Da igual el género de empresa que seas y en qué ámbito comercial te encuentres: si tienes una página web seguramente seas el blanco idóneo para un ataque cibernético. No quiero iniciar este blog post siendo alarmista, pero sí deseo que tomes conciencia de que cualquier empresa y web puede padecer un intento de suplantación de identidad y robo de datos, o bien ser presa simple de virus, , o cualquier clase de programas maliciosos que haya aparecido recientemente.
Sea cual sea la basura que procuren enviarte o meter en tu página, debes saber de manera perfecta cómo proteger web por el hecho de que, si tu web tiene instaladas y aplicadas todas las medidas de seguridad, aguantará cualquier ataque que le hagan.
Sin embargo, la triste realidad es que muchos dueños de páginas ¡y webmasters! no saben cómo garantizar la seguridad ni de qué manera proteger la web y, peor aún, no le dan importancia creyendo que “a ellos nos le podría pasar nada, no son un Apple o bien un Amazon…”. Pero sí invierten bastante dinero en una o a través de una .
No digo que , sean acciones de poca importancia para una compañía, ¡para nada! Mas de poco sirve producir mucho tráfico hacia una página web, si esta ha sido atacada y no está marchando correctamente o bien está robando los datos de la empresa, de sus clientes, ¡o bien el dinero de los dos! Hay demasiado en riesgo para no darle máxima prioridad en mejorar la seguridad y conocer de qué forma proteger el sitio web.
Antes de entrar en materia, déjame comentarte que en caso de que, así sea por el hecho de que tienes poco tiempo libre o bien no tienes los conocimientos técnicos precisos, prefieres dejar este frágil trabajo en manos de profesionales, los que ofrecemos en CITIFACE incluyen, entre muchas otras ventajas para tu empresa, blindar a tu web en frente de cualquier ataque hacia tu negocio on line o bien tus clientes del servicio.
Ahora sí, ¿cómo poner crear una barrera de seguridad en frente de estos ataques? Hay varios pasos sencillos para crear un escudo que distancie a este tipo de piratas, estafadores y programas maliciosos, y en este post te dejo una guía fácil punto por punto para conocer cómo proteger tu web.
Back to top1) Empieza a proteger tu web actualizando siempre y en todo momento el software y la plataforma CMS
El primer paso para mantener una web segura, el más básico y también esencial, es no no hacer ni caso de las actualizaciones de software y de la plataforma CMS.
En muchas ocasiones, le gente se enfurece cuando aparece una nueva actualización de software. “¡Otra vez! ¡Qué pesados! ¡Sacan una actualización cada poquitos días! ¡Seguro que es para un chorradita!”. Pero yo, que he cooperado en múltiples actualizaciones de plugins de la plataforma Content Management System de Wordpress, te puedo asegurar que estas actualizaciones no se hacen en balde. Es verdad que algunas son para prosperar aspectos que no están relacionados directamente con la seguridad, pero la mayoría de las actualizaciones sí están relacionadas, directa o bien de manera indirecta, con la seguridad de la página web.
Estar al día con las actualizaciones de software y de la plataforma Content Management System de tu página web, supone tener un primer escudo básico y crucial para proteger tu página web de virus y ataques a la seguridad de tu web.
Para eludir la entrada de virus o software maliciosos, así como de ataques que vulneren la seguridad de tu página web, es importante estar al día con las actualizaciones de tu plataforma, sí o bien sí, ¡sin disculpas ni demoras!
Muchas de las empresas de alojamiento web ya se encargan de manera directa de actualizar ciertas plataformas CMS en código abierto pero, como no podemos fiarnos de que se acuerden o bien ese sistema automatizado funcione correctamente, debes estar atento a repasar cuando aparece una nueva actualización y aplicarla mismo en tu página web.
En un CMS como WordPress es sencillísimo este proceso y te lo comento en detalle en otros artículos:
Quiero que sepas que existe una línea delgadísima entre la seguridad de tu web y los ataques de los piratas informáticos. Los piratas informáticos son avispadísimos en detectar cualquier orificio en la seguridad de tu software y plataforma CMS, y entrar rápidamente por ahí. Teniendo estas completamente actualizadas eludes dejar una puerta abierta para que entren a las supones de tu página web.
Si deseas saber más, te recomiendo otro artículo donde te explicamos .
¡Enamora a tu público con tu superpágina web!
Exprimiremos tu página web hasta el momento en que enamore: bien posicionada en Google, segura, rápida y, sobretodo, eficiente y rentable para tu empresa; atrayendo potenciales clientes del servicio y consiguiendo ventas, ¡de una vez por siempre!
Back to top2) Instala o adquiere los mejores complementos (extensiones) de seguridad
Los complementos o complementos de seguridad refuerzan la seguridad de tu web y la hacen más difícil de vulnerar.
Si tu web funciona con una plantilla de Wordpress, encontrarás plugins concretos para WordPress. De lo contrario, tal vez una herramienta como puede hacer mucho por ti.
Cada vez que sale un nuevo complemento de seguridad, habrías de estar dispuesto a instalarlo, especialmente si este fue diseñado puntualmente para el estilo de negocio que tienes, pues eso significa que hay virus y cualquier tipo de malware por ahí, atacando a sitios como el tuyo.
Los complementos acostumbran a tener opciones de seguridad adicionales y jamás está de más poder contar con ellas.
Back to top3) Elige un servicio de alojamiento web (alojamiento) web seguro
es una resolución considerablemente más crítica de lo que semeja a simple vista. Mi consejo es que no tomes esta resolución a la ligera; eligiendo uno o bien otro simplemente por cuestión de costo, recomendación de un amigo, publicidad o bien otro factor de poco valor en cuanto a la seguridad de tu página web.
El servicio de alojamiento web que elijas ha de ser seguro y ofrecerte copias de respaldo cada día, actualizar automáticamente tu CMS, IP fíjas y seguras, recursos del servidor propios, como sistemas de monitoreo y control de tu página web.
¿De qué manera proteger la página web eligiendo bien el alojamiento web? Esto dependerá, en gran forma, del tipo de lugar que quieras montar. En general, aquellos basados en ventas y transacciones, deben tener estándares de seguridad muy altos (, IP privada y del mismo país, , etcétera), puesto que de esta manera los clientes no se sienten desconfiados en aportar datos personales o bancarios, y en completar una transacción electrónica en dicha página.
Este, es para mí, uno de los aspectos más esenciales para decidir por un servicio de alojamiento o bien otro, y más ahora, cuando abundan los ‘maestros de las estafas online’, los que parecen más hábiles y planificados que Dani Ocean y sus once ladrones (en la película ‘Ocean’s Eleven’ protagonizada por George Clooney y Brad Pitt).
Dejando el cine a un lado, no pienses que estos estafadores y suplantadores de identidad “tantean” o dan pasos el falso; no, estimado lector, detectan y saben perfectamente qué webs son vulnerables por su sistema de seguridad desactualizado, servidor web inseguro, u otros detalles que veremos más adelante, y entran ‘como ladrón en la noche’: absolutamente nadie los oye, los detecta ni los ve.
Back to top4) Instala un certificado SSL y protege tu web en HTTPS
Si aún tu página web no trabaja bajo el protocolo HTTPS, eso quiere decir que . ¡Debes arreglar esto lo antes posible! Esto ha de ser lo segundo urgente a hacer hoy mismo (recuerda que lo primero es actualizar tu Content Management System).
Migrar tu página web HTTP estándar a una de protocolo HTTPS le hace saber a tus clientes que te importa su seguridad y evita que los ladrones cibernéticos hallen grietas por dónde meterse para hurtar datos o bien hacer estafas.
El problema con una web que se conecta por HTTP, en vez de HTTPS, es que deja espacios de tiempo no cifrado ni seguro, entre el dispositivo de navegación y la web, al no poseer un certificado SSL, y esto causa que los piratas en línea intercepten la información y accedan a datos confidenciales que el cliente del servicio y tu web estáis intercambiando.
Instala un certificado seguro SSL en tu servidor web y migra tu página al protocolo HTTPS, ¡muchos distribuidores de alojamiento lo ofrecen sin coste!
¿De qué manera proteger el sitio web trabajando desde HTTPS? Cambiar a HTTPS no es tan costoso como solía ser antes. En verdad, muchos proveedores de alojamiento web, ya ofrecen un certificado SSL gratis (Let’s Encrypt), ¡con lo cual vas a poder tener tu página web trabajando bajo HTTPS sin coste!
Y, una vez hayas instalado el certificado SSL y tu página web ya funcione bajo HTTPS, valora seriamente crear una barrera de protección más, .
Back to top5) Crea copias de respaldo diarias de todos tus datos
Las copias de seguridad diarias y automáticas de todos tus datos (web y bases de datos) calma muchas de las preocupaciones y cefaleas.
Muchos proveedores de alojamiento web brindan esta alternativa gratuitamente, con lo que no dudes en preguntarles.
Tener una copia de seguridad es vital en el caso de que alguien consiga entrar a tu página web y robe datos, o cause daños en tus archivos. Empezar un sitio desde cero es costoso y bastante difícil, mas volver a armar uno del que se tienen los datos resguardados, es considerablemente más fácil.
Back to top6) ¡Resguarda tu Web del SQL Injection! Configura tus consultas para que sean parametrizadas
Hasta ahora, este es uno de los pasos más técnicos que deberás ejecutar sabiendo cómo proteger tu página web de ataques basados en inyecciones SQL o SQL injections, ¡algo que está haciendo mucho daño a muchísimas web día tras día!
SQL es un lenguaje de consultas estructuradas a través de, el que, se accede a la información de las bases de datos de la web. Las páginas donde encuentras formularios o se efectúan transacciones de compra/venta acumulan información en sus bases de datos, las cuales son frágiles a inyecciones de SQL.
Las inyecciones de SQL permite al pirata informático entrar a la base de datos de tu página y descargar datos de clientes, facturas, cuentas bancarias, claves de acceso, etc.
Una configuración estándar o poco restrictiva de búsquedas, en tu página web, permite las inyecciones de SQL por parte de los piratas informáticos, que no son más que la infiltración de códigos falsos y también intrusos con la meta de entrar a la base de datos de tu página web. Una vez el intruso a logrado entrar, puede descargar todos y cada uno de los datos de tu página web: datos de clientes del servicio, facturas, cuentas bancarias, contraseñas, etc.
Este grave agujero de seguridad se solventa parametrizando las consultas SQL como vemos ahora.
Esta sería una consulta básica:
«SELECT * FROM table WHERE column = ‘» + factor + «‘;»
Si el hacker cambia el parámetro de entrada a ‘OR ‘ 1 ‘=’ 1, algo que es de lo más sencillo, ahora la consulta precedente pasaría a ser:
«SELECT * FROM table WHERE column = » OR ‘1’=’1′;»
Al hacer la alteración, la que semeja poco perceptible, se deduce que ‘1’ es igual a ‘1’, lo que es una consulta que da positiva y de este modo el atacante podría llegar a acceder a la información del registro de la base de datos, pudiendo realizar una siguiente consulta, con esa información, consiguiendo de esta manera acceder a ldonde le aparezcan la información guardada en la base de datos.
¿Cómo proteger la página web de los ataques por SQL injection? Una forma sencilla prohibir esta clase de simple acceso a gente malintencionada es parametrizando de la siguiente forma las consultas SQL:
dólares americanos ConsultaSQL = $ pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
dólares americanos ConsultaSQL->execute(array(‘value’ => dólares americanos parameter));
7) Protege tu web con la política de seguridad de contenido (CPS)
La política de seguridad de contenido o bien CPS es útil para mantener tu página web a salvo de los ataques de tipo XXS (Cross-site Scripting), los que se caracterizan porque un tercero inyecta código malicioso (con un virus) a todas tus páginas. Inyectado ese código, en el momento en que un usuario navegue por tu página web, desde el dispositivo que sea, se infectará con este virus, el que acostumbra a llevar intrínseco un código de JavaScript, mas puede adoptar otro tipo de lenguaje, con el propósito que el pirata haya desarrollado, como por servirnos de un ejemplo robar sus datos personales o bien financieros.
Aplicando el CPS eludes los ataques de tipo XXS (Cross-site Scripting) que inficionarían los dispositivos de tus usuarios para robarles información personal o financiera.
De esta forma, cuando un hacker trate de hacer maniobras desde su dominio web (externo a tu dominio web), el navegador del usuario detectará que ese intento de conexión web no es válido ni autorizado, y lo rechazará.
¿Cómo resguardar el sitio web con el CPS? En resumen, vas a deber agregar a tu página web, donde autorices los dominios web y detalles fuentes válidas de scripts (por servirnos de un ejemplo, de Analytics, , Google Ads, etcétera).
Los ataques de XXS son muy fáciles de realizar, y pueden aparecer hasta mediante un simple comentario del weblog.
Back to top8) Mantén tus archivos y carpetitas seguros con los permisos adecuados
Una página web se reduce a un montón de archivos y carpetitas. En estos, se guarda toda la información correspondiente, así como códigos y scripts precisos a fin de que tu página funcione como debe.
Cada carpetita y fichero cuenta con un código configurable (permisos) que permite controlar las funciones que pueden ejecutarse en él, como leer, redactar, alterar, etc.
Si tus carpetitas y ficheros están configuradas para que cualquiera pueda leerlos, redactar en ellos o ejecutar ciertas acciones, entonces significa que eres vulnerable a cualquier invasión de tu web mediante este; es la puerta de entrada para el pirata informático.
Cuando los permisos de los ficheros y carpetas no son los adecuados, una persona con conocimientos básicos de hackeo, fácilmente va a entrar a tu web, y los resultados pueden ser los peores, pues va a poder hacer lo que quiera con esta.
Configura los permisos de todas y cada una de las carpetitas y archivos de tu servidor web; las carpetitas a setecientos cincuenta y cinco y los ficheros a seiscientos cuarenta y cuatro.
¿De qué forma resguardar la página web, sus ficheros y carpetitas? Para evitar este escenario, se aconseja asignarle a las carpetitas (directorios) el permiso código setecientos cincuenta y cinco y a los ficheros el permiso código seiscientos cuarenta y cuatro. Cada uno de ellos de los 3 números indicados, da cierto permiso concreto al dueño del fichero, a una persona que esté dentro del conjunto de gente que posea el fichero y al lector (público), respectivamente.
Back to top9) Haz una limpieza regular en tu página web
Mantener tu página web limpia y libre de aquellos ficheros en desuso es esencial para mantenerla segura.
Cada cierto tiempo se aconseja hacer una limpieza profunda, y para facilitar este proceso hay que sostener los archivos bien organizados.
Trata de eliminar todos los ficheros obsoletos o antiguos para evitar la entrada de virus y ser capaz de detectar ficheros maliciosos.
Back to top10) Estate atento a los mensajes de error
Los mensajes de error no aportan nada relevante a los usuarios de tu página web mas que, sin duda, un pirata informático sí sabe aprovechar. ¿Cómo proteger la página web y eludir enseñar esta información?
Cuando crees mensajes de fallo, sé cauto y deja en ellos sólo la información que en verdad sea útil y necesaria. Los detalles déjalos para los registros (LOGS) de tu servidor.
es eficaz para suministrar la ayuda básica al usuario y puede evitar que tu página web sea una presa muy simple para ataques como la inyección de SQL que te comenté anteriormente.
Back to top11) Crea claves de acceso extremadamente seguras
Tu página estará bien protegida si trabajas con contraseñas de alta complejidad, por ejemplo para el acceso al backend o bien administrador a esta. Debes ser muy astuto para crear claves de acceso.
Idealmente las contraseñas de tu página web deberían ser una combinación aleatoria de números y letras mayúsculas y minúsculas, e incluyendo caracteres singulares.
Si quieres mayor seguridad en esto, puedes dejar que un administrador de contraseñas te cree una de forma azarosa.
Quizás creas que los piratas informáticos no tienen poderes mágicos para adivinar tus contraseñas, pero estos son especialistas en anudar cabos, por lo que pueden inferir patrones de comportamiento en tu página web y, con alguna información extra sacada de tu base de datos, van a probar hasta conseguir tu clave.
Si apuestas por contraseñas que no se asocien a fechas, datos o eventos esenciales de tu marca o bien empresa, vas a estar más aseguro.
Back to top12) No te fíes en los ficheros que carguen los usuarios de tu web
Cuando dejas que un usuario de tu página pueda cargar archivos a esta, esto supone un problema arduo, puesto que ¿de qué manera sabes que un pirata o bien hacker no es quien está cargando el archivo?
Por seguridad, no es conveniente permitir este género de acciones por parte de tus usuarios web, pues tendrás más trabajo debido a que tienes que etiquetar cada imagen o archivo como un ‘posible culpable’, hasta el momento en que se demuestre lo opuesto, y analizarlo uno a uno.
Almacenar estos ficheros sospechosos es el inconveniente mayor, y si es tu caso, debes eludir guardarlos directamente en el servidor de tu página web. Se recomienda no darles la completa libertad de ser cargados a tu página web, sino que vayan a una base de datos externa, a una carpetita fuera de la raíz de la página o bien a otro servidor; esto te va a dar tiempo para advertir cualquier script que haya podido ser enviado, o bien algún virus que busque infectar tu sistema.
Debes ser radical creando restricciones y configurando permisos en cuanto a la carga de archivos por la parte de los usuarios de tu web.
¿De qué manera resguardar la web alamacenando estos ficheros peligrosos? Una forma de control y mejora de la seguridad, es cambiar el nombre del fichero totalmente, puesto que a veces, sólo en el nombre, está incluido el código malicioso, para ello, prueba lo siguiente:
deny from all
order deny,allow
allow from all
Para asegurarte de que las etiquetas de imágenes no contienen información oculta, puedes configurarlas así:
// imageDelivery.php
// Fetch image filename from base de datos based on $ _GET[«id»]
…
// Deliver image to browser
Header(‘Content-Type: image/gif’);
readfile(‘images/’.$ fileName);
?>
Y en el caso de que los ficheros, a los que les has dado acceso en tu página web, se cargan en la red de redes, debes garantizar que estos sean llevados, de forma segura y confiable, a tu servidor; usar un método SSH o SFTP, puede asistirte a hacer esto con sencillez.
La validación de la información también es crucial en el momento de saber cómo resguardar la página web. Aunque mucha gente se discute sobre dónde hacer la validación, es necesario que la hagas en ambos lados, tanto en el servidor como en el navegador, puesto que de esta forma no dejas cabos sueltos en ninguna parte.
La validación en el navegador sirve para advertir campos vacíos o bien fallos fáciles que dañan la estructura de tu web, por poner un ejemplo aquellas que contienen casillas para ingresar textos o formularios para rellenar.
En cuanto a la validación del servidor, esta te da una perspectiva más profunda de cualquier software malicioso que podría estar camuflado en tus archivos, de inyecciones de SQL o de ataques de tipo XXS.
Back to top13) Aplica controles de seguridad en tu web
Existen sistemas de monitoreo que te permiten programar pruebas usuales en la programación de tu página.
Este monitoreo debe hacerse, cuando menos, una vez por semana, puesto que así mantienes a raya cualquier amenaza que pueda estar rondando tu página web.
El objetivo de estos controles de seguridad es que obtengas información en tiempo real de si algo anda mal en tus programas o plataforma CMS. El informe detallado que lanza el monitoreo debe ser analizado detenidamente, y te recomiendo darle prioridad a las amenazas que en este informe sean clasificadas con un alto grado de alerta.
Back to top14) Escanea tu página web con regularidad
No se trata de hacer cambios y fortalecer la seguridad el día de hoy, y creer que el trabajo termina ahí. No, para nada. Lograr una web completamente segura es cosa del día a día, si no, no dispones de una web realmente segura.
Los piratas informáticos, los phishers y los estafadores on-line están al acecho por lo menos te lo imaginas. Ellos no descansan y atacan a la página web que les parezca más frágil.
Es necesario que cada cierto tiempo le hagas un escaneo de seguridad a tu página web, pues así sostienes a raya a estos piratas.
Hay diferentes herramientas con las que puedes hacer el escaneo, y la mayor parte son gratis y simples de utilizar.
Back to top15) Utiliza herramientas para comprobar la seguridad de tu web
Como ya hemos hecho cambios y configuraciones, es el instante de comprobar si tu página web es lo suficientemente segura; para esta labor, puedes apoyarte en alguna herramienta de seguridad, como , , entre otras.
Una vez que haces la evaluación, mantente atento al informe de esta, pues allí sabrás qué posibles ataques se han lanzado cara tu página web y si hay códigos maliciosos en ella. De ser de este modo, diseña un plan de ataque para contrarrestar estas acciones y fortalece la seguridad en aquellas áreas donde te vulneraron.
Si requieres ayuda profesional, pues acostumbra a ocurrir que no sabes de qué manera interpretar los datos que te arroja el escaneo, puedes conseguir apoyo en empresas de desarrollo y mantenimiento web como la nuestra. Con nuestros servicios de mantenimiento y mejora web, la seguridad de tu negocio va a tener prioridad por parte del equipo de expertos.
Back to top16) Confía tu web en manos profesionales
Entiendo que todo este proceso de hacer tu web segura ante ataques cibernéticos puede ser algo aburrido, pero no es una opción, sino más bien una obligación y una prioridad para tu empresa.
Si piensas que el proceso es complejo, no tienes tiempo o bien los conocimientos técnicos mínimos para esto, ¡déjalo en manos profesionales!
Una empresa de diseño y mantenimiento web moral, se encargará de monitorear tu página web con frecuencia, ejecutará las acciones necesarias para evitar ataques de tipo XXS y también inyección de SQL, como va a estar al día con todos y cada uno de los virus y malware que van apareciendo en el camino, para alertarte y tomar decisiones a fin de que tú y tus clientes estéis a salvo.
¡Te ayudamos a sostener tu web siempre al ciento diez por cien !
Nos encargamos de todo lo relacionado con tu web para que dé resultados a tu empresa sin ocasionarte molestias ni pérdida de tiempo, con lo que podrás centrarte totalmente en tu negocio.
Back to top17) Conclusión: toma acciones cuanto antes para asegurar la seguridad de tu web
La seguridad de una web no es tarea para más adelante. Quizá pienses que no eres blanco de los piratas informáticos, pero las estadísticas revelan que el año pasado los ataques cibernéticos se llevaron más de cinco mil millones de dólares. Para este año los expertos parecen estar de acuerdo que, con tal aumento de ataques e intentos de estafa, las perdidas serán mucho mayores, haciendo más vulnerables a quienes aún no han padecido un primer ataque de esta clase.
¿Vas a aguardar a que el enemigo te atrape? Garantizar la seguridad de tu web es primordial para conquistar a los buscadores y liderar tu nicho pues, si los clientes del servicio se sienten vulnerables, no harán ninguna transacción en tu página ni querrán suministrar sus datos.
Mientras más segura sea tu web, vas a tener mayores probabilidades de tener una tasa de conversión alta y conseguir beneficios.
No tienes que ser el servicio secreto de Estados Unidos para sostener tus ficheros y tu base de datos a salvo, con lo que no dejes que las disculpas te separen de tu objetivo.
Si pese a estos consejos, prosigues teniendo inconvenientes con tu página web, en otro artículo te explicamos de manera fácil.
¿Piensas que es de ayuda este artículo? ¡Seguro que sí! De ahí que te invito a compartirlo con tus amigos en las redes sociales.
Abajo te dejo un sencillo formulario que puedes rellenar para enviarme tus dudas y comentarios. ¡Y de este modo contactaré contigo y te asistiré! Si quieres contarme de qué manera van tus resultados al aplicar estos consejos, estaré esperando por ello, puesto que de esta forma te asistiré en el proceso.
Back to top