La seguridad de los sitios web es un tema candente estos días.
Los piratas informáticos se aprovechan de las vulnerabilidades de los sitios web para acceder a información confidencial, desfigurar los sitios web o pedir un rescate por ellos.
Su sitio puede ser un objetivo aunque no maneje datos sensibles porque estás conectado a otros sitios que lo hacen. Y el hacker atacará donde encuentre el eslabón más débil.
Por eso debe tienen algún tipo de seguridad en el sitio web.
Hay muchas maneras diferentes de proteger su sitio web de los bots, los hackers y el malware.
Este artículo le dará algunos consejos sobre cómo mantener su sitio web seguro y protegido. También hablaremos de algunos retos comunes de seguridad de los sitios web y cómo puedes resolverlos.
Pero primero, algunas preguntas rápidas...
¿Qué es la seguridad del sitio web?
La seguridad de un sitio web es una estrategia utilizada para mantener la seguridad de un sitio web. La seguridad de un sitio web incluye la protección contra personas externas que quieren dañar el sitio web. Pueden utilizarlo para cosas criminales nefastas, o simplemente impedir que funcione.
¿Por qué es importante la seguridad del sitio web?
La seguridad del sitio web es importante porque garantiza que su sitio web y sus datos permanezcan protegidos. Las medidas de seguridad pueden adoptar muchas formas, como la encriptación de datos, el control de los visitantes del sitio web y la defensa contra agentes externos.
¿Cómo saber si un sitio web es seguro?
Un sitio web es seguro si no ha sido violado, no puede y se vigila para detectar cualquier actividad anormal. Para ver si un sitio web es seguro, ejecute una comprobación de seguridad del sitio web con una herramienta como SiteCheck. Aunque no es perfecto, es un nivel de defensa contra el malware y los virus conocidos.
5 problemas comunes de seguridad en los sitios web
Los problemas de seguridad de los sitios web son de todo tipo. He aquí los 5 más comunes.
1) Spam
El spam se publica a menudo en forma de comentarios en blogs, foros y redes sociales bajo la apariencia de una contribución u opinión genuina.
Puedes detectar fácilmente el spam de comentarios porque el contenido es completamente aleatorio o irrelevante para el tema. Los comentarios se insertan en los debates sin otro motivo que promocionar contenidos de otro sitio, empresa o servicio.
Los 3 primeros categorías más frecuentes de spam de sitios web son la salud, los productos y... la pornografía. ????
El spam de comentarios puede afectar a su sitio web de muchas maneras:
- Debilita su marca
- Residuos su tiempo moderando y borrando comentarios
- Daños y perjuicios el SEO de su sitio web
- Envía sus visitantes a sitios web peligrosos o de baja calidad
2) Virus y malware
Malware significa "software malicioso". Es un tipo de código que puede ser inyectado en su sitio web. Y, con más de 28.000.000 de ataques de malware bloqueados diariamente, se está convirtiendo más comunes.
Un ataque de malware puede presentarse de muchas formas diferentes, entre ellas:
- Troyano de acceso remoto
- Bot
- Utilidad de contraseña
- Registrador de teclas
- Carcasa de la web
- Escalada de privilegios
- Carcasa invertida
- Gusano
- Phishing
Estos ataques de malware pueden hacer cosas horribles a su sitio web, incluyendo pero no limitado a:
- Desafía a servicios de alojamiento
- Bloque acceso al sitio web
- Robar datos personales
- Carga scripts sucios de terceros
- Redirigir visitantes del sitio web a páginas aleatorias
3) Registro de dominios WHOIS
Un ataque WHOIS intenta obtener información sensible de la base de datos WHOIS de un dominio.
Los registradores de dominios guardan la información de tu cuenta para que no tengas que recordarla cada vez que cambies de dominio.
Y aunque muchos propietarios de sitios web confían en ellos, también existen peligros. Si alguien adquiere sus datos de acceso a través de la piratería informática u otros medios, podría utilizar esta información para obtener los datos de registro de su dominio y secuestrarlo.
4) Ataques DDoS
Un ataque de denegación de servicio, o ataque DDoS, es un intento de hacer que un servidor web o un sitio web no esté disponible abrumándolo con tráfico de múltiples fuentes.
La industria que más sufre los ataques DDoS, con diferencia, es la del juego. Con la friolera de 79% de todos los ataques que se centran en ellos.
Los ataques DDoS pueden presentarse de muchas formas diferentes, entre otras:
- Ataques de inundación SYN enviar más solicitudes de las que su servidor puede manejar.
- Ataques de inundación UDP enviar grandes cantidades de datos al servidor.
- Ataques de peticiones HTTP Get sobrecargar el sitio web de destino solicitando páginas que están en el sitio.
- Ataques de inundación ICMP enviar grandes cantidades de peticiones ICMP.
- Ataque de fuerza brutas intentan adivinar el nombre de usuario y la contraseña de la interfaz phpMyAdmin de un sitio web.
5) SEO negativo (listas negras de motores de búsqueda)
Una lista negra de motores de búsqueda es una lista de sitios web que no son indexados por ninguno de los principales motores de búsqueda.
Algunos hackers pueden dedicarse a algo llamado "SEO de sombrero negro", también conocido como "SEO negativo". Al insertar un código malicioso en el sitio web de la competencia, pueden comprometer la seguridad del sitio y, por lo tanto, incluirlo en la lista negra de Google.
Esto puede lograrse de varias maneras:
- Spam de páginas web. Estos sitios web emplean tácticas de black hat como texto oculto, redireccionamientos y cloaking para dañar los resultados de Google de sus competidores.
- Spam de enlaces pagados. Es la práctica de comprar y vender enlaces con la intención de manipular el PageRank.
- Spam de fragmentos enriquecidos. Si da a sus competidores información falsa o engañosa, como por ejemplo críticas falsas.
- El malware. Es cuando la experiencia del usuario de un sitio web se ha visto perjudicada debido a la infección por malware.
- Suplantación de identidad. Estos sitios y páginas web falsos intentan robar sus datos personales haciéndose pasar por otra página. (como crear una página falsa de PayPal para robar tus datos bancarios).
15 formas sencillas de mantener la seguridad de su sitio web
Ahora que hemos visto las amenazas a la seguridad más comunes, veamos cómo proteger un sitio web.
1) Utilice un certificado SSL (protocolo HTTPS)
Un certificado SSL es un tipo de certificado que asegura su conexión con un sitio web. Vienen en diferentes formas y ayudan a proteger su información sensible de los demás.
Ventajas de un certificado SSL:
- Protege los datos sensibles que se transfieren desde su ordenador o dispositivo móvil al servidor del sitio web
- Protege los datos de acceso a las cuentas del sitio web, como la dirección de correo electrónico y la contraseña, para que no sean robados por piratas informáticos
- Verifica la identidad del sitio web cifrando la conexión entre su ordenador o dispositivo móvil y su servidor
- Elimina cualquier duda sobre si está interactuando con lo que cree que está interactuando
2) Mantenga actualizado el software de su sitio web
Cuando mantiene el software de su sitio web actualizado, se asegura de que esté protegido contra nuevas vulnerabilidades.
Ventajas de mantener el software actualizado:
- Mantiene su sitio web protegido contra las vulnerabilidades que los ciberdelincuentes pueden utilizar para entrar en su sitio o robar sus datos.
- Garantiza que los visitantes de su sitio web están viendo la versión más segura de su sitio web.
- Garantiza que los motores de búsqueda puedan acceder siempre al contenido de su sitio web, lo que mejora el SEO.
- Mejora la experiencia de usuario de los visitantes del sitio web utilizando un diseño actualizado y normas de funcionamiento del sitio web.
3) Elija un plan de alojamiento web seguro
Si utiliza un servidor compartido recursosAl igual que en un plan de alojamiento compartido, los archivos de su sitio web se almacenan en el mismo servidor que muchos otros sitios. Esto significa que su servidor es un objetivo más grande para los hackers y ataques de malware.
Y si otro sitio web es pirateado, el suyo también podría estar en peligro.
Algunas desventajas del alojamiento web en un servidor compartido son:
- Mayor riesgo de ataques de malware y ransomware.
- Posibilidad de que se produzca un tiempo de inactividad debido a un mal funcionamiento del servidor.
- Falta de control sobre el entorno del servidor. Esto significa que instalar aplicaciones específicas de seguridad de sitios web para proteger su sitio de ciertos tipos de ataques a sitios web es imposible.
- No hay acceso directo al servidor web que ejecuta su sitio web.
Elija un mejor alojamiento web con protección de seguridad de primera calidad en lugar de los típicos servicios de alojamiento compartido de baja calidad.
4) Utilice contraseñas complicadas
Utilizar contraseñas débiles o similares en todos los inicios de sesión de su sitio web es como tener una valla de 2 pies protegiendo su casa.
Una vez que le roben la contraseña, ésta se venderá a los hackers, que podrán hacer de todo, desde utilizar su dirección de correo electrónico hasta inscribirse en membresías de prueba gratuitas o comprar cosas con su tarjeta de crédito.
Su contraseña también podría ser utilizada para cambiar su contraseña y robar cualquier otra cuenta que tenga. Todo esto puede ocurrir sin que usted lo sepa.
Asegúrate de utilizar una contraseña complicada que sólo tú sepas descifrar.
5) Cambie su contraseña regularmente
Cambiar tus contraseñas con regularidad mantendrá tu sitio web seguro al dificultar que los robots adivinen tu contraseña. También ayudará a proteger otras cuentas que utilicen la misma contraseña.
Utilice un servicio como Firefox Lockwise o Monitorización de la web oscura de LastPass para que se le notifique cada vez que su información privada forme parte de una violación masiva de datos.
Pero no son servicios perfectos. Así que sigue siendo una buena práctica cambiar tus contraseñas regularmente.
6) Mantener un registro de toda la actividad de los usuarios
El registro de auditoría registra toda la actividad en el backend de su sitio web. Los registros de auditoría se utilizan para detectar cualquier acceso no autorizado, exitoso o no.
Puede utilizar diferentes métodos para auditar las actividades de su sitio web. Estos pueden incluir la gestión de sesiones, los métodos de autenticación y los sistemas de detección de intrusos. Este tipo de monitorización le ayudará a identificar a los usuarios no autorizados que intentan entrar en su sitio web.
Esto es especialmente importante si tiene muchos usuarios con acceso a su sitio web. Le ayudará a distinguir los usuarios maliciosos de los legítimos.
Muchos plugins de seguridad web de WordPress tienen una función de registro de auditoría. Personalmente me gusta usar Defensor Pro para muchos de mis sitios web.
7) Asignar permisos a los usuarios
Asigne los permisos de los usuarios de forma inteligente para evitar cualquier riesgo innecesario para la seguridad del sitio web.
Cualquiera con una cuenta de administrador puede hacer lo que quiera en su sitio. Esto es un riesgo para la seguridad. Necesitas un sistema de controles y equilibrios para que haya limitaciones para los usuarios del sitio web con privilegios elevados.
Estos son algunos ejemplos de los roles más comunes de los usuarios del sitio web:
Administrador
Los administradores pueden publicar, editar o eliminar cualquier contenido de su sitio web sin limitaciones. Es por ello que NO se recomienda para la mayoría de los usuarios porque tendrán un control total sobre todo lo que hay en su sitio.
Editor
Los editores pueden editar, publicar y gestionar las publicaciones de otros usuarios. Además de las propias, por supuesto.
Autor
Los autores pueden crear, editar y publicar sus propias entradas de blog. No tienen acceso al contenido de otros usuarios.
Colaborador
Los colaboradores también pueden crear y editar sus propias entradas de blog, pero no pueden publicar nada.
Abonado
Los suscriptores no tienen la capacidad de publicar nuevos contenidos en su sitio web. Sólo pueden editar su información de perfil existente.
8) Haga una copia de seguridad de su sitio web con regularidad
Hacer copias de seguridad, hacer copias de seguridad y volver a hacerlas.
Haga una copia de seguridad de su sitio web con regularidad para evitar cualquier pérdida catastrófica de datos.
Deberías actualizar regularmente tu sitio web y tus plugins, pero de todas formas podría producirse un fallo de seguridad en cualquier momento. Esto te costaría mucho tiempo y dinero para recuperarte.
Pero con una copia de seguridad de tu sitio web, podrías simplemente restaurarlo y borrar la brecha de seguridad del código de tu sitio web. (Con suerte... a veces un ataque de malware te impedirá acceder a tu sitio web, en cuyo caso tendrás que profundizar en tu servidor web para solucionar el problema).
9) Mantenga actualizado el software de su servidor web
Configuración del servidor web asuntos.
Mantener el software de su servidor web actualizado corrige las vulnerabilidades de seguridad del sitio web y le mantiene un paso por delante de los hackers y los bots de spam.
Las versiones más antiguas de los servidores web Apache, por ejemplo, tienen muchas más vulnerabilidades que los hackers pueden utilizar para entrar en su sitio web.
Aquí es donde vale la pena tener a alguien que gestione su sitio web en su nombre. Ellos pueden asegurarse de que la configuración de su servidor web se actualice tan pronto como se publiquen nuevos parches de seguridad del sitio web.
10) Restringir la carga de archivos
Una de las fuentes más comunes de infección en cualquier sitio web es la carga de archivos. Cuantas más subidas de archivos tengas, más riesgo corres con la seguridad de tu sitio web.
Aunque existen algunos métodos avanzados para proteger tu sitio web de subidas de archivos dañinos, es mucho más fácil restringir los permisos de subida de archivos sólo a ti mismo. O al menos restringir los tipo de archivos que se pueden cargar en su sitio.
11) Enmascarar la zona de acceso
Proteja su área de inicio de sesión enmascarándola. Esto es especialmente importante para las páginas de administración que contienen la configuración de su sitio web.
Asegúrese de que su URL de inicio de sesión no es fácil de adivinar, ya que esto facilita a los robots automatizados el acceso no autorizado a su sitio.
Cuando se crea un nuevo sitio web de WordPress, la URL de inicio de sesión por defecto será algo así:
- miweb.com/wp-login.php
- mi sitio web.com/admin
- mywebsite.com/login
Los hackers lo saben. Así que envían bots por miles para que pululen por los sitios web en masa y obtengan acceso a través de una contraseña débil o abrumando el servidor web con tráfico sucio.
Simplemente rediríjalo a algo lo suficientemente diferente como para que sea difícil de adivinar pero lo suficientemente fácil de recordar para usted o sus clientes.
12) Lista blanca de direcciones IP específicas para el acceso SFTP/SSH
La inclusión de una dirección IP en una lista blanca permite que determinadas direcciones IP se conecten a su sitio.
Esto evitará que cualquier dirección IP, que no haya sido específicamente preaprobada, acceda a los archivos de su sitio web.
13) Instalar cortafuegos
Un firewall de aplicaciones web, o WAF, es un servicio que bloquea y filtra el tráfico hacia su sitio.
Un cortafuegos de aplicaciones web tiene como objetivo proteger su sitio web de ataques de denegación de servicio distribuido (DDoS), bots de spam, suplantación de IP, malware, intentos de inyección SQL y mucho más.
La mayoría de los servicios de filtrado le permitirán especificar los tipos de tráfico que desea bloquear o limitar (por ejemplo: correo electrónico, FTP o voz).
Otras funciones más avanzadas, como los sistemas de detección de intrusos (IDS), pueden ofrecer cierta protección contra los intentos de acceso por fuerza bruta.
La mayoría de los cortafuegos también ofrecen informes sobre la actividad maliciosa con el objetivo de identificar cualquier patrón para una mejor detección en el futuro.
14) Asegure su ordenador personal
Si su ordenador no es seguro, los piratas informáticos pueden acceder a él y controlarlo a distancia. Entonces pueden utilizar tu ordenador para acceder a tus cuentas o atacar otros dispositivos de Internet.
Mantenga su ordenador actualizado con los últimos parches de seguridad y ejecute un software antivirus o algún tipo de protección contra el malware.
Y, por supuesto, utilice contraseñas seguras en todos sus dispositivos. Si los roban físicamente, los ladrones no pueden acceder a sus datos personales.
15) Comprar protección de la privacidad del dominio
Para evitar que personas malintencionadas obtengan su información de contacto de la base de datos WHOIS, puede adquirir la privacidad de su dominio en el registrador de dominios.
Esto es lo que parece cuando se intenta buscar mi sitio web en WHOIS:
¿Cómo de seguro es su ¿página web?
Los hackers son cada vez más inteligentes y sofisticados. Utilice estas medidas de seguridad para evitar un incidente de seguridad importante. De lo contrario, su sitio web podría convertirse rápidamente en objetivo de ataques maliciosos.
Siguiendo estos consejos de seguridad para sitios web, no sólo protegerá su sitio, sino también a todos los clientes que lo utilicen.
Si necesitas ayuda para mejorar la seguridad de tu sitio web, o quieres que alguien gestione tu sitio web por completo para que nunca más tengas que pensar en estas cosas, ¡hablemos!