El mantenimiento de nuestra página web no sólo es necesario en lo referido a la actualización de los contenidos. También tenemos que tener las páginas actualizadas para prevenir problemas de seguridad. Hoy vamos a ver tres alternativas de código libre para realizar auditorías de seguridad a tu web.
Uno de los casos más típicos es crear un blog con WordPress, y al cabo del tiempo, se han lanzado X actualizaciones que, además de nuevas funcionalidades, parcheaban también problemas de seguridad. Si no nos ocupamos de saber que problemas podemos tener, un atacante podría aprovechar fallos conocidos en el código para utilizar nuestra página, sin nosotros ser conscientes, como vector de ataque e infectar a los clientes que nos visitan.
WhatWeb, una alternativa muy completa para Linux
WhatWeb reconoce tecnologías web, como sistemas de gestión de contenidos, tipo Joomla o Drupal, plataformas de blogs o bibliotecas JavaScript, servidores web, etc. Identifica versiones, direcciones de correo electrónico o errores SQL. Se puede configurar el nivel de agresión a la página, que determina la relación entre velocidad y fiabilidad de los resultados.
Podemos instalarla en sistemas Linux y para su ejecución se utiliza la consola donde tendremos que incluir la URL del sitio que queremos monitorizar y el nivel de agresión definido. Después a través de la consola nos devolverá también toda la información. No es lo más amigable del mundo, pero si muy efectiva. Una de sus grandes ventajas es la cantidad de plugins disponibles, más de 1.000 que permiten gran flexibilidad en su configuración.
Más información | What Web
Watobo, otra alternativa para todo tipo de sistemas
Watobo es otra de las alternativas que tenemos para realizar la auditoría web. Funciona como si fuera un proxy local y también permite controles activos o pasivos para configurar el nivel de agresión. Los controles pasivos se utilizan fundamentalmente para reunir información útil, tipo direcciones IP, correos electrónicos, etc.
En el caso de los controles activos se utilizan para identificar vulnerabilidades y se lanzan un elevado número de peticiones contra el servidor web, razón por la cual es mejor dejarla trabajando por la noche o en momentos donde la página web no esté disponible en horario comercial. Watobo es un desarrollo de softwar libre y está disponible tanto para sistemas Windows, como Linux o Mac.
Más información | Wiki Watobo
WebSploit, un proyecto de código libre para comprobar tu web
WebSploit es una colección de utilidades que nos permiten auditar entornos web y localizar diversos tipos de vulnerabilidades. Dispone de módulos de ingeniería social, escaneo y análisis web además de utilidades para explotar vulnerabilidades en en dispositivos de networking.
Es en su concepción y uso más parecido a WhatWeb, que a Watobo, utilizando también la interfaz por consola y estando disponible sólo para sistemas Linux, lo cual tampoco es demasiado inconvenientes si disponemos de cualquier sistema que podamos ejecutar desde un USB.
Más información | WebSploit
Estas auditorías no sólo son recomendables para nuestras páginas web, sino que si también tenemos aplicaciones web, que utilicen Apache, MySQL o PHP, por ejemplo, deben ser obligatorias, sobre todo si tenemos habilitados accesos desde el exterior, para verificar que el nivel de seguridad es el adecuado.
En Tecnología Pyme | Consejos, importancia y beneficios del plan de copia de seguridad de la web de empresa (I)