Puede parecer una tontería, pero hay que tener mucho cuidado con lo que dicen los mensajes de error. El mundo del hosting forma parte de Internet y por lo tanto es vulnerable a las acciones de terceros malintencionados. ¿Cómo se puede relacionar la seguridad con un simple mensaje de error? Pues a continuación veremos dos ejemplos:
-Ejemplo 1: si en tu sitio tienes una función de login para que los usuarios puedan ingresar a sus cuentas, entonces tarde o temprano alguien podría intentar entrar en alguna cuenta que no sea suya, ya sea robando un nombre de usuario o tratando de adivinarlo.
Si alguien introduce un usuario correcto y una contraseña incorrecta, el error no debería decir “La contraseña es incorrecta” porque le estamos diciendo al atacante que el usuario que usó existe y entonces va a seguir intentado ingresar con otras claves. Lo ideal es que el mensaje diga “Usuario y/o contraseña incorrecto” o algo similar.
-Ejemplo 2: la información de un servidor puede ayudar a un criminal cibernético a determinar qué clase de ataque debería lanzar contra un server. Los mensajes de error no deben dar información sobre el servidor, porque entonces ya le has facilitado al atacante la mitad del trabajo. Se deben evitar los mensajes de error que digan cosas como “Apache versión 2.x” o “CentOS versión 5.x” y similares. También hay que tener cuidado con los mensajes de error de PHP y de cualquier otro software.
Ahora ya conoces algo más en lo que debes trabajar para mejorar la seguridad de tu servidor o de tu sitio web.
