Aquest octubre, amb motiu del mes de la ciberseguretat #CyberSecurityMonth, hem volgut compartir un article amb les 4 mesures clau de seguretat web que pots prendre per protegir el teu lloc web, tant des del punt de vista de la pàgina com del servidor.
Table of Contents
1. Per què t'has de preocupar per la seguretat de la teva pàgina web?
Avui dia resulta indubtable que tenir presència a Internet presenta múltiples avantatges per als negocis. El que pot passar més desapercebut d’entrada és l’inherent risc que suposa tenir un lloc web: el fet que la nostra informació és pujada a la xarxa i el nostre negoci queda molt més exposat a atacs informàtics i estafes.
Cada cop són més els negocis que pateixen algun tipus d’intent de ciberatac, i no només els passa a les grans empreses. Pots pensar que el modest lloc web del teu negoci passa desapercebut entre milions de webs de la xarxa, o que en ser tan petit no té valor per ser atacat. Però res més lluny de la realitat: t’assegurem que el teu humil lloc web també pot estar al punt de mira de pirates informàtics.
I és que, independentment de l’envergadura, tothom que tingui en la seva propietat un lloc web s’ha d’ocupar de la seguretat perquè les conseqüències d’un atac informàtic poden provocar danys irreversibles. Parlem per exemple de perjudicis com ara problemes que provoquin la inhabilitació del lloc, cosa que en determinats sectors suposa pèrdues de diners, o l’accés a dades i arxius amb informació del teu negoci i dels teus visitants que poden ser esborrats o usats sense consentiment, de manera que es vegin compromesos tant el negoci com la confiança dels clients.
Dit tot això, queda clar que la seguretat de la teva pàgina web ha de ser un ‘must’ si vols evitar els estralls que podria comportar un atac informàtic. En aquests casos, el millor és adoptar un enfocament preventiu, o expressat d’una altra manera, “val més prevenir que curar”.
2. Les mesures clau per protegir la teva pàgina web
a) Escollir un bon proveïdor de hosting web
El primer pas per protegir el teu lloc web és allotjar-lo en un servidor web segur. Per moltes mesures de seguretat que puguis aplicar a la teva web, de res serviran si els malfactors aconsegueixen colar-se al servidor web on s’allotja.
Et preguntaràs, pot un hosting no ser segur? Sí, pot ser-ho. Cal tenir en compte que hi ha molts plans de hosting web a molts preus diferents, i no tots compleixen amb les mesures que es podrien considerar bàsiques. Per això, cal descartar aquells proveïdors que no generen confiança i trobar una empresa i un pla que ofereixi un nivell de seguretat òptim per al teu cas i que compleixi uns mínims:
- Xifratge SSL: aquest tipus de xifratge encripta dades i connexions perquè en cas de ser interceptades resultin incomprensibles. La majoria de plans de hosting ho inclouen però si no, pots obtenir el certificat SSL pel teu compte.
- Servei de còpies de seguretat: que permeti fer còpies de seguretat periòdiques, automàtiques, restaurables per compte propi i a poder ser distribuïdes geogràficament. Cal assegurar que sempre tinguem un back-up disponible per minimitzar el temps en què el lloc roman inoperant.
- Firewall: ha d’incorporar una primera línia de defensa efectiva per filtrar el trànsit maliciós i protegir el lloc davant amenaces com virus i malware.
- Protecció contra atacs DDOS i atacs de força bruta: ha de tenir mecanismes per desviar aquest tipus d’atacs i mantenir-se actualitzat per assegurar que els continuarà neutralitzant en el futur.
- Monitorització i escaneig: és recomanable que ho realitzi constantment per detectar i eliminar possibles amenaces.
- Seguretat interna: aquestes mesures van des de corregir vulnerabilitats per assegurar-se que els seus propis servidors estan protegits, fins a restringir-ne l’accés físic i virtual.
- Bon suport: és recomanable testejar el servei de suport d’un hosting per comprovar que responen ràpidament, que són capaços de comprendre correctament els dubtes o problemes i que proporcionen solucions efectives.
Nosaltres confiem en el hosting de SiteGround: ens ofereix totes aquestes mesures de protecció i, més enllà de la seguretat web, proporciona molt bons serveis.
b) Construir una pàgina web segura des de l'inici
Un cop escollit el hosting, cal construir el lloc web tenint en compte una sèrie de factors perquè la seguretat sigui robusta i estigui no només activada sinó integrada. Per això, hi ha una sèrie d’actuacions recomanables:
- Instal·la el certificat SSL: configura’l abans que res, no esperis que el teu lloc web estigui del tot llest perquè en aquest lapse de temps també pot ser vulnerable. Molts proveïdors de hosting faciliten la implementació.
- Protegeix l’accés: res de contrasenyes tipus “123456” ni de noms d’usuari tipus “admin”. Estableix un nom d’usuari i una contrasenya forts i assegura’t que tothom que tingui accés al panell d’administració també ho faci. Pot semblar una mesura de seguretat molt òbvia, al cap i a la fi la teva contrasenya és la clau que permet obrir el pany de la porta d’entrada a la teva web. Però val la pena posar-hi èmfasi perquè, encara que se suposa, no sempre s’aplica.
- Protegeix els teus formularis: ho pots fer amb l’ús de captchas i amb la programació d’uns segons d’espera als formularis de login per evitar atacs de bots.
- Temes, plugins i altres aplicacions: són molt útils però has de recordar que quan els instal·les al teu lloc web estàs afegint codi d’un tercer que es pot convertir en una via d’entrada més per als ciberdelinqüents. Per aquest motiu hauries d’abstenir-te d’instal·lar temes i plugins que siguin de dubtosa fiabilitat o que saps que no utilitzaràs. Instal·la únicament aquells que siguin estrictament necessaris per al teu projecte, que estiguin actualitzats i que provinguin de proveïdors fiables, com ara el repositori oficial de WordPress. En aquest aspecte, val la pena valorar l’opció d’adquirir programari de pagament perquè té el suport d’una empresa i ofereix la garantia que estarà actualitzat. Així, construiràs el teu lloc amb components de qualitat i t’estalviaràs problemes que poden arribar a convertir-se en veritables maldecaps.
- Còpies de seguretat: el millor és configurar des del primer dia la realització de còpies de seguretat periòdiques: que aquestes s’executin de forma automàtica, amb la major regularitat possible, que s’emmagatzemin de manera segura i que estiguin disponibles durant diversos dies.
c) Realitzar tasques de manteniment web
Un cop construït el teu lloc web aplicant aquestes mesures pots pensar que ja està tot, que ja no t’has de preocupar de res més relacionat la seguretat web. Error! Sempre hi pot haver pirates informàtics a l’aguait, esperant trobar qualsevol vulnerabilitat per tenir l’oportunitat d’atacar-te. Per això, dur a terme un manteniment web amb periodicitat és necessari per, valgui la redundància, mantenir la teva pàgina web segura.
Les tasques de manteniment següents són les més rellevants per a la seguretat web:
- Actualitza el software: és molt important mantenir el programari actualitzat. Tant el core de WordPress com els plugins i temes són revisats contínuament per part dels seus creadors per ser modificats i apedaçats davant de possibles atacs. Si, per exemple, no actualitzes un plugin que ha estat millorat amb noves mesures de seguretat, aquí es genera una bretxa per la qual els malfactors es poden colar. Tampoc t’has d’oblidar de fer servir sempre l’última versió de PHP. Hi ha la possibilitat de configurar el teu WordPress perquè es realitzin les actualitzacions de forma automàtica, però no en tots els casos és recomanable perquè pots tenir codi personalitzat o perquè una fallada pot provocar inhabilitacions al lloc que romanguin fins que aconsegueixis arreglar-ho.
- Escaneja el teu lloc web: realitzar verificacions regulars et permetrà assegurar-te que la teva web està fora de perill. Hi ha eines d’anàlisi que et permetran detectar problemes, errors o vulnerabilitats al teu lloc web que comprometin la seva seguretat. Hi ha escàners en línia o, encara millor, plugins que tenen la possibilitat de revisar més a fons la teva web, arribant a l’arrel del codi.
No saps per on començar amb el manteniment del teu lloc web?
Nosaltres ho fem per tu!
d) Afegir seguretat web extra mitjançant un plugin
Amb l’aplicació dels temes fins ara revisats s’aconseguiria un bon nivell de seguretat. Però val més no escatimar, sempre va bé una mica de seguretat extra, i per això existeixen plugins de seguretat que t’ajudaran a fortificar encara més el teu lloc web.
N’hi ha diversos, però si haguéssim de mullar-nos per algun seria pel plugin SiteGround Security per les funcionalitats suplementàries que ens ofereix:
- Ajustaments d’accés: permet personalitzar l’URL d’accés, limitar l’accés per a certes IPs, afegir un segon pas a l’autenticació d’usuaris i establir un límit d’intents d’accés que en ser superat impliqui un temps de bloqueig.
- Reforços per a la seguretat web general del lloc: permeten protegir i bloquejar els teus arxius davant de scripts no autoritzats, ocultar la teva versió actual de WordPress per escapar d’atacs massius, incorporar protecció XSS avançada o eliminar el fitxer readme.txt amb la informació que conté sobre el teu lloc web, entre altres mesures.
- Registre d’activitat: és un registre detallat de l’activitat dels visitants de la teva web que t’ajuda a identificar activitats sospitoses per part d’alguns usuaris i a detectar IPs malintencionades, amb la possibilitat de bloquejar-les.
- Eines per reaccionar davant d’un hackeig: ofereixen facilitats per recuperar l’estabilitat i el funcionament normal del teu lloc web en cas d’atac. Permeten, per exemple, desconnectar tots els usuaris, forçar que restableixin les contrasenyes o reinstal·lar tots els plugins.
Ja hem deixat clara la importància que té avui dia no passar per alt la seguretat web per a qualsevol que tingui un lloc web: protegir la teva web significa protegir el teu negoci i els teus clients, independentment com de gran o petit sigui el teu projecte. Has de vetllar per la seguretat web del teu lloc web de principi a fi, començant per l’elecció del hosting, passant per la pròpia construcció de la pàgina, i seguint amb la realització continuada de tasques de manteniment. A més, sempre és recomanable recolzar-te en algun plugin que et permeti afegir un plus per fer la teva pàgina web més segura.
Vols començar a prendre mesures per tenir una pàgina web segura?
A Dimoteca podem ajudar-te!
