Ayuda en  

¿Qué estás buscando?

Capítulo 11: Seguridad del servidor

Hemos preparado un resumen en video del capítulo a continuación y un pódcast con información a mayor detalle para poder agilizar tu aprendizaje, ambos creados con NotebookLM.

Una vez que hemos realizado las configuraciones base para que tu servidor funcione correctamente, es momento de implementar medidas de seguridad para evitar y detener los ataques más comunes, manteniendo así segura la información de tus clientes. Hablar de seguridad es un tema muy amplio y en constante actualización.

Por esta razón, en este capítulo me enfocaré en revisar las configuraciones y medidas base que debe tener tu servidor para alcanzar un nivel de protección sólido. Si deseas profundizar en el tema, te invito a visitar nuestro blog, donde publicamos información adicional con frecuencia.

Hardening: fortaleciendo la seguridad

El término hardening se refiere al proceso de configurar tu servidor para que sea lo más seguro posible. Esto se logra eliminando puntos débiles y, sobre todo, reduciendo la «superficie de ataque». La superficie de ataque es el conjunto de puntos por los cuales un atacante podría intentar acceder o comprometer el sistema.

Cuanto mayor es la cantidad de servicios activos, puertos abiertos, software instalado o usuarios con privilegios, más grande es esta superficie. Reducir estas oportunidades es una estrategia clave de seguridad. El objetivo es minimizar las puertas de entrada para un atacante, lo cual se logra no solo instalando herramientas, sino configurando el servidor con un criterio de mínima exposición desde el inicio.

A continuación, te presento la lista de verificación profesional de seguridad inicial que te recomiendo seguir.

Activa las actualizaciones automáticas

Es tu primera y más efectiva línea de defensa. Las actualizaciones contienen parches de seguridad para vulnerabilidades que se han descubierto recientemente.

Configuración: En WHM, ve a Home » cPanel » Upgrade Preferences. Te recomiendo seleccionar la versión «STABLE» y asegurarte de que todas las actualizaciones automáticas estén habilitadas.

Configura una política de contraseñas fuertes

Las contraseñas débiles son una invitación abierta para los atacantes. Implementar una política de contraseñas complejas con números y caracteres especiales reduce drásticamente el riesgo de accesos no autorizados.

Configuración: En WHM, dirígete a Home » Security Center » Password Strength Configuration y establece un nivel de complejidad de 100.

Limita los privilegios con paquetes de hosting

Otorga solo los permisos estrictamente necesarios a cada cuenta de hosting. Esto aplica el «principio de mínimo privilegio», una práctica fundamental para reducir la superficie de ataque.

Configuración: Al crear nuevos paquetes de hosting en WHM Home » Packages » Add a Package, puedes definir límites de recursos y deshabilitar funciones que no todos los clientes necesitarán, como el acceso SSH. Esto ayuda a controlar el alcance de lo que cada usuario puede hacer.

Instala y habilita AutoSSL con Let’s Encrypt

WHM incluye una función llamada AutoSSL, que puede solicitar, emitir, instalar y renovar automáticamente certificados SSL gratuitos para todos los dominios alojados en tu servidor. El proveedor más popular para estos certificados es Let’s Encrypt, una autoridad certificadora abierta y automatizada, respaldada por las grandes empresas de tecnología.

Configuración: En WHM, ve a Home » SSL/TLS » Manage AutoSSL, selecciona el proveedor «Let’s Encrypt» y acepta los términos del servicio.

NOTA: Al momento de escribir este capitulo CSF era una de las aplicaciones de base para la seguridad del servidor, han decidido terminar operaciones en Julio del 2025, se dejan las indicaciones como referencia, se recomienda instalar Imunify360 como un sustituto mas completo aunque de costo más elevado.

Instala y configura CSF (ConfigServer Security & Firewall)

Uno de los pasos más importantes para proteger tu servidor es instalar un firewall y CSF es una de las herramientas más utilizadas en servidores con cPanel/WHM por su potencia y facilidad de uso. Su gran ventaja es que, una vez instalado, puedes administrarlo desde la interfaz gráfica de WHM.

¿Qué es CSF y por qué lo necesitas?

CSF funciona como defensa que analiza todo el tráfico de red que entra y sale de tu servidor, permitiendo o bloqueando conexiones según las reglas que definas. Incluye también el módulo LFD (Login Failure Daemon), que detecta intentos fallidos de inicio de sesión y bloquea automáticamente direcciones IP sospechosas, protegiéndote de ataques de fuerza bruta. Sus principales funciones son:

  • Inspección de paquetes con estado (SPI).
  • Detección de intentos de inicio de sesión fallidos (LFD).
  • Bloqueo automático de IPs y rangos.
  • Restricción por países (geobloqueo).
  • Alertas por correo electrónico.
  • Integración directa con cPanel/WHM.

Instalación de CSF desde la terminal

Aunque la administración se hará desde WHM, la instalación inicial se realiza por terminal (SSH). Conéctate a tu servidor mediante SSH y Ejecuta los siguientes comandos uno por uno:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Una vez que finalice la instalación, CSF estará disponible en WHM.

Activación y configuración de CSF desde WHM

Por seguridad, CSF se instala en modo de prueba (TESTING mode). Esto es para evitar que te bloquees el acceso a ti mismo por una mala configuración. Para activarlo de forma permanente, sigue estos pasos:

  1. Acceder al panel: En WHM, busca Plugins > ConfigServer Security & Firewall y da clic en Firewall Configuration.
  2. Salir del modo de prueba: Busca la opción TESTING y cámbiala de 1 a 0.
  3. Configurar los puertos: Define qué puertos estarán abiertos. Te comparto una lista recomendada y actualizada:
    • TCP_IN (entrada): 20,21,22222,25,26,53,80,110,143,443,465,587,993,995,2077,2078,2079,2080,2082,2083,2086,2087,2095,2096,49152:65534
    • TCP_OUT (salida): 20,21,25,26,37,43,53,80,110,113,443,587,873,993,995,2086,2087,2089,2703,22222

Nota importante: Esta es una configuración segura para un servidor de hosting típico con cPanel. Sin embargo, te sugiero siempre ajustar los puertos a los servicios que realmente ofreces.

Guardar cambios: Al final de la página, presiona Change y luego Restart csf+lfd para aplicar la nueva configuración.

Fortalece la configuración de acceso SSH

Ahora que definiste el puerto 22222 en el firewall, debes aplicarlo en el servicio SSH.

Configuración: Edita el archivo de configuración con nano /etc/ssh/sshd_config y sustituye la línea Port 22 por Port 22222. Luego, reinicia el servicio para aplicar los cambios: service sshd restart o, en sistemas modernos, systemctl restart sshd. A partir de este momento, para conectarte, deberás especificar el nuevo puerto. Desde la terminal de tu computadora, usa el siguiente comando, sustituyendo tu_direccion_ip por la IP de tu servidor: ssh root@tu_direccion_ip -p 22222.

Activa ModSecurity con reglas OWASP

ModSecurity es un Firewall de Aplicaciones Web (WAF) que protege tus sitios (WordPress, Joomla, etc.) de ataques específicos como Inyección SQL y XSS. A diferencia de un firewall de red que solo ve el «paquete», un WAF inspecciona el «contenido» de las solicitudes web que se mandan y reciben.

Configuración: En WHM, ve a Home » Security Center » ModSecurity™ Configuration, instala el conjunto de reglas «OWASP ModSecurity Core Rule Set» y asegúrate de que esté activado (On).

Asegura PHP y la ejecución de scripts

Una configuración de PHP débil puede permitir a un atacante ejecutar comandos maliciosos a través de un script vulnerable en el sitio de un cliente.

Configuración: En WHM, ve a Home » Software » MultiPHP INI Editor. En el modo Editor, busca la directiva disable_functions y añade una lista de funciones peligrosas. Te recomiendo esta base: exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source. Aplica esta configuración a todas las versiones de PHP que utilices.

Asegura el servidor de bases de datos (MySQL/MariaDB)

Las bases de datos contienen la información más valiosa de tus clientes y proyectos. Protegerlas es fundamental.

Configuración: En WHM, ve a Home » SQL Services » Host Access Control y asegúrate de que solo localhost (o 127.0.0.1) tenga permiso para conectarse, a menos que una aplicación externa legítima lo requiera.

Activa la protección contra ataques de fuerza bruta (cPHulk)

Los ataques de fuerza bruta consisten en probar miles de contraseñas para adivinar un acceso. cPHulk monitorea los intentos de inicio de sesión fallidos y, si detecta un número excesivo desde una misma IP, la bloquea temporalmente a nivel de firewall.

Configuración: Ve a Home » Security Center » cPHulk Brute Force Protection, actívalo, ajusta los parámetros de cada valor, agrega tu propia IP a la «Whitelist Management» para no bloquearte a ti mismo por error.

Implementa un escáner de exploits y antimalware (CXS)

Mientras CSF y cPHulk protegen los accesos, ConfigServer eXploit Scanner (CXS) se especializa en revisar los archivos dentro del servidor. Funciona como un detective que analiza todo lo que se sube (por FTP, cPanel, etc.) en busca de malware, virus o troyanos. Aunque es una herramienta de pago, te la recomiendo ampliamente como una inversión en tranquilidad y seguridad.

Características principales de CXS:

  • Escaneo en tiempo real: Detecta y aísla archivos maliciosos al momento de ser subidos, deteniendo infecciones antes de que se propaguen.
  • Escaneos programados: Realiza revisiones completas de forma periódica para encontrar malware latente.
  • Detección avanzada: Usa firmas y análisis de comportamiento para identificar exploits.
  • Integración y reportes: Funciona junto a CSF y te informa detalladamente de los hallazgos.

Instalación: Se necesita comprar una licencia y ejecutar un script de instalación, de forma similar a CSF. Una vez instalado, aparecerá como un plugin en WHM.

Nota importante: ConfigServer, los desarrolladores de CXS, ofrecen un paquete de seguridad que incluye la licencia y una revisión profesional de la configuración de tu servidor. Su precio es bastante accesible (generalmente entre $130 y $160 USD, pago único) y representa una excelente inversión para incrementar considerablemente la seguridad de tu servidor.

Realiza una auditoría con el asesor de seguridad

Esta herramienta actúa como un consultor de seguridad gratuito. Escanea tu servidor en busca de fallas y te da recomendaciones claras para mejorar.

Configuración: En WHM, ve a Home » Security Center » Security Advisor, ejecuta el escaneo y corrige las advertencias que encuentre. Es una excelente forma de verificar que has cubierto todos los puntos importantes.

Alternativa todo en uno: Imunify360

Mientras que el enfoque anterior se basa en combinar herramientas especializadas, Imunify360 es una suite de seguridad completa y automatizada que integra todas esas funciones y más en una sola plataforma. Es una solución comercial de primer nivel, ideal si buscas una protección más «manos libres» que use inteligencia artificial para defender tu servidor de forma proactiva.

¿Por qué considerarlo? Imunify360 centraliza la seguridad y automatiza muchas tareas, como la limpieza de malware, lo que puede ahorrarte una cantidad significativa de tiempo.

Características principales:

  • Firewall Avanzado con IA: Detecta y bloquea amenazas de forma inteligente.
  • Escáner y Limpiador de Malware: No solo encuentra archivos maliciosos, sino que los limpia automáticamente.
  • Sistema de Prevención de Intrusiones (IDS/IPS): Protege contra ataques conocidos y de día cero.
  • Gestión de Reputación: Monitorea si tus IPs o dominios caen en listas negras.
  • Hardening Proactivo: Aplica parches de seguridad virtuales a nivel de kernel y PHP sin necesidad de reiniciar.

Implementación: Imunify360 se instala con un solo script y se integra perfectamente con WHM, ofreciendo un panel de control centralizado para administrar toda la seguridad.

¿Cuál elegir?

La elección entre el combo CSF/CXS e Imunify360 depende de tu presupuesto y estilo de administración. El primero es más económico y te da un control granular, mientras que Imunify360 ofrece una protección más automatizada y completa, ideal para quienes valoran la eficiencia y la seguridad proactiva pero es por bastante mas costoso.

¿Pueden convivir CSF/CXS e Imunify360?

Aunque podría parecer que tener más herramientas es mejor, no te recomiendo instalar ambas suites en el mismo servidor. Herramientas como CSF e Imunify360 intentarán administrar el firewall del sistema (iptables) al mismo tiempo, lo que puede generar conflictos, sobrescribir reglas y causar un comportamiento impredecible. En el peor de los casos, podrías bloquear tu propio acceso al servidor. Lo correcto es elegir una de las dos soluciones y aprovecharla al máximo.

Conclusión

Al implementar estas medidas, has establecido una base de seguridad sólida, recuerda que la seguridad es un proceso constante. Te recomiendo usar Security Advisor regularmente y mantenerte al día con las actualizaciones, nunca dejes de estar alerta sobre nuevas amenazas. La seguridad en el Web Hosting no es algo que se configura una sola vez. Es fundamental proteger el servidor con herramientas técnicas, pero también es crucial educar a tus clientes. Muchos ataques exitosos se originan por errores del lado del usuario, como contraseñas débiles o aplicaciones desactualizadas. Una estrategia de seguridad efectiva combina buenas herramientas, monitoreo activo y capacitación. Al hacerlo, construyes un entorno confiable que protege los datos de tus clientes y fortalece tu reputación como un proveedor de hosting profesional y seguro.

Regresar al temario del curso
Visitas: 0

Recursos gratis de web hosting

Recibe tu dosis semanal de web hosting en tu correo, cada semana noticias, tutoriales y recursos gratis, suscríbete
Cero spam, solo contenido útil ✨
Tutoriales claros y prácticos para entender dominios, correos, cPanel y servidores. Y cuando quieras llevar tu proyecto al siguiente nivel, nuestros planes de Hosting Compartido, VPS y Dedicados te darán la infraestructura que necesitas.
© 2025 — WebHostingyDominios.com