security.txt es un estándar ampliamente extendido para informar de vulnerabilidades de seguridad a los propietarios de servicios. El objetivo principal de security.txt es ayudar tanto a sus clientes como investigadores de seguridad a ponerse en contacto con usted fácilmente cuando encuentren una vulnerabilidad en un dominio de Plesk.

A partir de la versión 18.0.62, Plesk Obsidian es totalmente compatible con el estándar:

  • El archivo security.txt se genera para todos los dominios alojados en un servidor Plesk.
  • Plesk mantendrá de forma continua el archivo security.txt una vez creada y activada la función.
  • Plesk tiene en cuenta el archivo security.txt personalizado de un dominio y nunca aplica las directivas de seguridad del archivo del servidor al dominio.
  • Plesk actualiza automáticamente la fecha de expiración del archivo.

Para que su servidor Plesk cumpla con security.txt:

  1. Acceso a Plesk.

  2. Instale la extensión «Native security.txt compliance».

  3. Una vez instalada la extensión, haga clic en Abrir.

  4. Seleccione la casilla «Enable compliance with the «security.txt» standard in Plesk» (Activar la conformidad con el estándar «security.txt» en Plesk).

    image security txt extension

  5. (Opcional) Para modificar el archivo security.txt predeterminado generado por Plesk, seleccione la casilla «Use the custom security.txt text» (Usar el texto personalizado de security.txt) y especifique lo que desea modificar en el campo «Security.txt text» (Texto de security.txt). También puede cambiar el archivo desde la línea de comandos.

  6. Guarde los cambios haciendo clic en:

  • Save (Guardar) para guardar la configuración y aplicar los cambios manualmente más tarde. Por ejemplo, puede hacerlo para dar a sus clientes tiempo extra para reconfigurar sus dominios de acuerdo con los cambios y así evitar posibles problemas. Puede reconfigurar el servidor manualmente ejecutando el comando CLI plesk repair web`.
  • Save and Reconfigure (Guardar y reconfigurar) si desea aplicar los cambios y reconfigurar el servidor Plesk ahora mismo.

Ahora su servidor Plesk cumple con security.txt.

Uso de la utilidad de línea de comandos

Puede utilizar la utilidad de línea de comandos plesk ext security-txt-plesk para actualizar la configuración de security.txt. La utilidad acepta los siguientes comandos:

  • --help: imprime todos los comandos security-txt-plesk disponibles.

  • --status: muestra si el servidor Plesk usa las directivas security.txt. Si ha activado la directiva security.txt predeterminada, devolverá value: on. Si ha activado una directiva security.txt personalizada o ha utilizado una ruta de archivo personalizada, devolverá value: custom.

  • --enable: configura todos los dominios de su servidor Plesk para que usen las directivas security.txt predeterminadas. Desactivará cualquier ruta de archivo personalizada y la opción «Use the custom security.txt text» (Usar el texto personalizado de security.txt) en el menú de la extensión.

  • --disable: configura todos los dominios de su servidor Plesk para que ignoren todas las directivas security.txt.

  • -path: establece una nueva ruta para el archivo security.txt. Para establecer una nueva ruta para un archivo security.txt, primero debe tener un archivo security.txt en la nueva ubicación.
    Nota:

    Para que este comando funcione, primero debe activar la opción «Use the custom security.txt text» (Usar el texto personalizado de security.txt) en el menú de la extensión «Native security.txt compliance». A continuación, debe incluir el comando --reconfigure-all. Por ejemplo, para utilizar un directorio security personalizado para su archivo security.txt, cree el nuevo archivo y directorio y, a continuación, utilice el siguiente comando: plesk ext security-txt-plesk -path /security/security.txt --reconfigure-all.

  • --reconfigure-all: actualiza todos los dominios del servidor Plesk para usar la nueva configuración de security.txt.