Conceptos básicos de seguridad | Documentación de cPanel y WHM

Conceptos básicos de seguridad


Última modificación: 28 de septiembre de 2020

Visión general

Este documento describe algunos conceptos básicos de seguridad que puede utilizar para proteger su sistema de ataques de falsificaciones de solicitudes entre sitios (XSRF). Los ataques XSRF ocurren cuando un usuario malintencionado explota la confianza entre un sitio web y el navegador de un usuario. Cuando un usuario malintencionado explota esa confianza, puede ejecutar comandos no autorizados en un sitio web.

Los ataques XSRF se basan en dos elementos:

  • Acceso a credenciales de autenticación.
  • Ejecución subrepticia de un comando a través de una URL.

Para obtener más información sobre los ataques XSRF, visite Artículo XSRF de Wikipedia.

Métodos de autenticación

Le recomendamos que utilice cookies como método de autenticación para los inicios de sesión de cPanel y WHM. Una sesión autenticada por HTTP no no finalizar a menos que finalice la sesión de la aplicación del navegador web. Si utiliza la autenticación HTTP, el navegador almacena en caché las credenciales de inicio de sesión hasta que el sistema finaliza la aplicación.

Algunos navegadores le permiten vaciar las credenciales de inicio de sesión. Sin embargo, haz no dependen de este método y no existe en todos los navegadores. Cuando un navegador web almacena en caché las credenciales de inicio de sesión, las credenciales se vuelven susceptibles a los ataques XSRF.

Para obtener más información, lea nuestro Capacidad de entrega del correo electrónico documentación.

Cookies validadas

Los usuarios malintencionados pueden robar cookies y utilizarlas en ataques XSRF. La mayoría de los navegadores lo hacen no proporcionar cualquier protección para mitigar este ataque. Ofrecemos una opción que le permite validar la dirección IP entrante como parte de la cookie durante el proceso de autenticación.

En solicitudes de autenticación posteriores, el servidor compara las direcciones IP con los valores originales de las cookies. Un valor no coincidente provoca un error que da como resultado una solicitud de reautenticación.

Importante:

Cuando utiliza cookies validadas, le recomendamos que desactive el acceso al subdominio del servicio. Si lo haces no deshabilitar el acceso al subdominio de servicio, cualquier intento de acceder a las interfaces a través de un dominio de servicio hará que el sistema registre la dirección IP del host local (generalmente 127.0.0.1), lo que hace que la validación de la dirección IP sea inútil.

Deshabilitar subdominios de servicio, desactive las siguientes configuraciones en el Dominios sección de WHM Ajustar la configuración interfaz (WHM >> Hogar >> Configuración del servidor >> Ajustar la configuración):

  • Subdominios de servicio
  • Creación de subdominios de servicios

Requerir SSL

También puede solicitar a sus usuarios que inicien sesión a través de SSL o TLS para mejorar la seguridad de su sistema. Si los usuarios inician sesión en sus cuentas a través de los puertos 2082, 2086, o 2095, el sistema envía las credenciales de autenticación en texto sin formato. Las credenciales de autenticación se vuelven fáciles de robar, leer y volver a usar más tarde.

Para obtener más información sobre cómo acceder a los servicios de cPanel y WHM de forma segura, lea nuestro Cómo iniciar sesión en su servidor o cuenta documentación.

Tokens de seguridad

cPanel & WHM incluye tokens de seguridad para ayudar a combatir los ataques XSRF. El sistema inserta tokens de seguridad únicos en la URL para una única sesión de inicio de sesión. Cualquier solicitud que realice un usuario sin el token apropiado produce un error y da como resultado una solicitud de reautenticación. Esta acción detiene eficazmente los ataques XSRF porque la URL maliciosa no contener el token apropiado.

Advertencia:

Los tokens de seguridad pueden causar problemas con los scripts personalizados y algunas aplicaciones de terceros que se integran con cPanel y WHM. Nosotros fuertemente le recomendamos que verifique que las aplicaciones de terceros sean compatibles con los tokens de seguridad antes de habilitarlas. Si tu debe use aplicaciones que no son compatibles con tokens de seguridad, le recomendamos que use verificaciones de URL de referencia en su lugar.

Comprobaciones de URL de referencia

La referencia HTTP identifica la URL de la página desde la que se originó un usuario. Las comprobaciones de referencia solo funcionan correctamente cuando habilita la comprobación de referencia en blanco y, por lo general, dan como resultado una gran cantidad de alertas de falsos positivos. Sin embargo, si debe use aplicaciones de terceros que no sean compatibles con los tokens de seguridad, puede usar comprobaciones de referencia en lugar de los tokens de seguridad.

Advertencia:

Si no puede usar tokens de seguridad en su servidor, fuertemente Recomendamos que habilite las siguientes opciones en el Seguridad sección de WHM Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración):

  • Comprobación de seguridad de referencia en blanco
  • Control de seguridad del remitente

Seguridad de la contraseña

Las contraseñas débiles brindan una protección insignificante contra los ataques de fuerza bruta. Los ataques de fuerza bruta ocurren cuando un usuario malintencionado adivina la contraseña de una cuenta específica a través del mensaje de prueba y error. Este proceso suele ser un proceso automatizado que utiliza términos de diccionario. Utilice WHM Configuración de la fuerza de la contraseña interfaz (WHM >> Hogar >> Centro de Seguridad >> Configuración de la fuerza de la contraseña) para establecer la seguridad mínima de la contraseña de su usuario.

Nota:

  • Nosotros fuertemente recomiendo que establezca un valor de 50 o mas alto.
  • El requisito mínimo de seguridad de la contraseña solamente se aplica a las contraseñas que crea y modifica cPanel & WHM. Un usuario con acceso de shell puede utilizar el passwd comando para establecer una contraseña débil.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *