configuración del php.ini localmente?
¿vas a poder usar .htaccess?
¿Tus archivos y carpetas en el espacio web se te quedarán predeterminadamente con un nombre de usuario y grupo apropiados?
¿podrás usar crons para, por ejemplo, automatizar respaldos, comprobar que no hayan archivos con permisos chmod no recomendados, etc?
¿que puertos tendrás abiertos?¿podrás "abrir/cerrar" los que te interese?
¿se actualiza el software de todo el entorno contratado cuando se detectan vulnerabilidades en los mismos?
¿Tiene apache privilegio para acceder a sitios del disco duro donde no tiene nada que pelar?¿y tu user?¿y el resto de usuarios, si los hubiera?
¿como está el safe_mode configurado?
¿Puedes usar el mod_security, mod_evasive? ¿otros?¿cuales?¿seguridad extra con otras aplicaciones, del tipo correo, ftp, etc?
¿Tienes conexión SSH, SSL, SFTP o tienes que pagar aparte por un certificado homologado?
¿Como está configurado MySQL?
¿Como está configurado PHP?
¿Como está configurado Apache?
¿Como está configurada cualquier otra aplicación que vaya a formar parte de tu entrono de trabajo, o, donde este embebido tu entrono de trabajo?
¿Si no necesitas un software podrás o podrán desinstalártelo?
¿acceso a los logs de los servicios que estés usando?
...
En fin, podría hacer una lista 10 veces más larga y no habría acabado..
Ante la dificultad por saber exactamente como de seguro está configurado todo un entorno porque "nadie te informa en detalle hasta ese punto", normalmente tras contratarlo, podremos hacer "cuatro pruebecillas de rigor y ver si podemos interactuar con las configuraciones predeterminadas para poder dejar las cosas a nuestro gusto y necesidades", luego, lo recomendado, es buscar hospedajes que, "tras pagar, te den un periodo de prueba, y, si no va bien, te devuelvan el dinero" (de lo más sano)
Si tienen foro de soporte y ve que se da un soporte correcto o que responden positivamente cuando se dan problemas de seguridad, es otro "sano indicio"
Si alguien te lo recomienda por la confianza que para él representa, su soporte, el tiempo que lleva y lo bien que le ha ido "sin problemas de seguridad o de funcionalidad por su parte", es otro "sano indicio"
Si tantas dudas genera el saber si un "hospedaje/configuración es segura" (siempre moviéndonos dentro de un margen de error razonable y teniendo en cuenta de que la seguridad, configuración y/o administración no solo recae sobre quién nos presta el servicio), se puede contratar a alguien especializado en estos temas que, en ese periodo de pruebas, realice por ti todo tipo de pruebas de seguridad y asentamiento.
Además, "lo que uno quiera utilizar como herramientas de trabajo, o tipo de web, puede incrementar o decrementar los riesgos a asumir"
Mientras "no nos metamos en negocios", y, podamos configurar mínimamente las cosas para evitar intrusiones y cumplir con los requisitos de instalación de Joomla! (.htaccess, quitar funciones peligrosas de php desde el php.ini, register_global off, respaldos automatizados a diario de la db, posibilidad de asignar apropiadamnete permisos CHMOD, propietario y grupo, etc.. podríamos decir que "es minímamente aceptable", porque como mucho y a malas, podríamos perder el trabajo de las ultimas 24 horas, y, no nos veremos "cada dos por tres jaqueados". Ojo, si vas a "entar en negocios", el criterio y nivel cambia, por cuestiones obvias de responsabilidad.
También obviamente, si alguien se ve "jaqueado cada dos por tres" es que "algo falla", y esto puede ser debido a tí o al hospedaje.. si estás seguro de que haces los deberes por tu parte, exige explicaciones, aportando pruebas de que el origen de la intrusón no es cosa tuya y cambia de hospedaje.
Espero te pueda servir.
|||
Normas y código de conducta, si ves que me lo salto, házmelo saber ||| Mi web de
Servidores Caseros |||
No se brinda soporte privado.
Lo que queda reflejado en un foro, puede ayudar a toda una comunidad.
Un cordial saludo, Valc (Rafael Gómez)
Perfil profesional 
