Da igual el género de empresa que seas y en qué sector comercial te encuentres: si tienes una página seguramente seas el blanco idóneo para un ataque cibernético. No quiero comenzar este blog post siendo alarmista, pero sí quiero que tomes conciencia de que cualquier empresa y página web puede padecer un intento de suplantación de identidad y hurto de datos, o bien ser presa simple de virus, , o cualquier clase de programas maliciosos que haya aparecido recientemente.
Sea cual sea la basura que procuren mandarte o meter en tu página, has de saber perfectamente de qué forma proteger web por el hecho de que, si tu web tiene instaladas y aplicadas todas las medidas de seguridad, soportará cualquier ataque que le hagan.
Sin embargo, la triste realidad es que muchos propietarios de webs ¡y webmasters! no saben cómo garantizar la seguridad ni de qué manera resguardar la web y, peor todavía, no le dan importancia pensando que “a ellos nos le podría pasar nada, no son un Apple o un Amazon…”. Pero en cambio sí invierten bastante dinero en una o bien mediante una .
No digo que , sean acciones de poca importancia para una compañía, ¡para nada! Pero de poco sirve generar mucho tráfico cara una página web, si esta ha sido atacada y no está marchando adecuadamente o bien está robando los datos de la compañía, de sus clientes, ¡o bien el dinero de ambos! Hay demasiado en riesgo para no darle máxima prioridad en prosperar la seguridad y conocer de qué manera proteger el sitio web.
Antes de entrar en materia, déjame comentarte que en el caso de que, ya sea por el hecho de que tienes poco tiempo disponible o bien no tienes los conocimientos técnicos precisos, prefieres dejar este delicado trabajo en manos de profesionales, los que ofrecemos en CITIFACE incluyen, entre muchas otras ventajas para tu empresa, blindar a tu página frente a cualquier ataque hacia tu negocio on-line o bien tus clientes del servicio.
Ahora sí, ¿de qué forma poner crear una barrera de seguridad frente a estos ataques? Hay múltiples pasos sencillos para crear un escudo que distancie a este género de piratas, estafadores y programas maliciosos, y en este artículo te dejo una guía fácil paso a paso para conocer cómo proteger tu web.
Back to top1) Empieza a resguardar tu web actualizando siempre y en toda circunstancia el software y la plataforma CMS
El primer paso para mantener una web segura, el más básico y también esencial, es no no hacer ni caso de las actualizaciones de software y de la plataforma Content Management System.
En muchas ocasiones, le gente se enfurece cuando aparece una nueva actualización de software. “¡Otra vez! ¡Qué pesados! ¡Sacan una actualización cada poquitos días! ¡Seguro que es para un chorradita!”. Mas yo, que he colaborado en varias actualizaciones de plugins de la plataforma CMS de WP, te puedo asegurar que estas actualizaciones no se hacen en vano. Es cierto que ciertas son para mejorar aspectos que no están directamente relacionados con la seguridad, pero la mayoría de las actualizaciones sí están relacionadas, directa o de forma indirecta, con la seguridad de la página web.
Estar al día con las actualizaciones de software y de la plataforma CMS de tu página web, supone tener un primer escudo básico y crucial para proteger tu web de virus y ataques a la seguridad de tu página web.
Para evitar la entrada de virus o bien software maliciosos, así como de ataques que vulneren la seguridad de tu web, es importante estar al día con las actualizaciones de tu plataforma, sí o bien sí, ¡sin disculpas ni demoras!
Muchas de las empresas de alojamiento web ya se encargan de manera directa de actualizar ciertas plataformas Content Management System en código abierto mas, como no podemos fiarnos de que se acuerden o ese sistema automatizado funcione correctamente, debes estar atento a revisar cuando aparece una nueva actualización y aplicarla tú mismo en tu página.
En un CMS como WP es sencillísimo este proceso y te lo comento en detalle en otros artículos:
Quiero que sepas que existe una línea delgadísima entre la seguridad de tu página web y los ataques de los piratas informáticos. Los hackers son avispadísimos en detectar cualquier agujero en la seguridad de tu software y plataforma CMS, y entrar rápidamente por ahí. Teniendo estas absolutamente actualizadas evitas dejar una puerta abierta a fin de que entren a las supones de tu web.
Si quieres saber más, te recomiendo otro artículo donde te explicamos .
¡Enamora a tu público con tu superpágina web!
Exprimiremos tu página web hasta el momento en que enamore: bien posicionada en Google, segura, rápida y, sobretodo, eficaz y rentable para tu empresa; atrayendo potenciales clientes del servicio y logrando ventas, ¡de una vez por siempre!
Back to top2) Instala o bien adquiere los mejores plugins (extensiones) de seguridad
Los complementos o bien complementos de seguridad refuerzan la seguridad de tu web y la hacen más bastante difícil de vulnerar.
Si tu web marcha con una plantilla de WordPress, encontrarás plugins específicos para WordPress. En caso contrario, tal vez una herramienta como puede hacer mucho por ti.
Cada vez que sale un nuevo complemento de seguridad, deberías estar dispuesto a instalarlo, sobre todo si este fue diseñado puntualmente para el estilo de negocio que tienes, pues eso significa que hay virus y cualquier tipo de malware por ahí, atacando a sitios como el tuyo.
Los plugins acostumbran a tener opciones de seguridad adicionales y jamás está de sobra poder contar con ellas.
Back to top3) Elige un servicio de hosting (alojamiento) web seguro
es una resolución mucho más crítica de lo que parece a simple vista. Mi consejo es que no tomes esta resolución a la ligera; eligiendo uno o bien otro sencillamente por cuestión de coste, recomendación de un amigo, publicidad o bien otro factor de poco valor en lo que se refiere a la seguridad de tu web.
El servicio de alojamiento web que escojas ha de ser seguro y ofrecerte copias de seguridad al día, actualizar de forma automática tu Content Management System, IP fíjas y seguras, recursos del servidor propios, así como sistemas de monitoreo y control de tu web.
¿Cómo resguardar el sitio web escogiendo bien el alojamiento web? Esto va a depender, en gran manera, del género de sitio que quieras montar. Normalmente, aquellos basados en ventas y transacciones, deben tener estándares de seguridad altísimos (, IP privada y del mismo país, , etcétera), pues de este modo los clientes no se sienten desconfiados en aportar datos personales o bien bancarios, y en llenar una transacción electrónica en tal web.
Este, es para mí, uno de los aspectos más esenciales para decidir por un servicio de alojamiento u otro, y más ahora, cuando abundan los ‘maestros de las estafas online’, los que semejan más hábiles y planeados que Dani Ocean y sus once ladrones (en la película ‘Ocean’s Eleven’ protagonizada por George Clooney y Brad Pitt).
Dejando el cine a un lado, no creas que estos estafadores y suplantadores de identidad “tantean” o bien dan pasos el falso; no, estimado lector, detectan y saben con perfección qué webs son vulnerables por su sistema de seguridad desactualizado, servidor web inseguro, o bien otros detalles que vamos a ver más adelante, y entran ‘como ladrón en la noche’: absolutamente nadie los oye, los advierte ni los ve.
Back to top4) Instala un certificado SSL y protege tu página web en HTTPS
Si aún tu página web no trabaja bajo el protocolo HTTPS, eso quiere decir que . ¡Debes arreglar esto cuanto antes! Esto debe ser lo segundo urgente a hacer el día de hoy mismo (recuerda que lo primero es actualizar tu CMS).
Migrar tu página HTTP estándar a una de protocolo HTTPS le hace saber a tus clientes que te importa su seguridad y evita que los ladrones cibernéticos encuentren fisuras por dónde meterse para robar datos o hacer estafas.
El inconveniente con una web que se conecta por HTTP, en vez de HTTPS, es que deja espacios de tiempo no cifrado ni seguro, entre el dispositivo de navegación y la web, al no tener un certificado SSL, y esto causa que los piratas online intercepten la información y accedan a datos confidenciales que el cliente y tu página web estáis intercambiando.
Instala un certificado seguro SSL en tu servidor web y migra tu página al protocolo HTTPS, ¡muchos distribuidores de alojamiento lo ofrecen gratis!
¿Cómo resguardar la web trabajando desde HTTPS? Cambiar a HTTPS no es tan costoso como acostumbraba a ser ya antes. De hecho, muchos distribuidores de alojamiento web, ya ofrecen un certificado SSL gratuito (Let’s Encrypt), ¡con lo que podrás tener tu web trabajando bajo HTTPS sin costo!
Y, una vez hayas instalado el certificado SSL y tu página web ya funcione bajo HTTPS, valora con seriedad crear una barrera de protección más, .
Back to top5) Crea copias de respaldo al día de todos tus datos
Las copias de respaldo diarias y automáticas de todos tus datos (web y bases de datos) calma muchas de las preocupaciones y cefaleas.
Muchos distribuidores de alojamiento web brindan esta alternativa gratuitamente, así que no vaciles en preguntarles.
Tener una backup es vital en el caso de que alguien logre entrar a tu página web y robe datos, o bien cause daños en tus archivos. Comenzar un sitio web desde cero es costoso y bastante difícil, mas volver a armar uno del que se tienen los datos resguardados, es mucho más simple.
Back to top6) ¡Resguarda tu Web del SQL Injection! Configura tus consultas para que sean parametrizadas
Hasta ahora, este es uno de los pasos más técnicos que vas a deber ejecutar sabiendo de qué manera proteger tu web de ataques basados en inyecciones SQL o SQL injections, ¡algo que hace mucho daño a muchísimas web cada día!
SQL es un lenguaje de consultas estructuradas mediante, el que, se accede a la información de las bases de datos de la página web. Las páginas donde hallas formularios o se realizan transacciones de compra/venta amontonan información en sus bases de datos, las que son vulnerables a inyecciones de SQL.
Las inyecciones de SQL permite al pirata informático entrar a la base de datos de tu web y descargar datos de clientes del servicio, facturas, cuentas corrientes, claves de acceso, etc.
Una configuración estándar o bien poco restrictiva de búsquedas, en tu página web, deja las inyecciones de SQL por la parte de los piratas informáticos, que no son más que la infiltración de códigos falsos e intrusos con el objetivo de entrar a la base de datos de tu página web. Una vez el intruso a conseguido entrar, puede descargar todos los datos de tu página web: datos de clientes del servicio, facturas, cuentas corrientes, contraseñas, etc.
Este grave orificio de seguridad se soluciona parametrizando las consultas SQL como vemos a continuación.
Esta sería una consulta básica:
«SELECT * FROM table WHERE column = ‘» + factor + «‘;»
Si el hacker cambia el parámetro de entrada a ‘OR ‘ 1 ‘=’ 1, algo que es de lo más fácil, ahora la consulta anterior pasaría a ser:
«SELECT * FROM table WHERE column = » OR ‘1’=’1′;»
Al hacer la alteración, la cual parece poco perceptible, se deduce que ‘1’ es igual a ‘1’, lo cual es una consulta que da positiva y de esta manera el atacante podría llegar a acceder a la información del registro de la base de datos, pudiendo efectuar una próxima consulta, con esa información, consiguiendo así acceder a ldonde le aparezcan la información guardada en la base de datos.
¿Cómo resguardar la web de los ataques por SQL injection? Una forma fácil prohibir este género de fácil acceso a gente malintencionada es parametrizando de la siguiente forma las consultas SQL:
$ ConsultaSQL = dólares americanos pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
$ ConsultaSQL->execute(array(‘value’ => $ parameter));
7) Protege tu página web con la política de seguridad de contenido (CPS)
La política de seguridad de contenido o CPS es útil para mantener tu página web a salvo de los ataques de tipo XXS (Cross-site Scripting), los cuales se caracterizan por el hecho de que un tercero inyecta código malicioso (con un virus) a todas tus páginas. Inyectado ese código, en el momento en que un usuario navegue por tu página web, desde el dispositivo que sea, se infectará con este virus, el que suele llevar intrínseco un código de JavaScript, pero puede adoptar otro género de lenguaje, con el objetivo que el pirata haya desarrollado, como por poner un ejemplo robar sus datos personales o bien financieros.
Aplicando el CPS evitas los ataques de tipo XXS (Cross-site Scripting) que infectarían los dispositivos de tus usuarios para hurtarles información personal o financiera.
De esta forma, en el momento en que un hacker trate de hacer maniobras desde su dominio web (externo a tu dominio web), el navegador del usuario advertirá que ese intento de conexión web no es válido ni autorizado, y lo rechazará.
¿De qué manera resguardar la página web con el CPS? En resumen, deberás añadir a tu web, donde autorices los dominios web y detalles fuentes válidas de scripts (por servirnos de un ejemplo, de Analytics, , Google Ads, etc.).
Los ataques de XXS son muy simples de realizar, y pueden aparecer hasta a través de un simple comentario del weblog.
Back to top8) Mantén tus ficheros y carpetas seguros con los permisos adecuados
Una página web se reduce a un montón de ficheros y carpetas. En estos, se almacena toda la información pertinente, como códigos y scripts precisos a fin de que tu página funcione como debe.
Cada carpetita y fichero cuenta con un código configurable (permisos) que deja controlar las funciones que pueden ejecutarse en él, como leer, redactar, alterar, etc.
Si tus carpetas y ficheros están configuradas a fin de que cualquiera pueda leerlos, redactar en ellos o bien ejecutar ciertas acciones, entonces significa que eres frágil a cualquier invasión de tu página web mediante este; es la puerta de entrada para el pirata informático.
Cuando los permisos de los archivos y carpetas no son los correctos, una persona con conocimientos básicos de hackeo, fácilmente entrará a tu web, y los resultados pueden ser los peores, pues podrá hacer lo que desee con esta.
Configura los permisos de todas las carpetitas y archivos de tu servidor web; las carpetas a setecientos cincuenta y cinco y los archivos a 644.
¿Cómo resguardar la web, sus archivos y carpetitas? Para eludir este escenario, se recomienda asignarle a las carpetas (directorios) el permiso código 755 y a los archivos el permiso código 644. Cada uno de ellos de los tres números indicados, da cierto permiso específico al dueño del fichero, a una persona que esté en el grupo de gente que tenga el archivo y al lector (público), respectivamente.
Back to top9) Haz una limpieza regular en tu página web
Mantener tu página web limpia y libre de aquellos archivos en desuso es esencial para sostenerla segura.
Cada cierto tiempo se aconseja hacer una limpieza profunda, y para facilitar este proceso hay que mantener los archivos bien organizados.
Trata de eliminar todos los archivos obsoletos o bien antiguos para evitar la entrada de virus y ser capaz de advertir archivos maliciosos.
Back to top10) Estate atento a los mensajes de error
Los mensajes de error no aportan nada relevante a los usuarios de tu página web mas que, sin duda, un pirata informático sí sabe aprovechar. ¿Cómo proteger la página web y evitar enseñar esta información?
Cuando crees mensajes de fallo, sé cauteloso y deja en ellos sólo la información que en verdad sea útil y precisa. Los detalles déjalos para los registros (LOGS) de tu servidor.
es eficaz para suministrar la ayuda básica al usuario y puede eludir que tu web sea una presa muy fácil para ataques como la inyección de SQL que te comenté previamente.
Back to top11) Crea contraseñas extremadamente seguras
Tu página web estará bien protegida si trabajas con contraseñas de alta dificultad, por poner un ejemplo para el acceso al backend o bien administrador a esta. Has de ser muy astuto para crear contraseñas.
Idealmente las contraseñas de tu página web deberían ser una combinación aleatoria de números y letras mayúsculas y minúsculas, e incluyendo caracteres singulares.
Si deseas mayor seguridad en esto, puedes dejar que un administrador de claves de acceso te cree una de forma aleatoria.
Quizás creas que los piratas informáticos no tienen poderes mágicos para adivinar tus contraseñas, pero estos son especialistas en anudar cabos, por lo que pueden deducir patrones de comportamiento en tu web y, con alguna información extra sacada de tu base de datos, van a probar hasta lograr tu clave.
Si apuestas por contraseñas que no se asocien a fechas, datos o eventos esenciales de tu marca o bien empresa, vas a estar más aseguro.
Back to top12) No te fíes en los archivos que carguen los usuarios de tu web
Cuando dejas que un usuario de tu página web pueda cargar ficheros a esta, esto supone un problema arduo, puesto que ¿de qué manera sabes que un pirata o pirata informático no es quien carga el archivo?
Por seguridad, no es conveniente permitir este tipo de acciones por parte de tus usuarios web, puesto que tendrás más trabajo debido a que debes etiquetar cada imagen o fichero como un ‘posible culpable’, hasta que se pruebe lo contrario, y analizarlo uno a uno.
Almacenar estos ficheros sospechosos es el problema mayor, y si es tu caso, debes eludir guardarlos directamente en el servidor de tu web. Se aconseja no darles la completa libertad de ser cargados a tu página web, sino que vayan a una base de datos externa, a una carpeta fuera de la raíz de la página o bien a otro servidor; esto te dará tiempo para detectar cualquier script que haya podido ser mandado, o algún virus que busque inficionar tu sistema.
Debes ser radical creando limitaciones y configurando permisos en lo que se refiere a la carga de archivos por parte de los usuarios de tu web.
¿De qué manera proteger la página web alamacenando estos archivos peligrosos? Una forma de control y mejora de la seguridad, es mudar el nombre del archivo totalmente, puesto que a veces, solo en el nombre, está incluyendo el código malicioso, para esto, prueba lo siguiente:
deny from all
order deny,allow
allow from all
Para cerciorarte de que las etiquetas de imágenes no contienen información oculta, puedes configurarlas así:
// imageDelivery.php
// Fetch image filename from database based on dólares americanos _GET[«id»]
…
// Deliver image to browser
Header(‘Content-Type: image/gif’);
readfile(‘images/’.$ fileName);
?>
Y en caso de que los ficheros, a los que les has dado acceso en tu web, se cargan en la red, debes asegurar que estos sean llevados, con seguridad y confiable, a tu servidor; usar un procedimiento SSH o bien SFTP, puede ayudarte a hacer esto con sencillez.
La validación de la información también es crucial en el momento de saber cómo resguardar el sitio web. Aunque mucha gente se debate sobre dónde hacer la validación, es preciso que la hagas en ambos lados, tanto en el servidor como en el navegador, puesto que de esta forma no dejas cabos sueltos en parte alguna.
La validación en el navegador sirve para advertir campos vacíos o fallos sencillos que dañan la estructura de tu página web, por poner un ejemplo aquellas que poseen casillas para ingresar textos o bien formularios para rellenar.
En cuanto a la validación del servidor, esta te da una perspectiva más profunda de cualquier software malicioso que podría estar camuflado en tus ficheros, de inyecciones de SQL o bien de ataques de tipo XXS.
Back to top13) Aplica controles de seguridad en tu web
Existen sistemas de monitoreo que te permiten programar pruebas frecuentes en la programación de tu página.
Este monitoreo debe hacerse, cuando menos, una vez por semana, puesto que de este modo mantienes a raya cualquier amenaza que pueda estar rondando tu página web.
El objetivo de estos controles de seguridad es que obtengas información en tiempo real de si algo anda mal en tus programas o bien plataforma Content Management System. El informe detallado que arroja el monitoreo debe ser analizado detenidamente, y te invito a darle prioridad a las amenazas que en este informe sean clasificadas con un alto grado de alerta.
Back to top14) Escanea tu página web con regularidad
No se trata de hacer cambios y fortalecer la seguridad el día de hoy, y pensar que el trabajo acaba ahí. No, para nada. Conseguir una web completamente segura es cosa del cada día, si no, no dispones de una web realmente segura.
Los hackers, los phishers y los estafadores online están al acecho al menos te lo imaginas. Ellos no descansan y atacan a la página web que les parezca más vulnerable.
Es preciso que cada cierto tiempo le hagas un escaneo de seguridad a tu página web, puesto que de este modo sostienes a raya a estos piratas.
Hay diferentes herramientas con las que puedes hacer el escaneo, y la mayoría son gratis y simples de emplear.
Back to top15) Utiliza herramientas para revisar la seguridad de tu web
Como ya hemos hecho cambios y configuraciones, es momento de comprobar si tu web es lo suficientemente segura; para esta labor, puedes apoyarte en alguna herramienta de seguridad, como , , entre otras muchas.
Una vez que haces la evaluación, mantente atento al informe de esta, puesto que allí sabrás qué posibles ataques se han lanzado hacia tu web y si hay códigos maliciosos en ella. De ser de esta manera, diseña un plan de ataque para contrarrestar estas acciones y fortalece la seguridad en aquellas áreas donde te vulneraron.
Si requieres ayuda profesional, puesto que acostumbra a ocurrir que no sabes de qué manera interpretar los datos que te arroja el escaneo, puedes lograr apoyo en empresas de desarrollo y mantenimiento web como la nuestra. Con nuestros servicios de mantenimiento y mejora web, la seguridad de tu negocio tendrá prioridad por parte del equipo de expertos.
Back to top16) Confía tu página web en manos profesionales
Entiendo que todo este proceso de hacer tu página web segura ante ataques cibernéticos puede llegar a ser algo tedioso, pero no es una opción, sino una obligación y una prioridad para tu empresa.
Si piensas que el proceso es complejo, no tienes tiempo o bien los conocimientos técnicos mínimos para esto, ¡déjalo en manos profesionales!
Una empresa de diseño y mantenimiento web moral, se encargará de monitorear tu web con cierta frecuencia, ejecutará las acciones precisas para evitar ataques de tipo XXS y también inyección de SQL, así como va a estar al día con todos los virus y malware que van apareciendo en el camino, para alertarte y tomar decisiones a fin de que tú y tus clientes estéis a salvo.
¡Te asistimos a sostener tu web siempre y en toda circunstancia al ciento diez por ciento !
Nos encargamos de todo lo relacionado con tu web para que dé resultados a tu empresa sin causarte molestias ni pérdida de tiempo, con lo que podrás centrarte absolutamente en tu negocio.
Back to top17) Conclusión: toma acciones lo antes posible para garantizar la seguridad de tu web
La seguridad de una web no es labor para más adelante. Quizá creas que no eres blanco de los piratas informáticos, mas las estadísticas revelan que el año pasado los ataques cibernéticos se llevaron más de 5 mil millones de dólares. Para este año los especialistas parecen estar conforme que, con tal incremento de ataques y también intentos de estafa, las perdidas serán mucho mayores, haciendo más frágiles a quienes todavía no han sufrido un primer ataque de este género.
¿Vas a aguardar a que el enemigo te atrape? Garantizar la seguridad de tu web es primordial para conquistar a los motores de búsqueda y liderar tu nicho puesto que, si los clientes del servicio se sienten vulnerables, no van a hacer ninguna transacción en tu página ni desearán suministrar sus datos.
Mientras más segura sea tu página web, vas a tener mayores probabilidades de tener una tasa de conversión alta y conseguir beneficios.
No debes ser el servicio secreto de Estados Unidos para sostener tus archivos y tu base de datos a salvo, conque no dejes que las disculpas te aparten de tu objetivo.
Si pese a estos consejos, sigues teniendo inconvenientes con tu página, en otro artículo te explicamos fácilmente.
¿Crees que es de ayuda este artículo? ¡Seguro que sí! Por eso te recomiendo compartirlo con tus amigos en las redes sociales.
Abajo te dejo un sencillo formulario que puedes rellenar para enviarme tus dudas y comentarios. ¡Y así contactaré contigo y te asistiré! Si deseas contarme de qué manera van tus resultados al aplicar estos consejos, voy a estar aguardando por esta razón, pues así te asistiré en el proceso.
Back to top