Seguridad por framework
Guías de seguridad por framework — los peligros por defecto, los puntos débiles que más se explotan y los pasos de hardening — para WordPress, Laravel, Next.js, Spring y más.
Frameworks cubiertos
PHP
WordPress tiene la mayor cuota, así que estadísticamente es el mayor objetivo. Los puntos de entrada son menos el núcleo que las vulnerabilidades de complementos/temas, las actualizaciones omitidas, los administradores débiles/reutilizados y las superficies de administración expuestas (wp-admin/xmlrpc/enumeración REST). Defensas: automatiza las actualizaciones del núcleo y complementos, elimina complementos/temas no usados, contraseña fuerte + 2FA para administradores, limita la exposición del panel y los intentos de inicio de sesión, detección de manipulación más copias de seguridad sin conexión.
LaravelLaravel trae valores por defecto bastante seguros, pero la mayoría de los incidentes vienen de la operación. Los tres grandes fallos: (1) .env o archivos de secretos alcanzables por URL desde el directorio público, (2) APP_DEBUG=true en producción exponiendo variables de entorno e info de conexión en la página de error, (3) autorización ausente (inicio de sesión = autenticación, pero sin autorización con alcance de propietario / Mass Assignment sobrescribiendo campos no previstos). Defensas: secretos fuera de public con permisos 600, debug apagado + caché de config en prod, autoriza con Policy/Gate, declara $fillable.
JavaScript / Node
Next.js trae valores por defecto bastante seguros, pero los incidentes ocurren en la frontera servidor/cliente. Los tres grandes: (1) exposición de variables de entorno (mal uso de NEXT_PUBLIC_ o pasar secretos server-only al cliente), (2) autorización ausente en Server Actions / Route Handlers (autenticado pero sin delimitar por propietario) y (3) CVE conocidos de dependencias (incluido RCE en el núcleo del framework — juzga por la versión en ejecución y parchea rápido). Defensas: mantén los secretos en el servidor, cuida la frontera, autoriza en cada acción, monitorea los CVE de dependencias con una máquina.
ExpressExpress es minimalista: casi no trae funciones de seguridad por defecto, así que las defensas son las que añade el desarrollador. Lo esencial: (1) cabeceras de seguridad (estilo helmet), (2) validación y saneamiento de la entrada, (3) autorización acotada al propietario, no solo autenticación, (4) limitación de tasa (fuerza bruta / DoS), (5) monitoreo de CVE de dependencias (npm) y parcheo rápido. Además, protección SSRF para las peticiones salientes de URL y secretos guardados en variables de entorno, fuera del código. La libertad de un framework mínimo viene con la responsabilidad de defender.