Archivo de la etiqueta: apache

Cómo excluir reglas de fase 1 en mod_security

Existen diversas casuísticas en la exclusión de reglas de mod_security. Un procedimiento habitual suele ser limitar el ámbito de exclusión a un determinado contexto en el que por diversas razones estamos obteniendo falsos positivos de una serie de reglas problemáticas, ejemplo: Suponemos que dicha directiva excluiría las reglas 920320, 942200, 942330, 942430 y 980130 para… Leer más »

Excluyendo falsos positivos para WordPress/Drupal en OWASP Core Rule Set 3 (mod_security)

Hacer compatibles las reglas de OWASP para los principales CMS nunca fue tarea fácil. La cantidad de falsos positivos era considerable, por lo que mod_security muchas veces bloqueaba tareas de lo más habituales: publicar un post, subir una imagen, editar un tema, etc… Hasta ahora uno de los métodos más utilizados -y tediosos- era configurar… Leer más »

VirtualHosts basados en nombre y comprobación de certificados con OpenSSL

Si utilizamos VirtualHosts basados en nombre en nuestro frontal web -cosa que suele estar a la orden del día, en primer lugar para ahorrar IPs- debemos tener en cuenta ciertas consideraciones si comprobamos nuestros certificados con OpenSSL. En una arquitectura como la mencionada, un servidor web Apache o Nginx puede alojar múltiples sitios web (dominios)… Leer más »

Mod_security – Whitelist para googlebot (y otros crawlers legítimos)

Si bien mod_security nos proporciona una capa más de seguridad en nuestro servidor web Apache, pueden darse casos en los que queden bloqueadas peticiones legítimas que tendremos que dejar pasar por nuestro WAF. Por norma general siempre hay que personalizar o bien las reglas o el comportamiento global del módulo para añadir ciertas excepciones. Algunos… Leer más »

Implementando Content Security Policy en el blog (WordPress)

Content-Security-Policy (CSP) no es más que un header más (como X-XSS-Protection o X-Frame-Options) que ayuda a mejorar la seguridad de nuestro sitio web. Básicamente con CSP especificamos qué origen puede tener cada tipo de recurso servido en nuestra página. CSP divide los tipos de recursos que puede cargar una web con una serie de directivas:… Leer más »

De HTTP a HTTPS con Let’s Encrypt en modo manual (Debian)

Lenta pero inexorablemente el protocolo HTTPS se está convirtiendo en un nuevo estándar mínimo a cumplir para la mayoría de webs. Los principales navegadores y buscadores como Firefox o Chrome ya vienen anunciándolo hace tiempo. Se trata de una evolución que no sólo afectará a webs de medios de pago, sino también a blogs, periódicos… Leer más »

Test de certificados SSL defectuosos en badssl.com

¿Qué tipo de error obtenemos en nuestro navegador cuando visitamos una web con un certificado expirado? ¿Si dicha web contiene contenido mixto con imágenes que se sirven por HTTP? ¿Y si las suites de cifrado no son seguras? Siempre podemos montarnos un servidor web Apache/Nginx y crear certificados con OpenSSL para realizar tests, pero la… Leer más »