Establecimiento de la directiva de seguridad de las contraseñas
resumen: Las contraseñas poco seguras pueden ser susceptibles a ataques de fuerza bruta. Así, los atacantes pueden disponer de cierto acceso al servidor, lo que les permite dañar sitios web alojados, enviar spam y robar información, entre otros.
¿Cómo evitarlo? Configure una directiva de seguridad de contraseñas a nivel del servidor para que así todas las contraseñas nuevas en el servidor deban tener un nivel mínimo de seguridad. Establecer una contraseña segura imposibilita posibles ataques de fuerza bruta.
La seguridad de contraseñas es una medida que impide una adivinación de las contraseñas así como ataques de fuerza bruta. Esta depende de diversos factores, como por ejemplo:
- Longitud de la contraseña.
- Si la contraseña incluye caracteres en mayúsculas y en minúsculas.
- El número de distintos caracteres incluidos en la contraseña (números, caracteres especiales, etc.).
- Si la contraseña incluye una o más palabras del diccionario.
En el caso de que los usuarios establezcan contraseñas poco seguras (como por ejemplo porque son fáciles de adivinar), estos ponen en riesgo la seguridad del servidor, por lo que puede verse atacado. Por ejemplo:
- Si se compromete la contraseña de un buzón de correo, el atacante puede usar el buzón para enviar spam. En consecuencia, es posible que la dirección IP de su servidor se añada a listas blackhole de DNS.
- Si se compromete la contraseña de un usuario del sistema, el atacante puede añadir código malicioso a los sitios web del cliente.
Todo esto puede ocasionar daños en materia de finanzas y reputación, por no hablar de pérdida de datos.
Si desea impedir que los usuarios establezcan contraseñas poco seguras, puede configurar una directiva de seguridad de contraseñas a nivel del servidor. Esta directiva se aplica a muchas (si bien no a todas) de las contraseñas que un usuario puede definir en Plesk. Cuando un usuario de Plesk establece o modifica una contraseña, este debe ajustarla para que cumpla con los requisitos de la directiva de seguridad de contraseñas establecida en ese momento.
Puede escoger entre cinco niveles distintos de seguridad, desde «Muy poco segura» hasta «Muy segura». Cuanto más estricta sea la directiva, menos posibilidades habrá de que la contraseña de un usuario sea vulnerable a un ataque de fuerza bruta.
La forma en la que Plesk genera contraseñas seguras y evalúa la seguridad de una contraseña coincide con la de populares generadores de contraseñas de terceros. De esta forma, puede tener la certeza de que una contraseña segura generada, por ejemplo, por 1Password, así será tratada por Plesk. Descubra de qué forma Plesk calcula la seguridad de las contraseñas.
Por defecto, la directiva de seguridad de contraseñas se establece a «Segura». Puede que desee aplicar una directiva menos estricta si, por ejemplo, usa un generador de contraseñas de terceros cuyas contraseñas no son validadas como suficientemente seguras por Plesk.
Nota: El hecho de cambiar la seguridad mínima de las contraseñas no tiene efecto alguno sobre las contraseñas que ya han sido establecidas. El cambio solo afectará a las contraseñas definidas una vez modificada la seguridad mínima de las contraseñas.
La directiva de seguridad de contraseñas se aplica a las siguientes contraseñas:
- Contraseñas usadas para acceder a Plesk.
- Contraseñas de los usuarios de sistema de la suscripción.
- Contraseñas de los usuarios de la base de datos.
- Contraseñas del buzón de correo.
La directiva de seguridad de contraseñas no se aplica a las siguientes contraseñas:
- Contraseñas para aplicaciones alojadas en Plesk (por ejemplo, WordPress y Joomla!, entre otros).
- Contraseñas para servicios gestionados por Plesk (Git, Docker).
- Contraseñas de cifrado de backups.
- Contraseñas de almacenamiento de backups remoto.
Para modificar la directiva de seguridad de contraseñas:
- Vaya a Herramientas y configuración > Directiva de seguridad (debajo de “Seguridad”) y desplácese hacia abajo hasta la sección «Seguridad de la contraseña”.
- Debajo de “Seguridad mínima de contraseñas”, seleccione el botón de opción correspondiente a la directiva deseada.
- Haga clic en ACEPTAR.
Ahora la nueva directiva de contraseñas ya es efectiva. Esta deberá cumplirse cada vez que se defina o se modifique una contraseña a la que deba aplicársele la directiva.