Los servidores web, por su estructura, abren una ventana entre tu red y el mundo. El cuidado que tengas con el mantenimiento, la actualización y la codificación de tu página web definirá el tamaño de esa ventana. Lo recomendable es que, ante un buen trabajo de análisis interno, establezcas el grado de seguridad web que deseas tener para evitar ser víctima de la ciberdelincuencia.
Muchos piensan que solo necesitan fortalecer las medidas de seguridad si tu empresa tiene grandes activos financieros y permites usar tarjetas bancarias o trabajas con datos confidenciales para acceder a ciertos servicios de tu sitio web, pero la realidad es que puedes sufrir un ataque en cualquier momento. Por ejemplo, tu sitio web puede ser atacado por un ransomware que cifre todos tus datos para que no tengas acceso a ellos a menos que pagues dinero.
La ciberseguridad es importante porque los sitios web desprotegidos están expuestos a sufrir este tipo de ataques, entre otros.
- Robo de información confidencial guardada en el servidor web.
- Explotación de datos personales –desde direcciones de correo electrónico hasta información de pagos– de los visitantes para utilizarlos inadecuadamente (robo de identidad, extorsiones, abuso de confianza, estafas, etc.).
- Redireccionamiento a páginas web maliciosas.
- Mostrar anuncios no deseados.
- Engañar a los bots y rastreadores de los motores de búsqueda para hacer SEO de “sombrero negro” (Black Hat SEO), cuyo objetivo es atraer tráfico a sitios web que no siguen las mejores prácticas de internet.
- Utilizar las computadoras de los visitantes para hacer minería de criptomonedas.
- Recibir ataques DDoS que pueden alentar tu página o hacer que deje de funcionar de manera inesperada, haciéndola inaccesible para los visitantes.
Realizar descargas de software malicioso.
Consejos de Seguridad Básicos
Si te preocupa la vulnerabilidad de tus visitantes en tu sitio y no quieres correr riesgos, puedes aplicar acciones de seguridad que consideramos básicas para todo sitio web:
- Instalar un certificado SSL.
- Instala un Firewall de Aplicaciones o sitio Web.
- Utilizar un escáner web.
- Actualiza el software, plugin, módulos y temas con frecuencia.
- Utilizar contraseñas fuertes.
- Limitar el acceso de los usuarios y los permisos en tu sitio web.
- Modifica los ajustes preestablecidos de tu CMS.
- Realiza copias de seguridad de tu página web.
- Utilizar una CDN para tu sitio
1.- Instalar un certificado SSL
Los certificados de seguridad SSL son una medida básica para proteger la información personal que recolectas en tu página web o eCommerce. Por ejemplo, emails o números de tarjetas de crédito o débito.
También configura tu sitio para que se muestre siempre usando https:// y no con http://
Debes tener en cuenta que los certificados SSL solo protegen los datos en tránsito. Es decir, los que van desde el navegador de tus visitantes hacia tu servidor, por eso es mucho mejor si incluyes otras de las medidas que explicamos a continuación.
2.- Instala un Firewall de Aplicaciones o sitio Web
Un Firewall -también conocido como cortafuegos-es un sistema (ya sea hardware o software) que actúa como un ‘guardia de seguridad’, que deja pasar (o no) los datos que fluyen entre dos redes. Por ejemplo, entre tu sitio web e internet.
Los cortafuegos existen para impedir que los sistemas no autorizados puedan conectarse a tu página web y, por lo tanto, obtengan los datos que compartes a través de ella. Entre sus ventajas, los Firewall de Aplicaciones Web incluyen:
- Filtrar y monitorizar el tráfico HTTP entre tu sitio web e internet, para identificar cuando existan intentos de ataques como Cross-site scripting (que consiste en insertar código malicioso), SQL Injection (que hace vulnerable a la base de datos del servidor) o Denial-Of-Service (que imposibilita al servidor para realizar correctamente las peticiones de los usuarios).
- Establecer distintos niveles de seguridad entre los usuarios que tienen acceso a tu red.
Cada CMS o software por lo general te permite adicionar un firewall ya sea de pago o gratuito, revisa en la biblioteca de tu software las opciones que tienes disponibles y las características de cada uno.
Conoce los 5 mejores Firewall para WordPress
3.- Utilizar un escáner web
Un escáner de seguridad sirve para revisar tu sitio web cada determinado tiempo. Su objetivo es detectar malware o actividades sospechosas, así como descubrir si tu página está en las listas negras –también conocidas como blacklist– de los motores de búsqueda, lo cual podría conllevar a que tu sitio sea inaccesible o tus datos estén en riesgo.
Estos pueden o no estar incluidos en los firewall por lo que revisa en las características de tu firewall instalado, sin embargo siempre es recomendable tener disponible un escáner web en tu sitio
4.- Actualiza el software, plugin, módulos y temas con frecuencia
Es indispensable que actualices el software que ayuda a mantener tu página en línea, tan pronto como esté disponible cualquier complemento o renovación. ¿Por qué? Porque las actualizaciones no solo sirven para modernizar un software, sino también para implementar mejoras de seguridad o poner ‘parches’ a las vulnerabilidades anteriores del sistema.
Piensa que muchos ataques cibernéticos ocurren de forma automatizada. Es decir, que los bots rastrean en internet las páginas web buscando problemas de seguridad en ellas para explotarlas.
Aquí también entra la importancia del Firewall, porque éste pone un ‘parche digital’ a los agujeros de seguridad que puedan existir tan pronto como apliques las actualizaciones.
5.- Utilizar contraseñas fuertes
¿Alguna vez has pensado que algo tan sencillo como las letras y los caracteres de tu contraseña puede tener un enorme impacto en tu sitio web?
Tal vez no lo sepas, pero las personas que nos dedicamos a corregir y desinfectar páginas web atacadas por cibercriminales, necesitamos iniciar sesión en tu sitio o servidor web. ¡Y te sorprendería saber la cantidad de personas que utilizan contraseñas débiles como “admin123” y están expuestas al hackeo de sus cuentas! Si esto ocurriera en tu caso, sería muy difícil que un especialista pueda ingresar a tu página web para arreglarla.
Estos son cinco tips básicos de Google para tener una contraseña segura de tu cuenta (los cuales aplican prácticamente para cualquier contraseña online):
- Procura que tu contraseña sea larga (8 caracteres o más).
- Combina letras, números y símbolos.
- No utilices una contraseña insegura como “contrasena123”.
- Utiliza contraseñas aleatorias. Los programas que descifran contraseñas están diseñados para utilizar palabras encontradas en línea o en diccionarios.
- Intenta que sea fácil de recordar para ti, pero prácticamente imposible de adivinar para otra persona.
6.- Limitar el acceso de los usuarios y los permisos en tu sitio web
En el ámbito de la ciberseguridad, la asignación de permisos que puede tener un usuario sobre un sistema o la información, es una práctica de seguridad que se aplica de forma continua. Por ejemplo, los sistemas operativos son desarrollados con diferentes roles (y por supuesto privilegios), pensados para distintos perfiles de usuarios, de acuerdo con sus actividades y responsabilidades.
Operar bajo el principio del menor privilegio, tal como su nombre lo indica, parte de la premisa de otorgar los permisos necesarios y suficientes a un usuario para desempeñar sus actividades, por un tiempo limitado, y con el mínimo de derechos necesarios para sus tareas. Una práctica que se puede implementar en cuanto al uso de la tecnología, con el objetivo de procurar la seguridad de la información, así como nuestra privacidad.
La asignación de permisos a un usuario, más allá de los derechos necesarios para llevar a cabo una acción determinada, puede permitirle llevar a cabo acciones para las cuales no está autorizado, como acceder, obtener o modificar información. Además, los privilegios deben estar considerados para las entidades o servicios puedan cumplir con sus objetivos, sin comprometer la privacidad o la seguridad; sin embargo, en esta tarea, recae una importante responsabilidad de los usuarios para conocer y otorgar los permisos necesarios y suficientes.
7.- Modifica los ajustes preestablecidos de tu CMS
Los sistemas de gestión de contenido (CMS por sus siglas en inglés) son muy fáciles de usar es por ello que son muy populares, pero pueden ser vulnerables cuando dejas la configuración preestablecida de tu cuenta. Como mencionamos previamente, los bots trabajan automáticamente para atacar a los sitios desactualizados o fáciles de descifrar.
En este aspecto, es mejor que cambies los ajustes preestablecidos de los comentarios, los usuarios, la visibilidad de datos del usuario y los permisos de archivos, de esta manera al menos hacerles el trabajo más difícil a los atacantes.
8.- Realiza copias de seguridad de tu página web periodicamente
En caso de que hayan hackeado tu sitio, las copias de seguridad te ayudarán a recuperar lo que existía antes del incidente y recuperar todo en caso lo hayan eliminado . Debes tener en cuenta que esto no es una solución para ahorrarte otros métodos de seguridad, ya que por ejemplo roban la información de tus clientes un respaldo no evitará que los atacantes lo utilicen, este es un método de recuperación cuando un pirata informático roba o elimina tus datos o falla tu servidor web.
De esta manera solo habrás perdido algunas horas de trabajo como máximo en cualquier eventualidad, para esto puedes utilizar varios métodos, puedes ver nuestra guia para crear respaldos en tu hosting
9.- Utilizar una CDN para tu sitio
Una CDN te sirve bastante, tanto para acelerar tu sitio como para proporcionar una capa de seguridad a tu sitio o sistema.
Puedes instalar una CDN de Cloudflare o CloudFront de Amazon ya que estas te permiten añadir un filtros ya sean por país, IP, continente o incluso por tipo de navegador, también cuentan con herramientas que te ayudan a mejorar la velocidad con la que tu sitio se carga, por lo que considero que es una herramienta muy útil para cualquier sitio web que no requiera de cambios constantes.
