Da igual el género de empresa que seas y exactamente en qué ámbito comercial te encuentres: si tienes una página web seguramente seas el blanco perfecto para un ataque cibernético. No deseo iniciar este artículo siendo alarmista, pero sí deseo que tomes conciencia de que cualquier empresa y página web puede padecer un intento de suplantación de identidad y robo de datos, o bien ser presa fácil de virus, , o bien cualquier clase de programas maliciosos que haya aparecido recientemente.
Sea cual sea la basura que intenten enviarte o meter en tu web, has de saber con perfección cómo resguardar web por el hecho de que, si tu web tiene instaladas y aplicadas todas las medidas de seguridad, soportará cualquier ataque que le hagan.
Sin embargo, la triste realidad es que muchos propietarios de páginas web ¡y administradores web! no saben cómo garantizar la seguridad ni de qué manera resguardar la web y, peor todavía, no le dan relevancia pensando que “a ellos nos le podría pasar nada, no son un Apple o un Amazon…”. Pero en cambio sí invierten bastante dinero en una o a través de una .
No digo que , sean acciones de poca importancia para una empresa, ¡para nada! Mas de poco sirve producir mucho tráfico hacia una página, si esta ha sido atacada y no está marchando adecuadamente o bien está robando los datos de la empresa, de sus clientes del servicio, ¡o el dinero de ambos! Hay demasiado en riesgo para no darle máxima prioridad en prosperar la seguridad y conocer de qué manera resguardar el sitio web.
Antes de entrar en materia, déjame comentarte que caso de que, así sea porque tienes poco tiempo libre o no tienes los conocimientos técnicos necesarios, prefieres dejar este frágil trabajo a cargo de profesionales, los que ofrecemos en CITIFACE incluyen, entre otras ventajas para tu empresa, blindar a tu página en frente de cualquier ataque hacia tu negocio on line o bien tus clientes.
Ahora sí, ¿cómo poner crear una barrera de seguridad en frente de estos ataques? Hay varios pasos fáciles para crear un escudo que separe a este tipo de piratas, estafadores y programas maliciosos, y en este artículo te dejo una guía sencilla pasito a pasito para conocer de qué forma proteger tu web.
Back to top1) Empieza a proteger tu web actualizando siempre y en toda circunstancia el software y la plataforma CMS
El primer paso para mantener una web segura, el más básico e importante, es no hacer caso omiso de las actualizaciones de software y de la plataforma CMS.
En muchas ocasiones, le gente se enoja cuando aparece una nueva actualización de software. “¡Otra vez! ¡Qué pesados! ¡Sacan una actualización cada pocos días! ¡Seguro que es para un chorradita!”. Mas yo, que he cooperado en varias actualizaciones de complementos de la plataforma Content Management System de WordPress, te puedo asegurar que estas actualizaciones no se hacen en vano. Es cierto que algunas son para progresar aspectos que no están directamente relacionados con la seguridad, mas la mayoría de las actualizaciones sí están relacionadas, directa o bien de manera indirecta, con la seguridad de la página web.
Estar al día con las actualizaciones de software y de la plataforma Content Management System de tu página web, supone tener un primer escudo básico y crucial para resguardar tu página web de virus y ataques a la seguridad de tu web.
Para evitar la entrada de virus o bien software maliciosos, así como de ataques que vulneren la seguridad de tu página web, es esencial estar al día con las actualizaciones de tu plataforma, sí o sí, ¡sin disculpas ni demoras!
Muchas de las empresas de alojamiento web ya se hacen cargo de forma directa de actualizar ciertas plataformas CMS en código abierto mas, como no podemos fiarnos de que se acuerden o ese sistema automatizado funcione correctamente, debes estar al loro a repasar cuando aparece una nueva actualización y aplicarla mismo en tu web.
En un CMS como WP es sencillísimo este proceso y te lo comento en detalle en otros artículos:
Quiero que sepas que hay una línea muy delgada entre la seguridad de tu web y los ataques de los piratas informáticos. Los hackers son muy avispados en detectar cualquier orificio en la seguridad de tu software y plataforma Content Management System, y entrar rápidamente por ahí. Teniendo estas totalmente actualizadas eludes dejar una puerta abierta a fin de que entren a las supones de tu web.
Si quieres saber más, te invito a otro artículo donde te explicamos .
¡Enamora a tu público con tu superpágina web!
Exprimiremos tu web hasta el momento en que enamore: bien posicionada en Google, segura, rápida y, sobretodo, eficiente y rentable para tu empresa; atrayendo potenciales clientes del servicio y logrando ventas, ¡de una vez por siempre!
Back to top2) Instala o bien compra los mejores complementos (extensiones) de seguridad
Los complementos o complementos de seguridad refuerzan la seguridad de tu web y la hacen más bastante difícil de vulnerar.
Si tu web funciona con una plantilla de Wordpress, encontrarás plugins específicos para WordPress. De lo contrario, quizá una herramienta como puede hacer mucho por ti.
Cada vez que sale un nuevo complemento de seguridad, habrías de estar dispuesto a instalarlo, sobre todo si este fue desarrollado muy puntualmente para el estilo de negocio que tienes, pues eso quiere decir que hay virus y cualquier tipo de malware por ahí, atacando a sitios como el tuyo.
Los complementos acostumbran a tener opciones de seguridad adicionales y nunca está de sobra poder contar con ellas.
Back to top3) Elige un servicio de alojamiento web (alojamiento) web seguro
es una decisión considerablemente más crítica de lo que semeja a simple vista. Mi consejo es que no tomes esta decisión a la ligera; escogiendo uno o bien otro simplemente por cuestión de costo, recomendación de un amigo, publicidad u otro factor de poco valor en lo que se refiere a la seguridad de tu página web.
El servicio de hosting que escojas ha de ser seguro y ofrecerte copias de seguridad cada día, actualizar de manera automática tu CMS, IP fíjas y seguras, recursos del servidor propios, como sistemas de monitoreo y control de tu web.
¿Cómo resguardar la web eligiendo bien el alojamiento web? Esto va a depender, en gran forma, del tipo de lugar que desees montar. En general, aquellos basados en ventas y transacciones, deben tener estándares de seguridad altísimos (, IP privada y del mismo país, , etcétera), pues de esta forma los clientes no se sienten desconfiados en aportar datos personales o bancarios, y en completar una transacción electrónica en tal página.
Este, es para mí, uno de los aspectos más importantes para decidir por un servicio de alojamiento o bien otro, y más ahora, cuando abundan los ‘maestros de las estafas online’, los cuales parecen más hábiles y planeados que Dani Ocean y sus once ladrones (en la película ‘Ocean’s Eleven’ protagonizada por George Clooney y Brad Pitt).
Dejando el cine a un lado, no creas que estos estafadores y suplantadores de identidad “tantean” o bien dan pasos el falso; no, estimado lector, detectan y saben de forma perfecta qué webs son vulnerables por su sistema de seguridad desactualizado, servidor web inseguro, u otros detalles que vamos a ver más adelante, y entran ‘como ladrón en la noche’: nadie los oye, los advierte ni los ve.
Back to top4) Instala un certificado SSL y protege tu web en HTTPS
Si todavía tu página web no trabaja bajo el protocolo HTTPS, eso quiere decir que . ¡Debes arreglar esto lo antes posible! Esto ha de ser lo segundo urgente a hacer hoy mismo (recuerda que lo primero es actualizar tu Content Management System).
Migrar tu página web HTTP estándar a una de protocolo HTTPS le hace saber a tus clientes del servicio que te importa su seguridad y evita que los ladrones cibernéticos hallen fisuras por dónde meterse para hurtar datos o hacer estafas.
El inconveniente con una web que se conecta por HTTP, en lugar de HTTPS, es que deja espacios de tiempo no cifrado ni seguro, entre el dispositivo de navegación y la web, al no tener un certificado SSL, y esto causa que los piratas online intercepten la información y accedan a datos confidenciales que el cliente del servicio y tu web estáis intercambiando.
Instala un certificado seguro SSL en tu servidor web y migra tu página al protocolo HTTPS, ¡muchos distribuidores de alojamiento lo ofrecen sin costo!
¿De qué forma resguardar la página web trabajando desde HTTPS? Cambiar a HTTPS no es tan costoso como acostumbraba a ser ya antes. En verdad, muchos proveedores de alojamiento web, ya ofrecen un certificado SSL gratuito (Let’s Encrypt), ¡con lo cual podrás tener tu web trabajando bajo HTTPS sin coste!
Y, una vez hayas instalado el certificado SSL y tu página web ya funcione bajo HTTPS, valora seriamente crear una barrera de protección más, .
Back to top5) Crea copias de seguridad diarias de todos tus datos
Las copias de seguridad diarias y automáticas de todos tus datos (web y bases de datos) alivia muchas de las preocupaciones y cefaleas.
Muchos distribuidores de alojamiento web brindan esta alternativa gratuitamente, conque no vaciles en preguntarles.
Tener una copia de respaldo es vital en el caso de que alguien consiga entrar a tu web y robe datos, o cause daños en tus archivos. Comenzar un sitio web desde cero es costoso y difícil, pero regresar a armar uno del que se tienen los datos resguardados, es considerablemente más fácil.
Back to top6) ¡Resguarda tu Web del SQL Injection! Configura tus consultas a fin de que sean parametrizadas
Hasta ahora, este es uno de los pasos más técnicos que deberás ejecutar sabiendo de qué forma resguardar tu web de ataques basados en inyecciones SQL o bien SQL injections, ¡algo que está haciendo mucho daño a muchísimas web cada día!
SQL es un lenguaje de consultas estructuradas mediante, el cual, se accede a la información de las bases de datos de la página web. Las páginas donde hallas formularios o bien se realizan transacciones de compra/venta amontonan información en sus bases de datos, las que son vulnerables a inyecciones de SQL.
Las inyecciones de SQL deja al pirata informático entrar a la base de datos de tu página y descargar datos de clientes, facturas, cuentas corrientes, claves de acceso, etc.
Una configuración estándar o poco restrictiva de buscas, en tu página web, deja las inyecciones de SQL por la parte de los piratas informáticos, que no son más que la infiltración de códigos falsos e intrusos con el propósito de entrar a la base de datos de tu página web. Una vez el intruso a logrado entrar, puede descargar todos y cada uno de los datos de tu página web: datos de clientes del servicio, facturas, cuentas corrientes, claves de acceso, etc.
Este grave orificio de seguridad se soluciona parametrizando las consultas SQL como vemos ahora.
Esta sería una consulta básica:
«SELECT * FROM table WHERE column = ‘» + parámetro + «‘;»
Si el pirata informático cambia el parámetro de entrada a ‘OR ‘ 1 ‘=’ 1, algo que es de lo más fácil, ahora la consulta precedente pasaría a ser:
«SELECT * FROM table WHERE column = » OR ‘1’=’1′;»
Al hacer la perturbación, la que parece poco perceptible, se infiere que ‘1’ es igual a ‘1’, lo que es una consulta que da positiva y de este modo el atacante podría llegar a acceder a la información del registro de la base de datos, pudiendo efectuar una próxima consulta, con esa información, logrando de esta forma acceder a ldonde le aparezcan la información guardada en la base de datos.
¿De qué forma resguardar el sitio web de los ataques por SQL injection? Una forma fácil prohibir esta clase de simple acceso a gente malintencionada es parametrizando de la próxima forma las consultas SQL:
$ ConsultaSQL = dólares americanos pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
$ ConsultaSQL->execute(array(‘value’ => $ parameter));
7) Protege tu web con la política de seguridad de contenido (CPS)
La política de seguridad de contenido o CPS es útil para mantener tu web a salvo de los ataques de tipo XXS (Cross-site Scripting), los que se caracterizan pues un tercero inyecta código malicioso (con un virus) a todas tus páginas. Inyectado ese código, cuando un usuario navegue por tu página web, desde el dispositivo que sea, se infectará con este virus, el que acostumbra a llevar intrínseco un código de JavaScript, mas puede adoptar otro género de lenguaje, con la meta que el pirata haya desarrollado, como por ejemplo robar sus datos personales o bien financieros.
Aplicando el CPS eludes los ataques de tipo XXS (Cross-site Scripting) que inficionarían los dispositivos de tus usuarios para robarles información personal o bien financiera.
De esta forma, en el momento en que un pirata informático trate de hacer maniobras desde su dominio web (externo a tu dominio web), el navegador del usuario detectará que ese intento de conexión web no es válido ni autorizado, y lo rechazará.
¿Cómo proteger el sitio web con el CPS? En resumen, deberás añadir a tu web, donde autorices los dominios web y detalles fuentes válidas de scripts (por servirnos de un ejemplo, de Google Analytics, , Google Ads, etc.).
Los ataques de XXS son muy simples de realizar, y pueden aparecer hasta por medio de un simple comentario del blog.
Back to top8) Mantén tus archivos y carpetas seguros con los permisos adecuados
Una página web se reduce a un montón de ficheros y carpetas. En estos, se almacena toda la información pertinente, como códigos y scripts precisos a fin de que tu página funcione como debe.
Cada carpeta y archivo cuenta con un código configurable (permisos) que deja controlar las funciones que pueden ejecutarse en él, como leer, escribir, alterar, etc.
Si tus carpetas y archivos están configuradas para que cualquiera pueda leerlos, escribir en ellos o bien ejecutar ciertas acciones, entonces quiere decir que eres vulnerable a cualquier invasión de tu página web a través de este; es la puerta de entrada para el pirata informático.
Cuando los permisos de los ficheros y carpetitas no son los correctos, una persona con conocimientos básicos de hackeo, fácilmente entrará a tu web, y los resultados pueden ser los peores, puesto que podrá hacer lo que quiera con esta.
Configura los permisos de todas y cada una de las carpetas y archivos de tu servidor web; las carpetas a 755 y los archivos a 644.
¿De qué forma proteger la página web, sus ficheros y carpetitas? Para eludir este escenario, se recomienda asignarle a las carpetitas (directorios) el permiso código 755 y a los ficheros el permiso código 644. Cada uno de los 3 números indicados, da cierto permiso concreto al propietario del archivo, a una persona que esté dentro del conjunto de gente que tenga el fichero y al lector (público), respectivamente.
Back to top9) Haz una limpieza regular en tu página web
Mantener tu web limpia y libre de aquellos ficheros en desuso es vital para sostenerla segura.
Cada cierto tiempo se aconseja hacer una limpieza profunda, y para facilitar este proceso hay que mantener los archivos bien organizados.
Trata de eliminar todos los archivos obsoletos o bien antiguos para evitar la entrada de virus y ser capaz de detectar archivos maliciosos.
Back to top10) Estate atento a los mensajes de error
Los mensajes de error no aportan nada relevante a los usuarios de tu página web pero que, sin duda, un pirata informático sí sabe aprovechar. ¿De qué forma proteger el sitio web y eludir mostrar esta información?
Cuando crees mensajes de fallo, sé cauteloso y deja en ellos sólo la información que de verdad sea útil y necesaria. Los detalles déjalos para los registros (LOGS) de tu servidor.
es eficaz para suministrar la ayuda básica al usuario y puede evitar que tu web sea una presa muy fácil para ataques como la inyección de SQL que te comenté anteriormente.
Back to top11) Crea contraseñas extremadamente seguras
Tu página va a estar bien protegida si trabajas con claves de acceso de alta dificultad, por poner un ejemplo para el acceso al backend o bien administrador a esta. Has de ser muy astuto para crear claves de acceso.
Idealmente las claves de acceso de tu página web habrían de ser una combinación aleatoria de números y letras mayúsculas y minúsculas, y también incluyendo caracteres especiales.
Si quieres mayor seguridad en esto, puedes dejar que un administrador de claves de acceso te cree una de forma azarosa.
Quizás creas que los hackers no tienen poderes mágicos para adivinar tus contraseñas, mas estos son especialistas en atar cabos, con lo que pueden deducir patrones de comportamiento en tu web y, con alguna información extra sacada de tu base de datos, probarán hasta lograr tu clave.
Si apuestas por claves de acceso que no se asocien a datas, datos o bien acontecimientos importantes de tu marca o empresa, estarás más aseguro.
Back to top12) No te fíes en los ficheros que carguen los usuarios de tu web
Cuando permites que un usuario de tu página web pueda cargar ficheros a esta, esto supone un problema arduo, puesto que ¿de qué forma sabes que un pirata o pirata informático no es quien carga el archivo?
Por seguridad, no es conveniente permitir esta clase de acciones por parte de tus usuarios web, puesto que tendrás más trabajo debido a que debes etiquetar cada imagen o bien fichero como un ‘posible culpable’, hasta el momento en que se pruebe lo contrario, y analizarlo uno a uno.
Almacenar estos archivos sospechosos es el problema mayor, y si es tu caso, debes eludir guardarlos de forma directa en el servidor de tu web. Se aconseja no darles la completa libertad de ser cargados a tu web, sino vayan a una base de datos externa, a una carpetita fuera de la raíz de la página o a otro servidor; esto te dará tiempo para advertir cualquier script que haya podido ser enviado, o algún virus que busque infectar tu sistema.
Debes ser radical creando restricciones y configurando permisos en lo que se refiere a la carga de archivos por parte de los usuarios de tu web.
¿De qué manera proteger la página web alamacenando estos ficheros peligrosos? Una forma de control y mejora de la seguridad, es mudar el nombre del fichero absolutamente, pues a veces, solo en el nombre, está incluido el código malicioso, para esto, prueba lo siguiente:
deny from all
order deny,allow
allow from all
Para cerciorarte de que las etiquetas de imágenes no poseen información oculta, puedes configurarlas así:
// imageDelivery.php
// Fetch image filename from database based on dólares americanos _GET[«id»]
…
// Deliver image to browser
Header(‘Content-Type: image/gif’);
readfile(‘images/’.$ fileName);
?>
Y en el caso de que los ficheros, a los que les has dado acceso en tu página web, se cargan en internet, debes garantizar que estos sean llevados, de forma segura y confiable, a tu servidor; usar un método SSH o SFTP, puede asistirte a hacer esto con sencillez.
La validación de la información también es crucial a la hora de saber de qué forma proteger la página web. Aunque bastante gente se discute sobre dónde hacer la validación, es necesario que la hagas en ambos lados, tanto en el servidor como en el navegador, puesto que de este modo no dejas cabos sueltos en parte alguna.
La validación en el navegador sirve para detectar campos vacíos o fallos fáciles que dañan la estructura de tu página, por servirnos de un ejemplo aquellas que contienen casillas para ingresar textos o bien formularios para rellenar.
En cuanto a la validación del servidor, esta te da una perspectiva más profunda de cualquier software malicioso que podría estar camuflado en tus ficheros, de inyecciones de SQL o bien de ataques de tipo XXS.
Back to top13) Aplica controles de seguridad en tu web
Existen sistemas de monitoreo que te dejan programar pruebas usuales en la programación de tu página.
Este monitoreo debe hacerse, cuando menos, una vez por semana, puesto que de esta manera mantienes a raya cualquier amenaza que pueda estar rondando tu web.
El objetivo de estos controles de seguridad es que obtengas información en tiempo real de si algo anda mal en tus programas o plataforma CMS. El informe detallado que arroja el monitoreo ha de ser analizado con detenimiento, y te invito a darle prioridad a las amenazas que en este informe sean clasificadas con un alto grado de alarma.
Back to top14) Escanea tu web con regularidad
No se trata de hacer cambios y reforzar la seguridad hoy, y creer que el trabajo termina ahí. No, para nada. Lograr una web totalmente segura es cosa del cada día, si no, no dispones de una web verdaderamente segura.
Los hackers, los phishers y los estafadores on line están al acecho cuando menos te lo imaginas. Ellos no descansan y atacan a la web que les parezca más frágil.
Es necesario que cada cierto tiempo le hagas un escaneo de seguridad a tu página web, pues de esta forma sostienes a raya a estos piratas.
Hay diversas herramientas con las que puedes hacer el escaneo, y la mayor parte son gratuitas y fáciles de utilizar.
Back to top15) Utiliza herramientas para comprobar la seguridad de tu web
Como ya hemos hecho cambios y configuraciones, es momento de comprobar si tu web es lo suficientemente segura; para esta tarea, puedes apoyarte en alguna herramienta de seguridad, como , , entre otras muchas.
Una vez que haces la evaluación, mantente atento al informe de esta, pues allí vas a saber qué posibles ataques se han lanzado hacia tu web y si hay códigos maliciosos en ella. De ser así, diseña un plan de ataque para contrarrestar estas acciones y fortalece la seguridad en aquellas áreas donde te vulneraron.
Si requieres ayuda profesional, pues suele ocurrir que no sabes de qué forma interpretar los datos que te lanza el escaneo, puedes conseguir apoyo en empresas de desarrollo y mantenimiento web como la nuestra. Con nuestros servicios de mantenimiento y mejora web, la seguridad de tu negocio tendrá prioridad por parte del equipo de especialistas.
Back to top16) Confía tu web en manos profesionales
Entiendo que todo este proceso de hacer tu web segura ante ataques cibernéticos puede ser algo aburrido, mas no es una opción, sino una obligación y una prioridad para tu empresa.
Si crees que el proceso es complejo, no tienes tiempo o bien los conocimientos técnicos mínimos para ello, ¡déjalo en manos profesionales!
Una empresa de diseño y mantenimiento web moral, se encargará de monitorear tu web con cierta frecuencia, ejecutará las acciones precisas para evitar ataques de tipo XXS y también inyección de SQL, como va a estar al día con todos los virus y malware que van apareciendo en el camino, para alertarte y tomar resoluciones a fin de que tú y tus clientes estéis a salvo.
¡Te ayudamos a sostener tu web siempre y en todo momento al ciento diez por cien !
Nos encargamos de todo lo relacionado con tu página web a fin de que dé resultados a tu empresa sin ocasionarte molestias ni pérdida de tiempo, con lo que podrás centrarte absolutamente en tu negocio.
Back to top17) Conclusión: toma acciones lo antes posible para garantizar la seguridad de tu web
La seguridad de una web no es tarea para más adelante. Tal vez creas que no eres blanco de los piratas informáticos, mas las estadísticas revelan que el año pasado los ataques cibernéticos se llevaron más de cinco mil millones de dólares estadounidenses. Para este año los especialistas parecen estar de acuerdo que, con tal aumento de ataques y también intentos de estafa, las perdidas serán mucho mayores, haciendo más frágiles a quienes aún no han sufrido un primer ataque de este género.
¿Vas a esperar a que el enemigo te atrape? Garantizar la seguridad de tu web es primordial para conquistar a los buscadores y liderar tu nicho puesto que, si los clientes del servicio se sienten vulnerables, no harán ninguna transacción en tu página ni querrán proveer sus datos.
Mientras más segura sea tu página web, vas a tener mayores probabilidades de tener una tasa de conversión alta y obtener beneficios.
No debes ser el servicio secreto de U.S.A. para sostener tus archivos y tu base de datos a salvo, así que no permitas que las disculpas te aparten de tu objetivo.
Si pese a estos consejos, prosigues teniendo problemas con tu página, en otro artículo te explicamos sencillamente.
¿Piensas que es de ayuda este artículo? ¡Seguro que sí! Por eso te invito a compartirlo con tus amigos en las redes sociales.
Abajo te dejo un sencillo formulario que puedes rellenar para enviarme tus dudas y comentarios. ¡Y de este modo contactaré contigo y te ayudaré! Si deseas contarme cómo van tus resultados al aplicar estos consejos, voy a estar aguardando por este motivo, puesto que de esta manera te ayudaré en el proceso.
Back to top