Seguridad

Cómo escribir código seguro desde el primer commit

Publicado el por Alexis Tejada
banner codigo seguro 1200x600
17
Abr

¿Cuántas veces has escuchado “eso lo arreglamos al final”? En el desarrollo de software, esa frase suele ser el principio de un gran problema, sobre todo cuando hablamos de seguridad.

La seguridad no es una capa que se agrega al terminar un proyecto. Es una mentalidad que debe estar presente desde la primera línea de código, desde el primer git commit. En este artículo te comparto las prácticas concretas que aplico en cada proyecto para garantizar que el código sea seguro desde el inicio.

¿Por qué la seguridad debe estar desde el primer commit?

El costo de corregir una vulnerabilidad aumenta exponencialmente entre más tarde se detecta. Según el modelo conocido como Shift Left Security, reparar un fallo en producción puede costar hasta 30 veces más que haberlo prevenido durante el desarrollo.

Además, si trabajas con clientes, una brecha de seguridad no solo daña su negocio, daña tu reputación como desarrollador. Implementar seguridad desde el inicio es también una ventaja competitiva.

1. Valida y sanitiza todas las entradas de usuario

Nunca confíes en los datos que llegan desde el exterior, ya sea de formularios, URLs, APIs o cookies. Toda entrada debe ser validada y sanitizada antes de ser procesada.

Regla de oro: nunca insertes directamente en la base de datos lo que el usuario escribe.

En WordPress, por ejemplo, usa siempre funciones como sanitize_text_field(), esc_html() o $wpdb->prepare() para evitar inyecciones SQL y ataques XSS.

2. Nunca guardes credenciales en el código

Uno de los errores más frecuentes que veo en repositorios es encontrar contraseñas, API keys o tokens directamente escritos en el código. Esto es extremadamente peligroso, especialmente si el repositorio es público.

La solución: usa variables de entorno (.env) y agrega ese archivo a tu .gitignore desde el primer día. En WordPress puedes manejar esto desde el wp-config.php usando constantes o librerías como vlucas/phpdotenv.

Ejemplo de .gitignore básico desde el inicio:

.env
wp-config.php
/vendor/
node_modules/
*.log
.DS_Store

3. Aplica el principio de mínimo privilegio

Tanto en tu base de datos como en los roles de usuario de tu aplicación, cada componente debe tener únicamente los permisos que necesita para funcionar, nada más.

Si tu aplicación solo necesita leer datos, el usuario de base de datos no debe tener permisos de escritura. Si un usuario solo puede ver contenido, no debe tener acceso al panel de administración.

4. Mantén tus dependencias actualizadas y auditadas

Las librerías y plugins desactualizados son una de las principales puertas de entrada para atacantes. Antes de instalar cualquier dependencia, revisa:

  • ¿Cuándo fue su última actualización?
  • ¿Tiene vulnerabilidades conocidas?
  • ¿Tiene una comunidad activa?

Herramientas útiles para esto:

  • npm audit — proyectos Node.js
  • Composer audit — proyectos PHP/Laravel
  • WPScan — sitios WordPress

5. Configura encabezados de seguridad HTTP

Los HTTP Security Headers protegen tu sitio contra ataques comunes como clickjacking, XSS y sniffing de contenido. Son fáciles de configurar y muchos desarrolladores los ignoran completamente.

Los más importantes que debes implementar:

X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: default-src 'self'
Strict-Transport-Security: max-age=31536000
Referrer-Policy: strict-origin-when-cross-origin

En WordPress puedes agregarlos directamente desde el archivo .htaccess o usando un plugin como Headers & Security.

6. Estructura tus commits pensando en trazabilidad

Un buen historial de commits no solo es una buena práctica de desarrollo, también es una herramienta de seguridad. Cuando ocurre un incidente, poder rastrear exactamente qué cambió, cuándo y por quién es invaluable.

Adopta una convención de commits como Conventional Commits:

feat: agregar validación de formulario de contacto
fix: corregir escape de HTML en comentarios
security: actualizar dependencia con vulnerabilidad CVE-2024-XXXX
refactor: mover credenciales a variables de entorno

Herramientas recomendadas para DevSecOps

Estas son las herramientas que integro en mis flujos de trabajo diario:

  • Git Hooks (Husky) — ejecuta validaciones automáticas antes de cada commit
  • Snyk — detecta vulnerabilidades en dependencias
  • SonarQube / SonarCloud — análisis estático de código
  • OWASP ZAP — pruebas de penetración automatizadas
  • SSL Labs — auditoría de configuración SSL/TLS

Conclusión

Escribir código seguro no es una tarea para el final del proyecto, es un hábito que se construye desde el primer commit. Cada buena decisión que tomas hoy evita una crisis mañana.

La seguridad no frena el desarrollo. Lo protege.

Si quieres que revisemos juntos la seguridad de tu proyecto web o necesitas una página construida con estas buenas prácticas desde cero, contáctame hoy mismo.

👉 Agenda una consulta gratuita
Alexis Tejada