Esto es lo que debe hacer ahora para asegurar su sitio web
Cualquiera que posea y opere un sitio web debe considerar las buenas prácticas de seguridad. Incluso los sitios web más pequeños suelen ser objetivos de ataques de spam o páginas de phishing. Nunca debe asumir que su sitio es demasiado pequeño para pasar desapercibido por el elemento criminal.
Sin la seguridad adecuada, los blogs inocentes pueden convertirse en armas para el robo de identidad y los sitios de comercio electrónico pueden revelar datos confidenciales de los clientes. Todo lo que se necesita es la más pequeña de las hazañas y alguien puede causar estragos.
Si bien puede tener un proveedor de alojamiento web bueno y sólido , las herramientas de seguridad del sitio web siguen siendo un aspecto importante a considerar.
De hecho, la mayoría de los delitos cibernéticos y los ataques ocurren sin que nadie lo sepa . Eso se debe a que muchas de estas vulnerabilidades son pequeñas y pasan desapercibidas para quienes mantienen los sitios web.
Cómo proteger su sitio web de los piratas informáticos
Según los estudios, aproximadamente el 53 % de las pequeñas empresas en línea han sido violadas en un lapso de 12 meses. Esto demuestra que ninguna actividad en línea está absolutamente vacía de convertirse en un objetivo.
A continuación, se incluyen algunos de los consejos de seguridad de mi sitio web para cualquier persona que mantenga páginas en línea. Ya sea que esté usando WordPress, Joomla, Drupal o construyendo el sitio desde cero en código, la seguridad debe ser una prioridad.
Esto lo protegerá a usted y a sus invitados.
Realice una copia de seguridad periódica de los archivos y la base de datos
Uno de los consejos más comunes que doy es realizar copias de seguridad copiosas. Ya sea que esté agregando líneas de código personalizado o realizando varias actualizaciones, siempre es una buena idea tener una copia de seguridad lista en caso de que suceda algo.
Estas copias sirven para reparar rápidamente el sitio web durante un desastre, como cuando un pirata informático elimina todo su contenido.
Hay varias formas de crear copias de seguridad. Muchos usarán programas FTP como FileZilla para copiar todos los archivos a su computadora. Si está utilizando WordPress, puede configurar complementos como UpdraftPlus para realizar copias de seguridad automáticas de archivos y bases de datos. Solo asegúrese de crear estas copias regularmente.
Nunca subestime el valor de los complementos de seguridad
Aproximadamente el 50% de las organizaciones encuestadas en EE. UU., Reino Unido, Alemania y Canadá han sido atacadas por ransomware en el pasado. Esto no significa que los complementos de seguridad sean el final de este tipo de situación, pero fortalece el punto de colocar una seguridad más fuerte en el sitio.
Si usa un sistema de administración de contenido como WordPress, Joomla o Drupal, realmente debería considerar los complementos y módulos de seguridad. Muchas de estas adiciones son de uso gratuito y mantendrán el sitio protegido de una variedad de ataques nefastos.
Desde bots hasta humanos, se deben implementar medidas de seguridad.
Hay muchos complementos y módulos que actúan como plataformas todo en uno. Estos a menudo incluyen firewalls, listas negras de IP, medidas de seguridad de inicio de sesión y funciones de monitoreo.
Algunos incluso implementan la compatibilidad con IPv6, que muchos expertos creen que es el futuro de las conexiones en línea debido a lo vasto que se ha vuelto el Internet de las cosas .
Escanea regularmente en busca de archivos y modificaciones
Algunos módulos y complementos de seguridad vendrán equipados con la capacidad de escanear archivos. Esto significa que puede proteger el sitio web de modificaciones y adiciones de archivos desconocidos por parte de piratas informáticos y bots.
Por ejemplo, Wordfence para WordPress busca una variedad de malware y scripts de puerta trasera en tiempo real.
¿Recuerdas que dije que los hackers usarán tu sitio web para phishing? Esto a menudo se hace agregando un archivo a su sitio web y creando un "micrositio" aparentemente legítimo con el fin de robar credenciales reales.
Por ejemplo, se configuran páginas falsas de PayPal en un sitio web para que el usuario crea que realmente está en PayPal. Una vez que intentan iniciar sesión, el pirata informático obtiene las credenciales de la víctima desprevenida.
El análisis de estos archivos ayuda a poner fin a este tipo de ataque.
Utilice nombres de usuario y contraseñas complejos
Demasiadas pequeñas empresas no controlan el nombre de usuario y las contraseñas de los empleados. Esto ayuda a abrir las puertas a los ataques del elemento criminal.
Un ataque de fuerza bruta es cuando un ser humano o un bot intenta rápidamente obtener acceso a un sitio a través de métodos de prueba y error para "adivinar" las credenciales de inicio de sesión. El uso de nombres de usuario complejos puede parecer más molesto para algunas personas, pero reducirá en gran medida el riesgo de ser pirateado.
Las credenciales complejas, como el uso de direcciones de correo electrónico como nombres de usuario y cadenas de caracteres fuertes para las contraseñas , hacen que los ataques como estos sean mucho más difíciles.
Si aún no lo ha hecho, también le sugiero que se deshaga de los inicios de sesión de "administrador" predeterminados y cree credenciales de administrador únicas. Estas cuentas predeterminadas esencialmente brindan a los piratas informáticos la mitad de la información que necesitan para obtener acceso.
Mantenga los archivos principales actualizados
Los archivos principales, como los de WordPress y Joomla, deben actualizarse periódicamente. Independientemente del tipo de sistema de contenido que utilice, las versiones más recientes suelen tener correcciones de errores y eliminaciones de exploits.
Quedarse con aplicaciones desactualizadas solo deja el sitio web abierto a una miríada de ataques de piratas informáticos.
Muchos de estos sistemas están configurados para actualizarse automáticamente. Sin embargo, es posible que sea necesario monitorear de cerca algún software de terceros. Si se lanza una nueva versión de comercio electrónico, wiki u otro sistema de administración de contenido, debe instalarlo de inmediato.
De lo contrario, el sitio puede tener un gran agujero abierto para dejar entrar al elemento criminal.
Mantener los complementos actualizados
Los archivos principales no son las únicas partes de un sitio que deben actualizarse periódicamente. Los módulos, extensiones y complementos también deben mantenerse. Incluso el mejor de los programadores puede dejar vulnerabilidades desprevenidas en el código.
Mantener estas adiciones actualizadas reduce en gran medida la posibilidad de ser pirateado por esos problemas.
En una nota al margen, puede ser una buena idea desde el punto de vista del diseño y la funcionalidad mantener actualizados los complementos. Muchos desarrolladores agregarán nuevas funciones y mejorarán otras. Es posible que encuentre una nueva habilidad que elimine la necesidad de usar otra herramienta que haya instalado.
Utilice siempre buenas prácticas de codificación
Ya sea que esté creando un sitio web desde cero o agregando líneas de código a un sistema de administración de contenido, use buenas prácticas de codificación. Si bien puede haber atajos para ofrecer una determinada función o elemento visual que desea incluir en el sitio, en realidad puede dejarlo abierto a los ataques.
Si desea codificar su propio sitio web, le sugiero que dedique un tiempo a aprender los entresijos de la plataforma. Hay una serie de áreas bien desarrolladas en Internet para educarse.
Por ejemplo, W3 Schools está lleno de información valiosa para implementar código en su sitio.
Use solo secuencias de comandos de fuentes confiables
Hay una serie de scripts dispersos por Internet para usar. Estos fragmentos de código tienen el potencial de agregar funcionalidad y forma a sus páginas. Sin embargo, también pueden ser métodos de distribución de contenido explotable.
A menos que revise cada línea usted mismo, es difícil determinar lo que realmente está poniendo en su sitio.
El uso de scripts de fuentes confiables siempre es una buena manera de hacerlo cuando se busca agregar alguna funcionalidad. Comience buscando en Google quejas sobre el desarrollador o la empresa que ofrece el fragmento.
Si hay algo de lo que puede estar seguro es que la gente acudirá a los foros si una empresa tiene malas prácticas.
Asignar correctamente roles y permisos
Los roles de los usuarios en sistemas como WordPress, Joomla y Drupal determinan lo que un visitante puede hacer en el sitio web. Si estos se configuran incorrectamente, un individuo vengativo puede causar un gran daño. Por eso es importante asegurarse de que los roles y los permisos estén configurados correctamente.
Esto es especialmente cierto si crea reglas personalizadas para estos roles .
De forma predeterminada, los sistemas de administración de contenido manejan bastante bien el control de los usuarios registrados. Es cuando comienza a agregar complementos o extensiones para expandir el sitio web cuando los roles pueden torcerse. Verifique periódicamente para asegurarse de que aquellos con ciertos permisos permanezcan donde están en la jerarquía.
La fuente más citada de compromisos dentro de la seguridad es la de los empleados . Ya sea intencional o no, es el elemento humano el que juega un papel tan importante en los agujeros de seguridad.
Vigilar quién puede hacer qué en el sitio web y dentro de la organización puede ser vital para proteger los activos digitales.
Use solo módulos o complementos probados y verificados
Mucha gente encontrará los llamados complementos "perfectos" para un sitio web de desarrolladores externos. Desafortunadamente, esto también puede llevar a comprometer la integridad del sitio.
Con una instalación simple, sin darse cuenta podría entregar el control administrativo al desarrollador sin darse cuenta.
No digo que deban evitarse todos los complementos de terceros. Por el contrario, hay una gran cantidad de excelentes desarrolladores en Internet. Sin embargo, siempre debe investigar la fuente antes de instalar cualquier cosa.
Pasar por los canales oficiales para instalar complementos es un buen lugar para comenzar. Por ejemplo, los complementos ofrecidos directamente desde WordPress.org suelen ser los más estables y confiables.
Supervisar Google Analytics para el comportamiento extraño del sitio
Google Analytics es más que una herramienta para ver cuántas personas visitan el sitio. También puede ser una herramienta para identificar actividades cuestionables.
Por ejemplo, una gran cantidad de tráfico a una página que no puede identificar oa través de palabras clave que no son suyas podría ser motivo de alarma.
Un aumento en el tráfico a una página desconocida puede deberse a un sitio de phishing integrado en su estructura de archivos. Esta es una de las razones por las que el análisis de archivos mencionado anteriormente es ideal.
Si no se controla, su sitio puede comenzar a tener un desempeño deficiente en los motores de búsqueda debido a las malas prácticas.
Los ataques de phishing son la causa principal de las filtraciones de datos y representan más del 55 % de los ataques en general . Esto convirtió a 2016 en el octavo año consecutivo en que este tipo de ataque fue calificado como el número uno.
Utilice una capa de sockets seguros
Secure Sockets Layer, o SSL, cifra la transmisión de datos de sus páginas web al visitante. Esto hace que sea casi imposible que alguien robe información durante el tránsito. Crea una canalización directa de datos que lo protege a usted y al destinatario.
Aunque estos a menudo requieren pequeñas tarifas anuales para mantenerlos, seguramente vale la pena la inversión.
El uso de la certificación SSL también influirá en las prácticas de optimización de motores de búsqueda. Esto se debe a que los motores como Google mantienen sitios web seguros en un estándar más alto debido a que son seguros para los visitantes.
Aunque el 86 % de los directores de información afirman que robar claves de certificados para el cifrado será el próximo gran paso para los piratas informáticos , SSL sigue siendo un método viable para proteger el sitio web.
Esté atento a los permisos de carpetas y archivos
Si sospecha que hay algún problema con las operaciones de su sitio, es posible que desee considerar verificar los permisos de archivos y carpetas. Esto limita lo que otras personas pueden hacer, como leer, escribir o ejecutar.
Muchos expertos dicen que los archivos nunca deben estar completamente abiertos al público. Brinda a los piratas informáticos la oportunidad de obtener el control del sitio para diversos fines.
Se puede acceder a los permisos de archivos y carpetas mediante aplicaciones FTP como FileZilla o mediante el Administrador de archivos de cPanel . Cada elemento de su sitio tendrá permisos adjuntos y puede cambiar fácilmente los números para satisfacer sus necesidades.
Sin embargo, puede ser peligroso si no sabes lo que estás haciendo. Sugeriría consultar con el soporte técnico o aprender más sobre los permisos antes de cambiar los números.
Mantenerse actualizado con las tendencias
Una de las mejores maneras de mantener el sitio seguro es mantenerse al día con las tendencias actuales. Suscribirse a boletines de seguridad, leer sobre intentos de piratería recientes y seguir los perfiles sociales de las empresas de seguridad cibernética debe ser parte de su rutina mensual o semanal.
La mejor prevención de cualquier problema es el conocimiento.
Herramientas como Netvibes pueden mantenerlo informado, independientemente del contenido que se cree sobre seguridad. Esto se debe a que estas plataformas le permiten personalizar la búsqueda de palabras clave específicas en motores de búsqueda, redes sociales, fuentes RSS específicas, sitios web y otro contenido en línea.
Es como recibir todas las noticias en línea de todo el mundo en un solo tablero.
Proteja siempre su sitio web
Aprender a proteger su sitio web de los piratas informáticos debe ser parte de cualquier estrategia de desarrollo. Después de todo, los ataques tienen el potencial de deshacer todo lo que ha construido en su sitio web.
No puedo enfatizar lo suficiente lo importante que es utilizar los consejos de seguridad del sitio web para una operación en línea continua. Tape los agujeros antes de que los piratas informáticos intenten atravesarlos.