Unidad 12 GESTIÓN DEL SITIO
1
Contenido
Gestión del sitio .......................................................................3 Mantenimiento y Actualizaciones .................................................. 3
Gestión de tienda osCommerce ...............................................7 Seguridad en osCommerce ............................................................ 7 Backup en OsCommerce .............................................................. 11 Herramienta “Copia de Seguridad de la Base de Datos” .............. 15 Realizar una Nueva copia de seguridad .....................................................15 Restaurar una copia de seguridad .............................................................16
Herramienta “Información del servidor” ..................................... 17 Herramienta “Tablas de la base de datos” .................................. 18 Herramienta “Usuarios conectados” ........................................... 18 Herramienta “Verificador de Versión” ......................................... 19
Práctica .................................................................................21 Realizar backup .......................................................................... 21 Restaurar la tienda con el último backup .................................... 22
2
Gestión del sitio Para terminar de montar nuestra tienda online nos falta presentar el último capítulo, se trata de la gestión de todo el sitio web, nos referimos al mantenimiento, actualizaciones y copias de seguridad de la tienda.
Mantenimiento y Actualizaciones Es imprescindible mantener actualizado su sitio, tanto de contenidos como de funcionalidad. Para ello debe actualizar el software de su tienda.
Recuerde siempre hacer una copia de seguridad antes de realizar cualquier modificación en su tienda y de forma periódica. Revise con frecuencia todos los enlaces de su tienda y asegúrese que funcionan correctamente. Estas tareas de mantenimiento son las que permiten que su sitio pueda seguir cumpliendo con el objetivo para el que fue creada durante todo su ciclo de vida. Puede encargarse usted mismo, si dispone del tiempo y los conocimientos necesarios, o contratar un servicio de mantenimiento.
3
Algunas de las tareas que habitualmente ofrecen los contratos de mantenimiento de sitios web son:
4
5
6
Gestión de tienda osCommerce Seguridad en osCommerce La seguridad absoluta no existe, siempre hay la posibilidad de que se encuentre un nuevo agujero de seguridad en la aplicación o en alguno de sus módulos externos, o de que los atacantes utilicen algún medio de acceso ajeno a OsCommerce (robo de contraseñas, ataques por fuerza bruta, etc.).
En el caso de OsCommerce, más del 95% de los ataques se producen a través de su panel de administración. Si se toman una serie de medidas de seguridad se puede minimizar el riesgo de sufrir uno de estos ataques.
7
En general, si se ponen una serie de medidas de seguridad que eviten los ataques automatizados y sistemáticos y dificulten en lo posible los ataques directos a OsCommerce, el objetivo del hacker (acceso al servidor a través de la tienda) dejará de ser rentable.
Medidas de prevención imprescindibles
Cambiar el nombre al directorio del panel de administración.
Proteger el directorio del panel con contraseña mediante .htaccess
Eliminar los ficheros
filemanager.php y define_language.php, que se
encuentran en el directorio del panel (en versiones 2.2)
Proteger el directorio de imágenes (.htaccess) para evitar que se puedan ejecutar scripts desde el exterior.
Aplicar parches de seguridad y actualizaciones recomendadas (no siempre es sencillo y en algunas tiendas muy personalizadas puede ser costosa la actualización a versiones superiores)
Detección de ataques Si fallan las medidas de prevención o el atacante consigue acceso mediante alguna acción no relacionada con OsCommerce, interesa detectar la intrusión lo antes posible para tomar medidas y minimizar daños. 1. Módulo que permite monitorizar la web para detectar cambios
http://addons.OsCommerce.com/info/4441 2. Incluir aviso por email a un administrador principal cuando cualquiera de los administradores acceda al panel de administración.
8
Medidas que se pueden tomar cuando la tienda ha sido atacada Una vez que la tienda ha sido atacada, la solución más fiable consiste en borrar el contenido de la web, incluyendo la tienda actual (toda la estructura de ficheros), e instalar una copia de seguridad de esa estructura cuya fecha sea anterior al ataque. Muchas veces el ataque es "silencioso", por ejemplo el atacante puede haber dejado un troyano o algún tipo de código malicioso que permanece inactivo e invisible hasta que su propietario decide activarlo. En estos casos existe la posibilidad de que las copias de seguridad estén infectadas igualmente.
Si no son viables estas opciones habrá que trabajar con una web potencialmente "contaminada": 1) Detectar y eliminar cualquier código malicioso 2) Localizar el agujero de seguridad que ha posibilitado el ataque 3) Reforzar las medidas de seguridad
9
En todos los casos, cambiar todas las contraseñas que han podido verse comprometidas. Pero siempre que sea posible, tras asegurarse de tener la web limpia y con las medidas de seguridad reforzadas. Porque de lo contrario el atacante seguirá teniendo una vía de acceso a la web y volverá a comprometer las contraseñas. En algunos casos el agujero de seguridad no está en la tienda, ni en la web, ni en el servidor en el que se aloja. Si los equipos desde los que accedemos para administrar la tienda contienen algún troyano, por ejemplo de tipo keylogger (guardan y envían al atacante todo lo que escribimos a través del teclado, incluyendo contraseñas, información confidencial, etc.) cualquier medida de protección aplicada sobre la web será inútil.
Resumen Ningún sistema puede garantizar una seguridad absoluta. Hay que encontrar un equilibrio entre riesgos y costes. Si no se toma ninguna medida de protección, la tienda será atacada tarde o temprano ya que los ataques son automatizados y sistemáticos. Las consecuencias de un ataque pueden dejar la tienda fuera de servicio durante días y dejar secuelas muy molestas: problemas con el correo debido a listas negras antispam, que la web sea calificada como insegura por los navegadores, etc. Con unas cuantas medidas de prevención se puede conseguir minimizar la probabilidad de sufrir un ataque (para el hacker deja de ser rentable intentar atacar una web protegida). Puede haber agujeros de seguridad en todos los elementos de la cadena. Aunque la web esté protegida hay que estar atento a cuestiones externas: fortaleza de las contraseñas, cómo y dónde se almacenan, virus en los equipos de los administradores.
10
Backup en OsCommerce La de copia de seguridad también llamado backup, permiten exportar el contenido de la base de datos a un fichero en el servidor web.
Por
defecto,
las
copias
de
seguridad
se
guardan
en
el
directorio
“catalog/admin/backups”, aunque es aconsejable que además de en este directorio se encuentren físicamente en otro lugar aparte del propio servidor web. Los
ficheros
generados
por
OsCommerce
tienen
por
defecto
el
nombre
“db_BASEDATOS-FECHA.sql”, donde “BASEDATOS” es el nombre de la base de datos y “FECHA” corresponde con el día y hora en el que se generó la copia de seguridad en formato “YYYYMMDDHHMISS”. La lista de copias de seguridad realizadas se pueden consultar, eliminar o restaurar, aunque para la opción de restauración es el propio OsCommerce el que indica que es aconsejable utilizar directamente el cliente de MySQL en lugar de hacerlo a través de la tienda. La importancia de tener backups actualizados es de todos conocida. Si nos centramos en aplicaciones web, corriendo en servidores web, la política de backups debe ser la adecuada a nuestras necesidades. Es importante leer detenidamente las cláusulas del proveedor de hosting, para asegurar si se responsabilizan de la seguridad de los datos.
11
¿Con qué periocidad debemos realizar backups? Normalmente, todas las empresas de hosting hacen backups de forma periódica de sus servidores. Unas cada mes, otras cada 15 días, otras semanalmente. Depende de la política de cada una. A la hora de contratar los servicios de una empresa de hosting es otro dato importante a tener en cuenta, con qué frecuencia realizan copias de seguridad de sus servidores.
¿Los backups de los proveedores de Hosting, tiene algún coste adicional? Las restauraciones de dichos backups no suelen tener coste alguno en ninguna empresa de hosting. Una llamada a soporte basta para que te restauren la última copia que tengan. Pero cuando nuestras aplicaciones web son tiendas virtuales… ¿Una copia de hace 15 días? La de pedidos, clientes, productos, estadísticas y mil cosas más que pueden haber pasado en esos 15 días en mis tiendas virtuales. No es una opción adecuada. El backup de la empresa de hosting debería ser nuestra última opción.
12
Para planificar correctamente nuestra polĂtica de backups para tiendas virtuales debemos tener en cuenta varios factores:
Dependiendo de las modificaciones que vayamos realizando a nivel de programaciĂłn en nuestra tienda virtual debemos sacar un backup de los archivos con mĂĄs o menos regularidad.
13
14
Herramienta “Copia de Seguridad de la Base de Datos” La herramienta para realizar copias de seguridad de la base de datos de su tienda OsCommerce se encuentra en el panel Administración>Herramientas>Copia de Seguridad de la Base de Datos.
Le permite hacer copias de seguridad de la base de datos de la tienda, de todos los clientes y los pedidos. Como ya hemos mencionado anteriormente, es recomendable que las copias de seguridad de la tienda se realicen periódicamente en el servidor y también se copien en otro dispositivo como puede ser el ordenador para que, en caso de problemas, tengamos un respaldo de nuestra tienda. No hay ninguna herramienta en la versión de OsCommerce que estamos presentando que realice de forma automática las copias de seguridad.
Realizar una Nueva copia de seguridad Para respaldar la base de datos almacenada haga clic en el botón
15
.
Se le presentarán las opciones:
Sin compresión (directamente SQL) Bajar solo (no guardar en el servidor)*: Marque esta casilla si desea descargar la base de datos de la tienda a su disco duro. Se mostrará una ventana para que usted escoja la carpeta donde guardar la copia.
Por defecto, las sesiones (sessions) y Usuarios conectados no serán copiados. Si se ejecuta una restauración, los clientes que estén en línea ¡perderán el contenido de su carrito!
Restaurar una copia de seguridad Para restaurar un archivo que está en el servidor, haga clic en el nombre del archivo de la copia de seguridad deseada y después en la restauración.
Para restaurar localmente pulse sobre el botón
y seleccione en el botón
Examinar, del panel de la derecha, el archivo de respaldo que guardó en su equipo.
16
Herramienta “Información del servidor” En el panel Administración>Herramientas>Información del Servidor tenemos una herramienta que nos proporciona la página de información del servidor. Contiene información detallada sobre el propietario de la tienda y la configuración del servidor web.
Cuando se pide ayuda en los foros de OsCommerce esta información se puede proporcionar para facilitar la tarea de encontrar y resolver el problema que pudiéramos tener.
17
Herramienta “Tablas de la base de datos” En el panel Administración>Herramientas>Tablas de la base de datos
podrá ver
todas las tablas que contiene su base de datos.
No es recomendable manipular estas tablas, no modifique nada.
Herramienta “Usuarios conectados” En el panel Administración>Herramientas>Usuarios conectados tenemos una herramienta de informes de tráfico útil para ver quién está accediendo a su tienda. Esta herramienta le facilitará datos de los registrados que visitan su tienda y sus productos. Su dirección IP, la hora de entrada, último clic y la última URL visitada.
18
Herramienta “Verificador de Versión” En el panel Administración>Herramientas>Verificador de Versión podrá comprobar cuál es la versión de su tienda virtual.
Esta información le resultará útil para futuras actualizaciones del software de su tienda y, de este modo, mantener siempre “al día” su sitio.
19
PRテ,TICA
20
Práctica En esta última práctica debe realizar una copia de seguridad y almacenarla en otro lugar de su ordenador. Después deberá restaurar su tienda utilizando la copia de seguridad guardada. En esta práctica se pide: 1. Realizar backup de la tienda. 2. Restaurar la tienda con el último backup realizado.
Realizar backup Para realizar un backup de la base de datos de su tienda acceda Administración>Herramientas>Copia de Seguridad de la Base de Datos.
a
Pulse sobre el botón Resguardo y marque la opción Bajar solo (no guardar en el servidor)*.
21
Vuelva a pulsar Resguardo y almacene el archivo en un directorio de su equipo. Se almacenará un archivo SQL como éste:
Restaurar la tienda con el último backup Para restaurar la base de datos de su tienda acceda de Administración>Herramientas>Copia de Seguridad de la Base de Datos.
nuevo
a
Pulse sobre el botón Restaurar y localice en su equipo el archivo guardado anteriormente
Finalice el proceso pulsando Restaurar.
22