Una mejor seguridad web significa menos comodidad, por ahora

La web hace nuestra vida más cómoda. Podemos pedir una camiseta o una pizza con tan solo unos clics. Podemos realizar investigaciones globales sin movernos de nuestros asientos. Ha cambiado la forma en que hacemos casi todo. Como diseñadores web, intentamos agregar aún más comodidad. Utilizamos sistemas para “recordar” a los usuarios. Almacenamos la información del cliente en la nube. Estas características facilitan que las personas completen tareas. El objetivo es una experiencia de usuario perfecta. Es a la vez bien intencionado y potencialmente rentable. Sin embargo, a menudo hay un coste en términos de seguridad. Los actores malintencionados se están aprovechando de esta conveniencia. Son frecuentes los métodos como el robo de cookies de sesión. Por lo tanto, permanecer conectado a su sitio web es un riesgo. Esto es sólo la punta del iceberg. De hecho, hacer que la Web sea más segura significa menos comodidad. A continuación se muestran algunos ejemplos de cómo se ve esto. Además, hablaremos sobre por qué estas medidas pueden ser temporales. Uso de la autenticación de dos factores en todas partes Cada vez es más difícil evitar la autenticación de dos factores (2FA). Este método se utiliza prácticamente en todas partes, incluido su sitio de WordPress. La idea tiene mucho sentido. La capa adicional de autenticación significa que un hacker necesita más que un nombre de usuario y una contraseña. No pueden acceder a su cuenta sin un código 2FA. Sin embargo, 2FA está lejos de ser perfecto. Prueba de ello son las mencionadas cookies de sesión robadas. Un atacante con una cookie válida puede eludir otros requisitos de acceso. Además, 2FA es una molestia para los usuarios. Piense en todo el tiempo extra que lleva acceder a cada sitio web que utiliza. Hace que la gente quiera permanecer conectada y correr el riesgo de que le roben una cookie de sesión. Es posible que haya ayuda en el horizonte. Las claves de acceso están listas para simplificar el proceso de inicio de sesión, manteniendo al mismo tiempo la máxima seguridad. Las claves de acceso dependen del dispositivo del usuario para reemplazar el nombre de usuario y la contraseña. Los usuarios se autentican utilizando el mismo método utilizado para desbloquear sus dispositivos. Los PIN y la biometría son ejemplos. Esto podría aligerar la carga. Pero es probable que nos quedemos estancados con los métodos actuales por un tiempo más. Archivos de WordPress bloqueados El ecosistema de temas y complementos es una parte importante de WordPress. Puede agregar nuevos elementos o actualizar los existentes. Todo se hace dentro de un único panel. Nuevamente, es una característica muy conveniente. Los problemas comienzan cuando una cuenta de usuario se ve comprometida. Un actor malicioso puede agregar cualquier tipo de malware. Y no es necesario que sea administrador. Algunas vulnerabilidades permiten a un usuario menor eludir los permisos de WordPress. La respuesta parece bloquear la instalación de WordPress. Por ejemplo, un sitio puede permitir que su entorno de prueba escriba en archivos. Esto le permitiría agregar o actualizar software. Pero también estaría protegido mediante un inicio de sesión HTTP. El sitio de producción permitiría cargar archivos multimedia, pero nada más. Esto significa que cualquier instalación de tema o complemento debe realizarse primero desde la etapa de preparación. Lo mismo ocurre con las actualizaciones. Sí, es un paso extra. Pero vale la pena llevarlo. Este método no sólo aumenta la seguridad. También es una buena práctica para realizar pruebas. Podría evitar problemas en sitios de misión crítica. Sin embargo, no todos los servidores web ofrecen puesta en escena. O una forma sencilla de bloquear una instalación. Pero esta podría ser la mejor opción hasta que aparezca algo mejor. En este sentido, los proveedores de seguridad están ideando nuevas estrategias. Esto podría proporcionar un equilibrio entre seguridad y facilidad de uso. Limitar la ejecución de código dentro del contenido del sitio A veces es necesario ejecutar código dentro del contenido de un sitio. Por ejemplo, podemos incorporar JavaScript de una red publicitaria en una publicación de blog. WordPress facilita esto a través de su bloque HTML personalizado. Algunos complementos también te permiten agregar fragmentos de código. Es una característica útil. Puede agregar todo tipo de widgets de terceros que atraigan a los usuarios. También podrían generar ingresos. También es una forma sencilla de introducir código malicioso. WordPress intenta desinfectar la entrada. Sin embargo, no todos los temas y complementos siguen las mejores prácticas. El código no desinfectado podría infectar su sitio y afectar a los usuarios. Restringir la ejecución de código es una forma de evitar problemas de seguridad. Podrías desactivar el bloqueo de HTML personalizado, por ejemplo. También puedes crear encabezados de seguridad HTTP a nivel de servidor. La inteligencia artificial (IA) pronto podría convertirse en un factor determinante. Una herramienta que pueda detectar código malicioso en tiempo real podría evitar un ataque exitoso. Esto daría más poder a los usuarios sin crear tantos problemas de seguridad. Un sitio web seguro requiere sacrificios La seguridad pone a los diseñadores web en una posición difícil. Estamos comprometidos a crear experiencias de usuario extraordinarias. Queremos ayudar a nuestros clientes a hacer su trabajo con facilidad. Pero también queremos que nuestros sitios web sean seguros. Esto requiere que tomemos algunas decisiones difíciles. ¿Sacrificamos el sacrificio por la seguridad? La respuesta parece ser “sí” por ahora. Los métodos de acceso inseguros y las carpetas grabables son riesgosos. Lo mismo ocurre con permitir a los usuarios ejecutar código dentro de su contenido. Y parece que el malware sigue prosperando en estos entornos. Por tanto, es lógico cerrar estas vías de ataque. Incluso si crea obstáculos adicionales para los usuarios. Sin embargo, todavía podemos esperar un futuro mejor. La llegada de las claves de acceso y la seguridad basada en IA podría ser justo lo que necesitamos. Su hora no puede llegar lo suficientemente pronto. Superior

About Francisco

Check Also

¿Cuánto cuesta crear una aplicación como Costco?

Con el tamaño del mercado en rápido crecimiento de la industria del comercio electrónico, intentar …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *