Este octubre, con motivo del mes de la ciberseguridad #CyberSecurityMonth, hemos querido compartir un artículo con las 4 medidas clave de seguridad web que puedes tomar para proteger tu sitio, tanto desde el punto de vista de la página como del servidor.
Table of Contents
1. ¿Por qué debes preocuparte por la seguridad de tu página web?
Hoy en día resulta indudable que tener presencia en Internet presenta múltiples ventajas para los negocios. Lo que puede pasar más desapercibido de entrada es el inherente riesgo que supone tener un sitio web: el hecho de que nuestra información es subida a la red y nuestro negocio queda mucho más expuesto a ataques informáticos y estafas.
Cada vez son más los negocios que sufren algún tipo de intento de ciberataque, y no solo les sucede a las grandes empresas. Puedes pensar que el sitio de tu modesto negocio pasa desapercibido entre millones de webs de la red, o que al ser tan pequeño carece de valor para ser atacado. Pero nada más lejos de la realidad: te aseguramos que tu humilde sitio web también puede estar en el punto de mira de piratas informáticos.
Y es que, independientemente de la envergadura, todo aquel que tenga en su propiedad un sitio web debe ocuparse de la seguridad del mismo porque las consecuencias de un ataque informático pueden provocar daños irreversibles. Hablamos por ejemplo de perjuicios tales como problemas que provoquen la inhabilitación del sitio, cosa que en determinados sectores supone pérdidas de dinero, o el acceso a datos y archivos con información de tu negocio y de tus visitantes que pueden ser borrados o usados sin consentimiento de manera que se vean comprometidos tanto el negocio como la confianza de los clientes.
Dicho todo esto, queda claro que la seguridad de tu página web debe ser un ‘must’ si quieres evitar los estragos que podría acarrear un ataque informático. En estos casos, lo mejor es adoptar un enfoque preventivo, o expresado de otra forma, “más vale prevenir que curar”.
2. Las claves para proteger tu página web
a) Elegir un buen proveedor de hosting web
El primer paso para proteger tu sitio es alojarlo en un servidor web seguro. Por muchas medidas de seguridad que puedas aplicar a tu web, de nada van a servir si los malhechores consiguen colarse en el servidor web donde se hospeda.
Te estarás preguntando, ¿puede un hosting no ser seguro? Sí, puede. Hay que tener en cuenta que existen muchos planes de hosting a muchos precios distintos, y no todos cumplen con las medidas que podrían considerarse básicas. Por ello, hay que descartar aquellos proveedores que no generan confianza y encontrar una empresa y un plan que ofrezca un nivel de seguridad óptimo para tu caso y que cumpla con unos mínimos:
- Cifrado SSL: este tipo de cifrado encripta datos y conexiones para que en caso de ser interceptados resulten incomprensibles. La mayoría de planes de hosting lo incluyen pero si no, puedes obtener el certificado SSL por tu cuenta.
- Servicio de copias de seguridad: que permita realizar copias de seguridad periódicas, automáticas, restaurables por cuenta propia y a poder ser distribuidas geográficamente. Hay que asegurar que siempre tengamos un back-up disponible para minimizar el tiempo en el que el sitio permanece inoperante.
- Firewall: debe incorporar una primera línea de defensa efectiva para filtrar el tráfico malicioso y proteger el sitio ante amenazas como virus y malware.
- Protección contra ataques DDOS y ataques de fuerza bruta: debe tener mecanismos para desviar este tipo de ataques y mantenerse actualizado para asegurar que los va a poder seguir neutralizando en el futuro.
- Monitoreo y escaneo: es recomendable que lo realice constantemente para detectar y eliminar posibles amenazas.
- Seguridad interna: estas medidas van desde corregir vulnerabilidades para asegurarse de que sus propios servidores están protegidos, hasta restringir el acceso físico y virtual a los mismos.
- Buen soporte: es recomendable testear el servicio de soporte de un hosting para comprobar que responden rápido, que son capaces de comprender correctamente las dudas o problemas y que proporcionan soluciones efectivas.
Nosotros confiamos en el hosting de SiteGround: nos ofrece todas estas medidas de protección y más allá de la seguridad web ofrece muy buenos servicios.
b) Construir una página web segura desde el inicio
Una vez escogido el hosting, hay que construir el sitio teniendo en cuenta una serie de factores para que la seguridad sea robusta y esté no solamente activada sino integrada. Para ello, hay una serie de actuaciones recomendables:
- Instala el certificado SSL: configúralo antes que nada, no esperes a que tu sitio web esté del todo listo porque en este lapso de tiempo también puede ser vulnerable. Muchos proveedores de hosting facilitan su implementación.
- Protege el acceso: nada de contraseñas tipo “123456” ni de nombres de usuario tipo “admin”. Establece un nombre de usuario y una contraseña fuertes y asegúrate de que todo aquel que tenga acceso al panel de administración también lo haga. Puede parecer una medida de seguridad muy obvia, al fin y al cabo tu contraseña es la llave que permite abrir la cerradura de la puerta de entrada a tu sitio. Pero merece la pena hacer hincapié en ella porque, aunque se supone, no siempre se aplica.
- Protege tus formularios: puedes hacerlo con el uso de captchas y con la programación de unos segundos de espera en los formularios de login para evitar ataques de bots.
- Temas, plugins y otras aplicaciones: son muy útiles pero debes recordar que cuando los instalas en tu sitio web estás añadiendo código de un tercero que puede convertirse en una vía de entrada más para los ciberdelincuentes. Por este motivo deberías abstenerte de instalar temas y plugins que sean de dudosa fiabilidad o que sabes que no vas a utilizar. Instala únicamente aquellos que sean estrictamente necesarios para tu proyecto, que estén actualizados y que provengan de proveedores confiables, como el repositorio oficial de WordPress. En este aspecto, merece la pena valorar la opción de adquirir software de pago porque tiene el respaldo de una empresa y ofrece la garantía de que va a estar actualizado. Así, construirás tu sitio con componentes de calidad y te ahorrarás problemas que pueden llegar a convertirse en verdaderos quebraderos de cabeza.
- Copias de seguridad: lo mejor es configurar desde el primer día la realización de copias de seguridad periódicas: que estas se ejecuten de forma automática, con la mayor regularidad posible, que se almacenen de forma segura y que estén disponibles durante varios días.
c) Realizar tareas de mantenimiento web
Una vez construido tu sitio web aplicando estas medidas puedes pensar que ya está todo, que ya no debes preocuparte de nada más relacionado la seguridad web. ¡Error! Siempre puede haber piratas informáticos al acecho, esperando a encontrar cualquier vulnerabilidad para tener la oportunidad de atacarte. Por ello, llevar a cabo un mantenimiento web con periodicidad es necesario para, valga la redundancia, mantener tu página web segura.
Las siguientes tareas de mantenimiento son las más relevantes para la seguridad web:
- Actualiza el software: es muy importante mantener el software actualizado. Tanto el core de WordPress como los plugins y temas son revisados continuamente por parte de sus creadores para ser modificados y parcheados ante posibles ataques. Si, por ejemplo, no actualizas un plugin que ha sido mejorado con nuevas medidas de seguridad, ahí se genera una brecha por la cual los malhechores pueden colarse. Tampoco debes olvidarte de usar siempre la última versión de PHP. Existe la posibilidad de configurar tu WordPress para que se realicen las actualizaciones de forma automática, pero no en todos los casos es recomendable porque puedes tener código personalizado o porque un fallo puede provocar inhabilitaciones en el sitio que permanezcan hasta que consigas arreglarlo.
- Escanea tu sitio: realizar verificaciones regulares te permitirá asegurarte de que tu web está a salvo. Existen herramientas de análisis que te van a permitir detectar problemas, fallos o vulnerabilidades en tu sitio web que comprometan su seguridad. Hay escáneres en línea o, aún mejor, plugins que tienen la posibilidad de revisar más a fondo tu web, llegando a la raíz del código.
¿No sabes por dónde empezar con el mantenimiento de tu sitio web? ¡Nosotros lo hacemos por ti!
d) Añadir seguridad web extra mediante un plugin
Con la aplicación de los temas revisados hasta ahora se conseguiría un buen nivel de seguridad. Pero más vale no escatimar, siempre viene bien un poco de seguridad extra, y para ello existen plugins de seguridad que te ayudarán a fortificar aún más tu sitio.
Existen varios, pero si tuviéramos que mojarnos por alguno sería por el plugin SiteGround Security por las funcionalidades suplementarias que nos ofrece:
- Ajustes de acceso: permiten personalizar la URL de acceso, limitar el acceso para ciertas IPs, añadir un segundo paso a la autenticación de usuarios y establecer un límite de intentos de acceso que al ser superado implique un tiempo de bloqueo.
- Refuerzos para la seguridad web general del sitio: permiten proteger y bloquear tus archivos ante scripts no autorizados, ocultar tu versión actual de WordPress para escapar de ataques masivos, incorporar protección XSS avanzada o eliminar el archivo readme.txt con la información que contiene sobre tu sitio, entre otras medidas.
- Registro de actividad: es un registro detallado de la actividad de los visitantes de tu sitio que te ayuda a identificar actividades sospechosas por parte de algunos usuarios y a detectar IPs malintencionadas, con la posibilidad de bloquearlas.
- Herramientas para reaccionar ante un hackeo: ofrecen facilidades para recuperar la estabilidad y el funcionamiento normal de tu sitio en caso de ataque. Permiten, por ejemplo, desconectar todos los usuarios, forzar que restablezcan sus contraseñas o reinstalar todos tus plugins.
Ya hemos dejado clara la importancia que tiene hoy en día no pasar por alto la seguridad web para cualquiera que posea un sitio: proteger tu web significa proteger tu negocio y tus clientes, independientemente de lo grande o pequeño que sea tu proyecto. Debes velar por la seguridad web de tu sitio de principio a fin, empezando por la elección del hosting, pasando por la propia construcción del sitio, y siguiendo con la realización continuada de tareas de mantenimiento. Además, siempre es recomendable apoyarte en algún plugin que te permita añadir un plus para hacer tu página web más segura.
¿Quieres empezar a tomar medidas para tener una página web segura?
¡En Dimoteca podemos ayudarte!
