Cómo hacer que su CMS (Sistema de gestión de contenido) sea realmente a prueba de piratería
El desarrollo de la seguridad del sitio web es similar a una relación Yin-Yang. Cuantos más hackers intentan obtener acceso, más fuerte se vuelve la seguridad. Cuanto mayor es la seguridad, más difícil es que el elemento criminal intente acceder. Es un proceso continuo en el que una entidad intenta constantemente superar a la otra.
En la mezcla de toda esta piratería, ¿dónde se beneficia su sitio? Es difícil saberlo con certeza, pero puede hacer todo lo posible para que su sitio web sea lo más resistente posible a los piratas informáticos .
Debido a la naturaleza de los sistemas de administración de contenido más populares , los piratas informáticos a menudo obtienen la ventaja al analizar el código en busca de lagunas y compromisos.
Sin embargo, las organizaciones que desarrollan sistemas de código abierto como WordPress, Joomla y Drupal trabajan constantemente para tapar esos agujeros.
Estas son formas clave de reducir las amenazas a sus sitios basados en CMS.
Eliminar inicio de sesión de front-end
Muchos ataques a los sitios de CMS se producen a través del inicio de sesión de front-end. De forma predeterminada, la mayoría de los sistemas colocarán este método de inicio de sesión en la página de inicio. Si bien puede ser útil para sus usuarios, también es un objetivo para piratas informáticos y bots.
Piense en ello como tener una puerta en su casa. En lugar de que la puerta esté al aire libre para que alguien pueda atravesarla, quitar la puerta por completo no le da a un hacker la oportunidad de atravesarla.
La mayoría de las herramientas de CMS le brindan la posibilidad de eliminar este inicio de sesión con un simple clic en una casilla de verificación. Por ejemplo, tanto WordPress como Joomla brindan esa función y puede eliminar la pantalla de inicio de sesión de las herramientas del sistema.
Dos clics del mouse más tarde y su sitio web ya no tiene una sección de inicio de sesión en la página principal.
¿Qué sucede si tiene autores que necesitan la pantalla de inicio de sesión para su sitio web? Es mucho más seguro y fácil permitirles iniciar sesión en el sistema desde una pantalla de back-end que desde la página principal.
De hecho, hay varias formas de proteger la pantalla de inicio de sesión de WordPress de personas no autorizadas.
Bloqueo de la página de inicio de sesión del administrador
Algunos sistemas de administración de contenido tendrán complementos disponibles que ayudan a mantener segura la página de inicio de sesión del administrador. Por ejemplo, puede instalar algo como Wordfence en WordPress que bloqueará la página de administración si alguien intenta repetidamente la contraseña incorrecta desde una dirección IP específica.
Evita que el hacker pueda acceder a la página y al mismo tiempo te da acceso, ya que estarás en un punto de acceso a Internet completamente diferente.
Esto hace que sea mucho más difícil para un pirata informático lanzar un ataque de fuerza bruta, ya que tendría que cambiar continuamente las direcciones IP después de tantos intentos.
Busque complementos utilizando "bloqueo de inicio de sesión" como criterio para cualquier CMS que utilice.
No use el administrador predeterminado
El nombre de usuario predeterminado de "admin" es uno de los más comunes en el mundo de la electrónica tanto en línea como fuera de línea. Cuando instale un nuevo sistema, cree una identificación completamente única para el control administrativo.
Algunos propietarios llegan incluso a eliminar por completo el nombre de "administrador" predeterminado después de crear un nuevo nombre de usuario para eliminar los riesgos de un ataque.
Cuando mantiene el nombre de usuario de administrador predeterminado, básicamente le está dando a los piratas informáticos y bots el 50 % de lo que necesitan para obtener acceso. ¿Por qué hacerlo más fácil para ellos?
Ocultar la carpeta WP-Includes
¿Sabías que la carpeta “/wp-includes” es accesible al público en muchos casos de instalaciones de WordPress? Esto muestra todo, desde complementos hasta la versión real de su CMS de WordPress.
También puede mostrar lagunas que los piratas informáticos pueden usar para atacar su sitio.
Una forma sencilla de evitar que se pueda acceder fácilmente a esto es agregar un archivo "index.html" en blanco a su carpeta "/wp-includes". Esto hace que los navegadores carguen el índice automáticamente mientras ocultan los archivos y carpetas que se encuentran dentro de ese directorio.
Simplemente cree una nueva página en el Bloc de notas, guárdela como "index.html" y cárguela en la carpeta "/wp-includes".
Por supuesto, esto funciona para ayudar a cualquier carpeta CMS en el sitio web. En lugar de ver una lista de archivos y directorios, las personas que visiten estas áreas solo verán la página de índice en blanco.
Tenga en cuenta los complementos, los temas y otros complementos
Los complementos, módulos y componentes son parte de la experiencia de CMS. Estas son pequeñas adiciones a su sitio que pueden ofrecer una variedad de herramientas tanto para la administración como para atraer visitantes.
Los temas y plantillas programados se utilizan para cambiar la apariencia general de un sitio CMS. Sin embargo, estas adiciones también pueden incluir codificación maliciosa que puede dar a un pirata informático una puerta trasera en su propiedad inmobiliaria digital.
Si bien las organizaciones que gobiernan varios sistemas de administración hacen todo lo posible para eliminar estos complementos dañinos y promover la seguridad del sitio web, a veces encontrará uno que está corrupto.
Siempre es mejor investigar al desarrollador de un complemento antes de instalarlo. Lo último que desea hacer es ayudar a alguien a piratear su sitio agregando una herramienta que parezca segura.
Considere la protección contra spam de comentarios
Los sistemas que utilizan comentarios para la interacción social suelen ser el objetivo de los robots de spam y los intentos de hackeo. Si bien puede eliminar la capacidad de dejar un comentario, puede ser más factible encontrar un complemento legítimo que ejerza la seguridad.
Por ejemplo, el uso de complementos como "LiveFyre" o "Disqus" en WordPress crea una capa adicional de protección contra el correo no deseado porque quienes dejan comentarios deben crear cuentas registradas.
Incluso formas más avanzadas de captcha pueden ser útiles para reducir el acceso de bots. Esto elimina una gran parte de las visitas que recibirán aquellos que buscan enviar spam a su sitio web.
Escanee rutinariamente su sistema de archivos
Siempre es una buena idea ejecutar análisis de rutina de su sistema de archivos en cualquier aplicación CMS. Aunque su proveedor de alojamiento puede tener su propio software de seguridad, no hay nada de malo en utilizar el suyo propio como una capa adicional de seguridad.
Esto podría ayudar a eliminar las amenazas de puerta trasera que deja el malware, lo que reduce el riesgo de ser pirateado. Algunos sistemas de administración de contenido tendrán complementos disponibles que mantendrán su sitio web a salvo de tales ataques.
Mantenga su sitio actualizado
A menos que esté utilizando un CMS más antiguo que ya no tenga soporte continuo, siempre debe mantener su sistema actualizado. WordPress y Joomla tienen esta opción incorporada automáticamente y le avisarán que hay una actualización disponible para instalar.
Esto incluye la actualización automática de complementos , temas y otros complementos para su sitio.
Estas actualizaciones son vitales para la seguridad del sitio web y contribuirán a prevenir ataques. Los desarrolladores a menudo lanzan correcciones y reparaciones de código para eliminar los riesgos de amenazas descubiertos.
Mantenga siempre listas las copias de seguridad
Nada es 100% seguro en este mundo. Lo mejor que puede hacer es limitar los riesgos a su información. Es por eso que es vital tener copias de seguridad completas y actualizadas .
La mayoría de las aplicaciones CMS populares tienen acceso a una gran cantidad de complementos de copia de seguridad que puede instalar. De hecho, muchos de ellos se guardan en la nube y vienen con opciones de restauración fáciles de usar.
En el caso de una catástrofe, recuperar su sitio web puede ser solo cuestión de hacer clic en algunos botones.
Por ejemplo, UpdraftPlus para WordPress le brinda muchas opciones personalizables, como seleccionar un dispositivo de almacenamiento en línea para guardar.
Tenga siempre en cuenta la seguridad
La mayoría de los sistemas de administración de contenido tienen funciones de seguridad esenciales que lo ayudarán a proteger los datos en línea. Incluso los sitios web pequeños que experimentan veinte visitantes por mes pueden ser atacados por piratas informáticos y utilizados con fines nefastos.
No asuma que su sitio no es lo suficientemente importante como para protegerlo. Podría usarse para enviar spam, realizar fraudes y robos de identidad y mucho más. Tome todas las medidas que pueda para asegurarse de que su sitio se mantenga a salvo del elemento criminal.