Como sortear la Censura de Internet
ar en fa fr my ru vi zh

Buenas prácticas para Webmasters

Ejecutar un sitio Web, expuesto a una multitud o no, no es siempre fácil. Es importante pensar acerca de nuestra seguridad personal así como en la seguridad de los visitantes. A menudo, los administradores de red se sorprenden cuando sus sitios son bloqueados inesperadamente en cierto país. Si un gran número de visitantes pueden entrar al sitio, el operador del sitio puede enfrentar también problemas económicos.
Perder nuestro sitio Web o servidor, o tener que configurar un nuevo servidor también puede ser preocupante y frustrante.

Este capítulo tiene la intención de reunir una lista de buenas prácticas y consejos a tener en cuenta cuando operamos nuestro propio sitio web.

Proteger nuestro sitio Web

  • Siempre planificar copias de respaldo automáticas (ficheros y bases de datos) al menos en otra máquina física. Debemos asegurarnos de saber cómo restaurarlos.
  • Monitorear nuestro tráfico para saber algo acerca de los países de los que provienen nuestros visitantes. Podemos usar bases de datos de geo localización para tener al menos una suposición del país en el que está localizada una dirección IP. Si notamos una caída del tráfico desde un país en específico, nuestro sitio Web debe haber sido bloqueado. Podemos compartir esto con bases de datos de sitios bloqueados, como Herdict (https://www.herdict.org/web).
  • Asegurar nuestro sitio web, especialmente si usamos un CMS (Content Management System). Es recomendable instalar siempre las últimas actualizaciones del sistema operativo para corregir los fallos de seguridad.
  • Asegurar nuestro software de servidor web con configuraciones de seguridad de alto nivel (podemos encontrar recursos en línea acerca de cómo asegurar servidores web Linux).
  • Registrar (o transferir) nuestro nombre de dominio a otro proveedor DNS que no sea nuestro proveedor de hospedaje. En caso de ataque en nuestro proveedor actual, seremos capaces de poner a apuntar fácilmente nuestro nombre de dominio a un nuevo proveedor.
  • Evaluar la creación de un servidor espejo ejecutándose en estado de espera para poder intercambiarlo fácilmente. Para ello debemos aprender cómo cambiar las entradas de nuestro DNS al servidor espejo.
  • Considerar hospedar nuestro sitio Web en un sitio extranjero, donde el contenido es menos controversial y legalmente protegido. Esto puede implicar una demora adicional muy pequeña en el tiempo de carga de la página (usualmente unos pocos milisegundos) para nuestros visitantes y puede salvarnos una gran cantidad de problemas si estamos en un país donde el contenido de nuestro sitio web es considerado muy controversial.
  • Probar y optimizar nuestro sitio Web con las herramientas de evasión principales que nuestros visitantes usan. Debemos chequear y reparar cualquier página o característica dañada. Idealmente, debemos hacer nuestro sitio usable a los visitantes sin JavaScrpit o complementos, ya que estos pueden estar dañados o no disponibles cuando las personas usan proxis.
  • Evitar el uso de FTP para subir nuestros ficheros. FTP envía nuestra contraseña sobre Internet sin cifrado, haciendo fácil a los atacantes robar nuestras credenciales. Es mejor considerar usar SFTP (File Transfer Protocol sobre SSH), SCP, o WebDAV seguro (sobre HTTPS) en su lugar.
  • Usar puertos alternativos para acceder a la zona de administración. Los hackers usualmente ejecutan sus búsquedas en puertos estándares para detectar vulnerabilidades. Es bueno considerar cambiar nuestros números de puertos a valores no estándares (como SSH) para minimizar los riesgos de estos ataques.
  • Proteger nuestro servidor de ataques de fuerza bruta instalando una herramienta como DenyHosts en nuestro servidor  (http://denyhosts.sourceforge.net) para proteger nuestro servidor poniendo en lista negra las direcciones IPs de aquellos que intentan registrarse una cierta cantidad de veces insatisfactoriamente.

Protegernos nosotros mismos

Aquí hay algunos consejos para evitar potencialmente el daño personal si el hecho de permanecer anónimos es importante para nosotros.

  • Usar una dirección de correo electrónico y un nombre que no esté asociado con nuestra identidad real.
  • Si somos dueños de un nombre de dominio, podemos registrar entradas tontas en la base de datos públicas WHOIS usando un servicio llamado "WHOIS proxy", "WHOIS protect" o "domain
    privacy".
  • Usemos un servicio como Tor para mantenernos anónimos cuando actualicemos nuestro sitio web.

Protegiendo nuestros visitantes

Aparte de la protección de nuestro sitio Web y de nosotros  mismos, también es importante proteger a los visitantes del monitoreo de terceros, especialmente si entran contenido para nuestro sitio web.

  • Usar HTTPS para que nuestros usuarios puedan acceder a nuestro sitio Web a través de una conexión cifrada, para hacer más difícil la búsqueda automática del contenido que está siendo transferido y asegurar nuestra identidad. Debemos asegurarnos de que la configuración de HTTPS cubre todo el sitio y que usamos otras mejores prácticas para la configuración de HTTPS. Podemos encontrar información sobre cómo implementarlo correctamente en la página https://www.eff.org/pages/how-deploy-https-correctly y también podemos hacer las pruebas automáticas en  https://www.ssllabs.com/ para muchos parámetros técnicos.
  • Minimizar los datos almacenados en nuestros registros. Evitemos guardar las direcciones IP u otros datos personales relacionados con nuestros visitantes más de lo necesario.
  • Cifrar los datos del usuario, como contraseñas, por ejemplo usando funciones de resumen.
  • Servicios externos como Google Analytics o el contenido de terceros como son las redes de anuncios publicitarios son difíciles de controlar. Evitémoslos.
  • Creemos una versión ligera y segura de nuestro sitio Web, sin ningún Flash o código Javascript embebido, compatible con Tor y con las conexiones con bajo ancho de banda.

Educar a nuestros usuarios

  • Enseñemos a nuestros usuarios cómo utilizar las herramientas de evasión, y seamos capaces de mejorar su propia seguridad en línea.
  • Hagamos una lista de control de seguridad digital disponible para que los visitantes  puedan  estar seguros de que no han sido atacados o monitoreados.

Compartir nuestras herramientas de evasión con nuestros visitantes

  • Hospedar instancias de proxis Web  (como SabzProxy o Proxy Glype). Debemos compartirlo  con nuestros visitantes, por correo electrónico, o a través de sus redes sociales.
  • Enviar las invitaciones psiphon si tenemos una cuenta en un nodo privado
  • Instalamos otros tipos de proxis  si poseemos un servidor dedicado.
  • Hagámos enlaces a sitios de herramientas de evasión pertinentes.

Multiplicar los canales de distribución

Si somos Webmasters podemos y debemos tomar diferentes acciones con el fin de difundir el contenido tanto como sea posible, para evitar el ser bloqueados bloqueados.

  • Establecer un boletín de noticias, y enviar actualizaciones periódicas de los nuevos contenidos por correo electrónico, que debe de llegar a los usuarios, aún cuando estos no sean capaces de visitar más nuestro sitio Web.
  • Establecer un canal RSS y debemos asegurarnos de que contiene artículos completos y no sólo fragmentos. De esta manera el contenido puede ser analizado con facilidad por sitios Web y aplicaciones de terceros, como Google Reader, que puede ser usado para leer nuestro contenido, donde el acceso directo es bloqueado.
  • Compartir nuestro contenido en plataformas de redes sociales populares como Facebook o Twitter, que puede ser difícil de bloquear.
  • Difundir el contenido tanto como sea posible. Hagamos nuestro contenido disponible para la descarga, Wikipedia,por ejemplo, distribuye todo su contenido libremente como un volcado de la base de datos que se puede utilizar fácilmente para crear una réplica del sitio Web espejo con el mismo contenido, en otros lugares.
  • Evaluemos la publicación de nuestros artículos bajo una licencia libre (como GPL Creative Wikipedia), que permita que cada uno reutilice su contenido y cree réplicas.
  • Repliquemos nuestros archivos en los servidores gratuitos compartición de ficheros como Rapidshare.com o Megaupload.com y a través de programas de compartición peer-to-peer (ej. BitTorrent).
  • Configuremos nuestro servidor Web para servir también contenido en puertos diferentes al estándar el puerto estándar 80 (http) y 443 (https).
  • Ofrezcamos un API (interfaz de programación) que permite a otros accede a nuestro contenido de forma automática a través de software de otros fabricantes, como hacen Twitter o Wikipedia

Reducir el tiempo de carga de la página.

Reducir el tiempo de carga de la página no sólo nos va a ahorrar un poco de ancho de banda y dinero, sino que también va ayudar a nuestros visitantes procedentes de países en desarrollo a acceder mejor a nuestra información. Una buena lista de las mejores prácticas para acelerar nuestro sitio web la podemos encontrar en http://developer.yahoo.com/performance/rules.html y https://code.google.com/speed/page-speed/.

  • Adoptar un estilo minimalista. Consideremos la posibilidad de mantener las imágenes a un mínimo, y el uso de CSS para el estilo de nuestro diseño. Una buena introducción a CSS la podemos encontrar en http://www.w3schools.com/css/css_intro.asp.
  • Optimicemos nuestras imágenes. Usemos programas como OptiPNG (http://optipng.sourceforge.net/) para hacer que nuestras imágenes se carguen más rápido mediante la optimización de ellos por la Web. Además, nunca hagamos la escala de  imágenes con HTML si no es necesario (es decir, si necesitamos una imagen de 60x60 a continuación, cambiamos el tamaño de él directamente, en lugar de usar HTML).
  • Reduzcamos Java, JavaScript, Flash y otros contenidos que se ejecutan en el ordenador del cliente a un mínimo. Recordemos que algunos cafés de Internet desactivan este tipo de contenidos por razones de seguridad. Debemos asegurarnos de que la información que deseamos transmitir es la que aparece en HTML puro.
  • Utilizar archivos externos para el CSS y JavaScript. Si tenemos un cierto estilo CSS o JavaScript quef es recurrente en nuestro sitio Web, consideremos la posibilidad de guardarlo en un archivo separado y llamarlo en el encabezado de nuestra página web. Esto nos permitirá que el navegador de nuestro cliente almacene en caché los archivos,
  • Minimicemos nuestro código. Eliminemos todos los descansos de líneas y espacios innecesarios. Algunas de las herramientas que lo hacen automáticamente, las podemos encontrar en  http://javascriptcompressor.com
  • Reduzcamos el número de peticiones al servidor al mínimo. Si tenemos un sitio web dinámico pero el contenido no cambia muy a menudo, es posible que deseemos instalar algunas extensiones caché que ofrecen a los usuarios una versión estática de su contenido, por lo tanto reducen significativamente el número de solicitudes de la base de datos.

APÉNDICES