Da igual el género de empresa que seas y exactamente en qué ámbito comercial te encuentres: si tienes una página probablemente seas el blanco idóneo para un ataque cibernético. No quiero iniciar este artículo siendo alarmista, pero sí quiero que tomes conciencia de que cualquier empresa y página puede padecer un intento de suplantación de identidad y hurto de datos, o ser presa fácil de virus, , o cualquier género de programas maliciosos que haya aparecido recientemente.
Sea como sea la basura que procuren enviarte o meter en tu página, debes saber perfectamente cómo proteger web por el hecho de que, si tu web tiene instaladas y aplicadas todas y cada una de las medidas de seguridad, aguantará cualquier ataque que le hagan.
Sin embargo, la triste realidad es que muchos dueños de páginas web ¡y webmasters! no saben cómo garantizar la seguridad ni de qué manera proteger la web y, peor aún, no le dan relevancia creyendo que “a ellos nos le podría pasar nada, no son un Apple o un Amazon…”. Pero en cambio sí invierten bastante dinero en una o a través de una .
No digo que , sean acciones de poca importancia para una compañía, ¡para nada! Mas de poco sirve producir mucho tráfico hacia una web, si esta ha sido atacada y no está marchando adecuadamente o bien está robando los datos de la compañía, de sus clientes del servicio, ¡o bien el dinero de ambos! Hay demasiado en peligro para no darle máxima prioridad en prosperar la seguridad y conocer de qué manera resguardar el sitio web.
Antes de entrar en materia, déjame comentarte que en caso de que, ya sea pues tienes poco tiempo libre o no tienes los conocimientos técnicos necesarios, prefieres dejar este delicado trabajo en manos de profesionales, los que ofrecemos en CITIFACE incluyen, entre otras muchas ventajas para tu empresa, acorazar a tu página en frente de cualquier ataque cara tu negocio on line o bien tus clientes.
Ahora sí, ¿de qué forma poner crear una barrera de seguridad en frente de estos ataques? Hay múltiples pasos sencillos para crear un escudo que aleje a este género de piratas, estafadores y programas maliciosos, y en este artículo te dejo una guía sencilla paso a paso para conocer de qué manera resguardar tu web.
Back to top1) Empieza a resguardar tu página web actualizando siempre el software y la plataforma CMS
El primer paso para mantener una web segura, el más básico e esencial, es no no hacer ni caso de las actualizaciones de software y de la plataforma Content Management System.
En muchas ocasiones, le gente se enoja cuando aparece una nueva actualización de software. “¡Otra vez! ¡Qué pesados! ¡Sacan una actualización cada poquitos días! ¡Seguro que es para un chorradita!”. Pero , que he colaborado en varias actualizaciones de plugins de la plataforma Content Management System de Wordpress, te puedo asegurar que estas actualizaciones no se hacen en balde. Es cierto que ciertas son para progresar aspectos que no están relacionados directamente con la seguridad, mas la mayoría de las actualizaciones sí están relacionadas, directa o de manera indirecta, con la seguridad de la página web.
Estar al día con las actualizaciones de software y de la plataforma CMS de tu página web, supone tener un primer escudo básico y vital para resguardar tu página web de virus y ataques a la seguridad de tu web.
Para eludir la entrada de virus o bien software maliciosos, como de ataques que vulneren la seguridad de tu página web, es esencial estar al día con las actualizaciones de tu plataforma, sí o bien sí, ¡sin disculpas ni demoras!
Muchas de las empresas de alojamiento web ya se encargan directamente de actualizar ciertas plataformas Content Management System en código abierto mas, como no podemos fiarnos de que se acuerden o ese sistema automatizado funcione correctamente, debes estar al loro a repasar cuando aparece una nueva actualización y aplicarla tú mismo en tu página web.
En un Content Management System como Wordpress es muy sencillo este proceso y te lo comento en detalle en otros artículos:
Quiero que sepas que existe una línea delgadísima entre la seguridad de tu página web y los ataques de los piratas informáticos. Los piratas informáticos son avispadísimos en detectar cualquier orificio en la seguridad de tu software y plataforma Content Management System, y entrar rápidamente por ahí. Teniendo estas absolutamente actualizadas evitas dejar una puerta abierta a fin de que entren a las supones de tu web.
Si deseas saber más, te invito a otro artículo donde te explicamos .
¡Enamora a tu público con tu superpágina web!
Exprimiremos tu página web hasta que enamore: bien posicionada en Google, segura, veloz y, sobretodo, eficaz y rentable para tu empresa; atrayendo potenciales clientes del servicio y consiguiendo ventas, ¡de una vez por siempre!
Back to top2) Instala o compra los mejores complementos (extensiones) de seguridad
Los complementos o bien complementos de seguridad refuerzan la seguridad de tu página web y la hacen más bastante difícil de vulnerar.
Si tu web funciona con una plantilla de Wordpress, hallarás plugins concretos para WordPress. En caso contrario, quizá una herramienta como puede hacer mucho por ti.
Cada vez que sale un nuevo complemento de seguridad, habrías de estar dispuesto a instalarlo, especialmente si este fue desarrollado muy puntualmente para el estilo de negocio que tienes, pues eso quiere decir que hay virus y cualquier clase de malware por ahí, atacando a sitios como el tuyo.
Los plugins acostumbran a tener opciones de seguridad adicionales y nunca está de sobra poder contar con ellas.
Back to top3) Elige un servicio de alojamiento (alojamiento) web seguro
es una decisión mucho más crítica de lo que parece a simple vista. Mi consejo es que no tomes esta decisión a la ligera; escogiendo uno u otro simplemente por cuestión de precio, recomendación de un amigo, publicidad u otro factor de poco valor en lo que se refiere a la seguridad de tu web.
El servicio de alojamiento web que elijas ha de ser seguro y ofrecerte copias de respaldo diarias, actualizar de forma automática tu Content Management System, IP fíjas y seguras, recursos del servidor propios, como sistemas de monitoreo y control de tu página web.
¿Cómo resguardar la página web escogiendo bien el alojamiento web? Esto va a depender, en gran forma, del tipo de lugar que desees montar. En general, aquellos basados en ventas y transacciones, deben tener estándares de seguridad altísimos (, IP privada y del mismo país, , etc.), pues de este modo los clientes no se sienten desconfiados en aportar datos personales o bien bancarios, y en completar una transacción electrónica en tal web.
Este, es para mí, uno de los aspectos más esenciales para decidir por un servicio de alojamiento u otro, y más ahora, cuando abundan los ‘maestros de las estafas online’, los que semejan más hábiles y planificados que Dani Ocean y sus once ladrones (en la película ‘Ocean’s Eleven’ protagonizada por George Clooney y Brad Pitt).
Dejando el cine a un lado, no creas que estos estafadores y suplantadores de identidad “tantean” o bien dan pasos el falso; no, estimado lector, detectan y saben con perfección qué webs son frágiles por su sistema de seguridad desactualizado, servidor web inseguro, u otros detalles que veremos más adelante, y entran ‘como ladrón en la noche’: nadie los oye, los advierte ni los ve.
Back to top4) Instala un certificado SSL y resguarda tu web en HTTPS
Si aún tu web no trabaja bajo el protocolo HTTPS, eso quiere decir que . ¡Debes reparar esto cuanto antes! Esto debe ser lo segundo urgente a hacer hoy mismo (recuerda que lo primero es actualizar tu Content Management System).
Migrar tu web HTTP estándar a una de protocolo HTTPS le hace saber a tus clientes que te importa su seguridad y evita que los ladrones cibernéticos hallen fisuras por dónde meterse para hurtar datos o bien hacer estafas.
El inconveniente con una web que se conecta por HTTP, en vez de HTTPS, es que deja espacios de tiempo no cifrado ni seguro, entre el dispositivo de navegación y la web, al no poseer un certificado SSL, y esto causa que los piratas en línea intercepten la información y accedan a datos reservados que el usuario y tu página web estáis intercambiando.
Instala un certificado seguro SSL en tu servidor web y migra tu página al protocolo HTTPS, ¡muchos proveedores de alojamiento lo ofrecen sin coste!
¿De qué forma proteger el sitio web trabajando desde HTTPS? Cambiar a HTTPS no es tan costoso como solía ser ya antes. De hecho, muchos distribuidores de alojamiento web, ya ofrecen un certificado SSL gratuito (Let’s Encrypt), ¡con lo cual podrás tener tu web trabajando bajo HTTPS gratis!
Y, una vez hayas instalado el certificado SSL y tu web ya funcione bajo HTTPS, valora seriamente crear una barrera de protección más, .
Back to top5) Crea copias de seguridad diarias de todos tus datos
Las copias de respaldo diarias y automáticas de todos tus datos (web y bases de datos) alivia muchas de las preocupaciones y cefaleas.
Muchos proveedores de alojamiento web brindan esta alternativa gratuitamente, conque no vaciles en preguntarles.
Tener una backup es vital caso de que alguien logre entrar a tu web y robe datos, o cause daños en tus ficheros. Iniciar un sitio desde cero es costoso y difícil, pero regresar a armar uno del que se tienen los datos resguardados, es mucho más simple.
Back to top6) ¡Protege tu Web del SQL Injection! Configura tus consultas a fin de que sean parametrizadas
Hasta ahora, este es uno de los pasos más técnicos que vas a deber ejecutar sabiendo cómo proteger tu página web de ataques basados en inyecciones SQL o SQL injections, ¡algo que está haciendo mucho daño a muchísimas web día a día!
SQL es un lenguaje de consultas estructuradas mediante, el cual, se accede a la información de las bases de datos de la web. Las webs donde hallas formularios o bien se efectúan transacciones de compra/venta amontonan información en sus bases de datos, las que son vulnerables a inyecciones de SQL.
Las inyecciones de SQL permite al pirata informático entrar a la base de datos de tu página y descargar datos de clientes, facturas, cuentas bancarias, contraseñas, etc.
Una configuración estándar o bien poco restrictiva de buscas, en tu página web, permite las inyecciones de SQL por parte de los piratas informáticos, que no son más que la infiltración de códigos falsos e intrusos con el objetivo de entrar a la base de datos de tu página web. Una vez el intruso a logrado entrar, puede descargar todos los datos de tu página web: datos de clientes, facturas, cuentas corrientes, claves de acceso, etc.
Este grave agujero de seguridad se solventa parametrizando las consultas SQL como vemos ahora.
Esta sería una consulta básica:
«SELECT * FROM table WHERE column = ‘» + factor + «‘;»
Si el pirata informático cambia el factor de entrada a ‘OR ‘ 1 ‘=’ 1, algo que es de lo más sencillo, ahora la consulta precedente pasaría a ser:
«SELECT * FROM table WHERE column = » OR ‘1’=’1′;»
Al hacer la alteración, la cual parece poco visible, se infiere que ‘1’ es igual a ‘1’, lo cual es una consulta que da positiva y de esta forma el atacante podría llegar a acceder a la información del registro de la base de datos, pudiendo realizar una siguiente consulta, con esa información, consiguiendo de esta manera acceder a ldonde le aparezcan la información guardada en la base de datos.
¿Cómo proteger la web de los ataques por SQL injection? Una forma fácil prohibir este género de simple acceso a gente aviesa es parametrizando de la próxima forma las consultas SQL:
dólares americanos ConsultaSQL = dólares americanos pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
dólares americanos ConsultaSQL->execute(array(‘value’ => $ parameter));
7) Protege tu página web con la política de seguridad de contenido (CPS)
La política de seguridad de contenido o bien CPS es útil para mantener tu página web a salvo de los ataques de tipo XXS (Cross-site Scripting), los cuales se caracterizan pues un tercero inyecta código malicioso (con un virus) a tus páginas. Inyectado ese código, en el momento en que un usuario navegue por tu web, desde el dispositivo que sea, se inficionará con este virus, el que suele llevar intrínseco un código de JavaScript, mas puede adoptar otro tipo de lenguaje, con el propósito que el pirata haya diseñado, como por servirnos de un ejemplo hurtar sus datos personales o financieros.
Aplicando el CPS evitas los ataques de tipo XXS (Cross-site Scripting) que infectarían los dispositivos de tus usuarios para robarles información personal o financiera.
De esta forma, cuando un pirata informático trate de hacer maniobras desde su dominio web (externo a tu dominio web), el navegador del usuario advertirá que ese intento de conexión web no es válido ni autorizado, y lo rechazará.
¿Cómo proteger la web con el CPS? En resumen, vas a deber añadir a tu página, donde autorices los dominios web y especifiques fuentes válidas de scripts (por poner un ejemplo, de Google Analytics, , Google Ads, etcétera).
Los ataques de XXS son muy simples de realizar, y pueden aparecer hasta por medio de un simple comentario del blog.
Back to top8) Mantén tus ficheros y carpetitas seguros con los permisos adecuados
Una web se reduce a un montón de archivos y carpetas. En estos, se guarda toda la información pertinente, así como códigos y scripts necesarios para que tu página funcione como debe.
Cada carpetita y fichero cuenta con un código configurable (permisos) que permite controlar las funciones que pueden ejecutarse en él, como leer, escribir, alterar, etc.
Si tus carpetitas y archivos están configuradas a fin de que cualquiera pueda leerlos, escribir en ellos o bien ejecutar ciertas acciones, entonces quiere decir que eres vulnerable a cualquier invasión de tu página web mediante este; es la puerta de entrada para el pirata informático.
Cuando los permisos de los archivos y carpetitas no son los adecuados, una persona con conocimientos básicos de hackeo, fácilmente entrará a tu web, y los resultados pueden ser los peores, pues podrá hacer lo que quiera con esta.
Configura los permisos de todas y cada una de las carpetitas y ficheros de tu servidor web; las carpetas a 755 y los archivos a seiscientos cuarenta y cuatro.
¿De qué manera proteger la página web, sus archivos y carpetas? Para evitar este escenario, se recomienda asignarle a las carpetas (directorios) el permiso código 755 y a los archivos el permiso código 644. Cada uno de los tres números indicados, da cierto permiso concreto al propietario del fichero, a una persona que esté en el conjunto de gente que tenga el fichero y al lector (público), respectivamente.
Back to top9) Haz una limpieza regular en tu página web
Mantener tu página web limpia y libre de aquellos archivos en desuso es esencial para sostenerla segura.
Cada cierto tiempo se aconseja hacer una limpieza profunda, y para facilitar este proceso hay que mantener los archivos bien organizados.
Trata de eliminar todos los archivos obsoletos o bien antiguos para evitar la entrada de virus y ser capaz de detectar archivos maliciosos.
Back to top10) Estate atento a los mensajes de error
Los mensajes de fallo no aportan nada relevante a los usuarios de tu web mas que, sin lugar a dudas, un pirata informático sí sabe aprovechar. ¿Cómo proteger el sitio web y evitar enseñar esta información?
Cuando crees mensajes de fallo, sé cauto y deja en ellos solo la información que de verdad sea útil y necesaria. Los detalles déjalos para los registros (LOGS) de tu servidor.
es eficiente para proveer la ayuda básica al usuario y puede evitar que tu web sea una presa muy fácil para ataques como la inyección de SQL que te comenté previamente.
Back to top11) Crea contraseñas extremadamente seguras
Tu página va a estar bien protegida si trabajas con contraseñas de alta dificultad, por poner un ejemplo para el acceso al backend o bien administrador a esta. Debes ser muy astuto para crear claves de acceso.
Idealmente las claves de acceso de tu página deberían ser una combinación aleatoria de números y letras mayúsculas y minúsculas, y también incluyendo caracteres singulares.
Si deseas mayor seguridad en esto, puedes dejar que un administrador de claves de acceso te cree una de forma aleatoria.
Quizás creas que los hackers no tienen poderes mágicos para adivinar tus contraseñas, pero estos son especialistas en anudar cabos, por lo que pueden inferir patrones de comportamiento en tu web y, con alguna información extra sacada de tu base de datos, van a probar hasta lograr tu clave.
Si apuestas por claves de acceso que no se asocien a fechas, datos o acontecimientos importantes de tu marca o empresa, vas a estar más aseguro.
Back to top12) No te fíes en los archivos que carguen los usuarios de tu web
Cuando dejas que un usuario de tu página web pueda cargar ficheros a esta, esto supone un problema serio, pues ¿de qué manera sabes que un pirata o bien hacker no es quien está cargando el fichero?
Por seguridad, no es conveniente permitir este tipo de acciones por la parte de tus usuarios web, puesto que tendrás más trabajo debido a que tienes que etiquetar cada imagen o fichero como un ‘posible culpable’, hasta el momento en que se pruebe lo contrario, y analizarlo uno a uno.
Almacenar estos archivos sospechosos es el inconveniente mayor, y si es tu caso, debes evitar almacenarlos de forma directa en el servidor de tu página. Se aconseja no darles la completa libertad de ser cargados a tu web, sino que vayan a una base de datos externa, a una carpetita fuera de la raíz de la página o a otro servidor; esto te va a dar tiempo para detectar cualquier script que haya podido ser mandado, o algún virus que busque inficionar tu sistema.
Debes ser radical creando limitaciones y configurando permisos en cuanto a la carga de archivos por parte de los usuarios de tu página web.
¿Cómo proteger la página web alamacenando estos ficheros peligrosos? Una forma de control y mejora de la seguridad, es cambiar el nombre del fichero absolutamente, pues a veces, sólo en el nombre, está incluyendo el código malicioso, para esto, prueba lo siguiente:
deny from all
order deny,allow
allow from all
Para cerciorarte de que las etiquetas de imágenes no contienen información oculta, puedes configurarlas así:
// imageDelivery.php
// Fetch image filename from database based on $ _GET[«id»]
…
// Deliver image to browser
Header(‘Content-Type: image/gif’);
readfile(‘images/’.$ fileName);
?>
Y en caso de que los ficheros, a los que les has dado acceso en tu página web, se cargan en internet, debes garantizar que estos sean llevados, de manera segura y confiable, a tu servidor; usar un método SSH o SFTP, puede asistirte a hacer esto con sencillez.
La validación de la información asimismo es crucial en el momento de saber de qué manera resguardar la web. Si bien mucha gente se debate sobre dónde hacer la validación, es preciso que la hagas en ambos lados, tanto en el servidor como en el navegador, puesto que de este modo no dejas cabos sueltos en parte alguna.
La validación en el navegador sirve para advertir campos vacíos o fallos sencillos que perjudican la estructura de tu web, por ejemplo aquellas que poseen casillas para ingresar textos o formularios para rellenar.
En cuanto a la validación del servidor, esta te da una perspectiva más profunda de cualquier software malicioso que podría estar camuflado en tus archivos, de inyecciones de SQL o de ataques de tipo XXS.
Back to top13) Aplica controles de seguridad en tu web
Existen sistemas de monitoreo que te permiten programar pruebas usuales en la programación de tu página web.
Este monitoreo debe hacerse, al menos, una vez por semana, puesto que de este modo mantienes a raya cualquier amenaza que pueda estar rondando tu web.
El objetivo de estos controles de seguridad es que obtengas información en tiempo real de si algo anda mal en tus programas o plataforma Content Management System. El informe detallado que lanza el monitoreo ha de ser analizado detenidamente, y te invito a darle prioridad a las amenazas que en este informe sean clasificadas con un alto grado de alarma.
Back to top14) Escanea tu web con regularidad
No se trata de hacer cambios y fortalecer la seguridad hoy, y opinar que el trabajo termina ahí. No, para nada. Lograr una web completamente segura es cosa del día a día, si no, no dispones de una web verdaderamente segura.
Los hackers, los phishers y los estafadores online están al acecho al menos te lo imaginas. Ellos no descansan y atacan a la página web que les parezca más frágil.
Es necesario que cada cierto tiempo le hagas un escaneo de seguridad a tu página web, puesto que de esta forma sostienes a raya a estos piratas.
Hay distintas herramientas con las que puedes hacer el escaneo, y la mayor parte son gratis y fáciles de usar.
Back to top15) Utiliza herramientas para comprobar la seguridad de tu web
Como ya hemos hecho cambios y configuraciones, es el momento de comprobar si tu web es lo suficientemente segura; para esta tarea, puedes apoyarte en alguna herramienta de seguridad, como , , entre otras muchas.
Una vez que haces la evaluación, mantente atento al informe de esta, pues allá sabrás qué posibles ataques se han lanzado cara tu página web y si hay códigos maliciosos en ella. De ser de esta manera, diseña un plan de ataque para contrarrestar estas acciones y refuerza la seguridad en aquellas áreas donde te vulneraron.
Si requieres ayuda profesional, pues suele acontecer que no sabes de qué manera interpretar los datos que te lanza el escaneo, puedes conseguir apoyo en empresas de desarrollo y mantenimiento web como la nuestra. Con nuestros servicios de mantenimiento y mejora web, la seguridad de tu negocio tendrá prioridad por la parte del equipo de especialistas.
Back to top16) Confía tu web en manos profesionales
Entiendo que todo este proceso de hacer tu página web segura ante ataques cibernéticos puede llegar a ser algo tedioso, pero no es una opción, sino una obligación y una prioridad para tu empresa.
Si crees que el proceso es complejo, no tienes tiempo o los conocimientos técnicos mínimos para ello, ¡déjalo en manos profesionales!
Una empresa de diseño y mantenimiento web ética, se encargará de monitorear tu página web con frecuencia, ejecutará las acciones precisas para eludir ataques de tipo XXS e inyección de SQL, como estará al día con todos los virus y malware que van surgiendo en el camino, para alertarte y tomar decisiones para que tú y tus clientes del servicio estéis a salvo.
¡Te ayudamos a mantener tu página web siempre al 110 por cien !
Nos encargamos de todo lo relacionado con tu web para que dé resultados a tu empresa sin causarte molestias ni pérdida de tiempo, con lo que vas a poder centrarte completamente en tu negocio.
Back to top17) Conclusión: toma acciones cuanto antes para asegurar la seguridad de tu web
La seguridad de una web no es tarea para más adelante. Quizás creas que no eres blanco de los piratas informáticos, pero las estadísticas revelan que el año pasado los ataques cibernéticos se llevaron más de 5 mil millones de dólares estadounidenses. Para este año los expertos parecen estar conforme que, con tal aumento de ataques y también intentos de estafa, las perdidas serán mucho mayores, haciendo más vulnerables a quienes aún no han padecido un primer ataque de este género.
¿Vas a aguardar a que el oponente te atrape? Garantizar la seguridad de tu web es primordial para conquistar a los motores de búsqueda y liderar tu nicho pues, si los clientes se sienten vulnerables, no van a hacer ninguna transacción en tu web ni desearán proveer sus datos.
Mientras más segura sea tu página web, vas a tener mayores probabilidades de tener una tasa de conversión alta y conseguir beneficios.
No tienes que ser el servicio secreto de USA para sostener tus archivos y tu base de datos a salvo, conque no dejes que las disculpas te separen de tu objetivo.
Si a pesar de estos consejos, prosigues teniendo problemas con tu página, en otro artículo te explicamos fácilmente.
¿Crees que es de ayuda este artículo? ¡Seguro que sí! De ahí que te invito a compartirlo con tus amigos en las redes sociales.
Abajo te dejo un fácil formulario que puedes rellenar para enviarme tus dudas y comentarios. ¡Y de este modo contactaré contigo y te asistiré! Si deseas contarme de qué manera van tus resultados al aplicar estos consejos, estaré aguardando por ello, pues de este modo te asistiré en el proceso.
Back to top
