El glosario abarca una colección de términos técnicos a los que se hace referencia en nuestra documentación de seguridad.
- Privilegios de administrador
- Es el nivel de configuración de cuenta más alto en un sistema. Estos privilegios permiten realizar acciones como borrar todo el sitio, restablecer contraseñas o subir archivos.
- Puerta trasera
- Un programa instalado en un sistema para eludir los controles de autenticación y mantener el acceso de un hacker a ese sistema.
- Encubrimiento
La práctica de presentar diferentes contenidos o URLs a los usuarios humanos y los motores de búsqueda.
Por ejemplo, las secuencias de comandos dinámicas y las reglas
.htaccess
pueden mostrar códigos de estado basados en las solicitudes que se procesan. Los hackers usan el encubrimiento para ocultar sus pistas mostrando un código de error 404 o 500 a ciertas direcciones IP o navegadores, y envían spam a otros navegadores o direcciones IP.- Archivos de configuración
Archivos que almacenan información como la ubicación de la base de datos y las credenciales de sitios dinámicos
- Sistema de administración de contenido (CMS)
Paquetes de software que ayudan a los usuarios a crear y editar sitios web. Entre los ejemplos, se incluyen WordPress, Drupal y Joomla!, aunque hay muchos otros, incluidos algunos que son personalizados.
- Especialistas en investigación forense digital
Personas o equipos que pueden ayudarte a limpiar el sitio y a identificar cómo se comprometió.
- Página web estática
Una página web compuesta por un archivo único que no cambia y muestra contenido de un sitio web.
- Página web dinámica
Una página web que utiliza secuencias de comandos y plantillas para generar contenido en el sitio. Genera cada página nuevamente cada vez que se solicita.
eval()
Función de PHP y JavaScript que evalúa una string y muestra el resultado. No se recomiendan las funciones de evaluación cuando un sitio trata con entradas del usuario, ya que abren una vulnerabilidad que permite que los atacantes colaboren con código malicioso (por ejemplo, mediante la inyección de comandos PHP dañinos).
- Protocolo de transferencia de archivos (FTP)
Un protocolo que se usa para transferir archivos de una máquina a otra.
- Archivos ocultos
Archivos que no se muestran en un directorio de forma predeterminada. Por lo general, los archivos como
.htaccess
están ocultos para evitar que la información importante se modifique por accidente. Debes configurar el sistema de archivos para que te permita ver y editar los archivos ocultos.- Códigos de estado de HTTP
Respuestas estandarizadas que los servidores web muestran junto con el contenido cuando los usuarios intentan interactuar con una página, como cuando cargan una página o envían un comentario. Estos códigos ayudan a los usuarios a comprender cómo responde el sitio web o identifica errores. Consulta la página Código de estado del Consorcio World Wide Web para obtener una lista completa de los códigos de estado y sus significados.
- iFrame
Se trata de código que permite que una página web muestre contenido de una página dentro de otra. Los iframes ocultos son una táctica común que usan los hackers para redireccionar a los usuarios a sus sitios.
- Archivo de registro
Archivos en los que los servidores web registran las solicitudes de los usuarios para realizar un seguimiento de todas las actividades realizadas en el servidor. Puedes identificar intentos de hackeo o tráfico sospechoso en tu sitio si consultas los archivos de registro.
- Software malicioso
Cualquier software diseñado específicamente para dañar una computadora, el software que ejecuta o a los usuarios. Para obtener más información, consulta Software malicioso y no deseado.
- Confusión
Una táctica que usan los hackers para confundir a las personas que interpretan su código, lo que dificulta su lectura Los métodos de ofuscación comunes que realizan los hackers incluyen el cambio de caracteres, la confusión intencional de nombres de variables, el uso de codificaciones como
base64
,rot13
,gzip
, de URL, hexadecimales o una combinación de estas. Algunos métodos de ofuscación, comobase64
ygzip
, también se usan para comprimir y ocultar grandes cantidades de código, como web shells completas.- Phishing
Es una forma de ingeniería social que engaña a los usuarios para que revelen información sensible, como nombres de usuario o contraseñas, haciéndose pasar por una fuente confiable. Por ejemplo, un suplantador de identidad podría enviarle un correo electrónico a una víctima potencial haciéndose pasar por su banco y solicitarle las credenciales de su cuenta bancaria. Para obtener más información, consulta Cómo evitar y denunciar ataques de suplantación de identidad (phishing).
- Search Console
Es un servicio gratuito que ofrece Google para ayudarte a supervisar y mantener la presencia de tu sitio en los resultados de la Búsqueda de Google. Google también usa Search Console para comunicarse con los propietarios de sitios sobre problemas con los sitios web. Para obtener más información, consulta el artículo Acerca de Search Console.
- Mapa del sitio
Es un archivo que contiene una lista de páginas web en un sitio que informa a los motores de búsqueda sobre la organización del contenido del sitio. Para obtener más información, consulta Más información sobre mapas del sitio.
- Ingeniería social
Una técnica para obtener acceso o control de la información sensible con un intento de engañar a las personas para que proporcionen acceso en lugar de atacar el código directamente. La suplantación de identidad (phishing) es una de las formas más comunes de ingeniería social. Para obtener más información, consulta Ingeniería social (phishing y sitios engañosos).
- Aumento repentino de tráfico
Un aumento repentino o inesperado del tráfico del sitio web
- Autenticación de dos factores (2FA)
Un mecanismo de seguridad para proteger el acceso a la cuenta mediante la solicitud de al menos dos tokens de prueba Por ejemplo, es posible que un usuario que utiliza la autenticación de dos factores necesite una contraseña y un código de seguridad recibido por SMS para acceder a su cuenta.
- Servicio de hosting web
Un servicio que proporciona a los usuarios espacio para alojar su sitio en un servidor web, por ejemplo, Google Sites. Es posible que haya funciones o herramientas adicionales disponibles según el servicio.
- Lenguajes de secuencias de comandos web
Lenguajes de programación que se usan a menudo junto con HTML para agregar características adicionales a un sitio, como el procesamiento de formularios, la moderación de comentarios o los efectos visuales especiales. Las guías de recuperación usan lenguaje de secuencias de comandos para hacer referencia a PHP o JavaScript.
PHP es un lenguaje de secuencias de comandos del lado del servidor, lo que significa que el servidor web interpreta y ejecuta sus comandos. JavaScript es principalmente un lenguaje del cliente, lo que significa que el navegador del usuario interpreta y ejecuta sus comandos.
- Servidor web
Es la máquina y el software que alojan y controlan páginas web y otros archivos relacionados con un sitio web.
- Web shell (línea de comandos a través de la web)
Una secuencia de comandos de puerta trasera que permite a los atacantes mantener el acceso a un servidor.
- Spam web
Tácticas de optimización para motores de búsqueda (SEO) engañosas o contenido de spam que intentan aumentar la clasificación o popularidad de un sitio engañando y manipulando los motores de búsqueda