¿Compramos seguridad?

El 90% de empresas o usuarios con conocimientos básicos que planean montarse una web, a menudo elijen un alojamiento compartido.

 

 ¿Por qué?

La mayoría disponen de un website builder y son muy fáciles e intuitivos de usar, esa es, una de las razones por las que miles de usuarios los contratan.

Otras son ya la disponibilidad, son administrados, disponen de Paneles (Cpanel por ejemplo) y la empresa por un mínimo coste se responsabiliza de mantenerlos seguros y en línea.

Estos servidores albergan una media de 200 sitios por servidor, pero dependiendo pueden llegar a dar servicio hasta a 400. Todo va en relación a las características del hardware.

¿Entonces un fallo en un sitio compromete el servidor entero?

En teoría los servidores están individualizados, esto es, bases de datos individuales, directorios individuales por sitio y nadie con privilegios para acceder mediante SSH.

De esa forma, un fallo de seguridad (SQLi, XSS, CSRF) simplemente compromete a un sitio. 

El problema es que no siempre los permisos están correctamente configurados y es posible que un RFI, LFI o un SSI sea capaz de comprometer todos los sitios en conjunto.

En este caso vamos a revisar un host (byethost) en su versión de pago en donde realmente debería de ser más seguro que en la versión gratuita:

La directiva disable_functions disponible en el archivo de configuración de php nos permite entre otras cosas deshabilitar funciones internas que puedan suponer un riesgo para el servidor.

Por ejemplo; exec(), system() son funciones que nos permiten ejecutar comandos y leer su respuesta como si en una shell estuviésemos.

Casualmente esta maravilloso host no tiene funciones deshabilitadas (ni php actualizado, pero eso es otra historia).... así que "Let's run"!

Esto bajo ningún concepto debería de funcionar... pero siempre hay una excepción que confirma la regla. };))

Y no hace falta decir mucho más, ¿no? Pues un poquitín sí }:))

Piénsatelo más antes de elejir un servidor, te puede salir caro. }:)) ¡Saludos!