Blog personal de Diego de Haller
Blog personal de Diego de Haller

Haciendo un blog más seguro – cómo analizarlo

Desde hace unos días no hago más que publicar posts sobre cómo hacer un poco más seguro nuestro blog, sobre todo de cara al visitante. En este post os cuento una manera de medir y de sabes si nuestra web en general, o nuestro blog en particular, incluye todas las recomendaciones de seguridad.

SecurityHeaders
SecurityHeaders

Y con todas las medidas que he puesto en este blog, el resultado es casi perfecto:

Aún me queda por mejorar HPKP, HTTP Public Key Pinning, que no es otra cosa que indicar al navegador que visita tu web cuál es la autoridad que ha firmado tu certificado SSL y que para tu web sólo confías en esa autoridad. No he tenido tiempo para ponerlo, pero creo que la complejidad para ponerlo no justifica el beneficio (en mi caso, un simple blog que no lee ni el tato). Para sitios web profesionales, no me cabe la menor duda sobre su eficacia y utilidad. Toda seguridad es poca.

Mirando el panorama en las webs españolas, pasando por bancos, blogs conocidos y compra online, veo que hay mucho que mejorar.

Menos Amazon, Ticketea e ING Direct, que tienen los tres un D (siendo A+ lo mejor y F lo peor), el resto tienen F. Está claro que hay muchas medidas de seguridad que habrán puesto, pero estas considero que son básicas, y más para sitios de comercio online o banca.