¿Cómo proteger tu web? Proteger y mejorar la seguridad de tu página web es clave para proteger la mayor inversión de tu empresa en internet y toda campaña de publicidad y marketing digital. ¡Los ataques en internet son el pan de cada día! ¿Cómo evitar ser víctima de los piratas y estafadores online? Con esta guía fácil te ayudo a blindar tu web y mantenerte a salvo de cualquier malware, virus o ataque.
¡Haremos que tu web enamore a tus clientes!
Exprimiremos tu página web hasta que enamore: bien posicionada en Google y demás buscadores web, segura, rápida y, sobretodo, eficaz y rentable para tu empresa, ¡atrayendo potenciales clientes y logrando resultados reales!
Da igual el tipo de empresa que seas y en qué sector comercial te encuentres: si tienes una página web probablemente seas el blanco perfecto para un ataque cibernético. No quiero iniciar este post siendo alarmista, pero sí quiero que tomes conciencia de que cualquier empresa y página web puede sufrir un intento de suplantación de identidad y robo de datos, o ser presa fácil de virus, malware, ransomware o cualquier tipo de programas maliciosos que haya aparecido recientemente.
Sea cual sea la basura que intenten enviarte o meter en tu página web, debes saber perfectamente cómo proteger web porque, si tu web tiene instaladas y aplicadas todas las medidas de seguridad, aguantará cualquier ataque que le hagan.
Sin embargo, la triste realidad es que muchos propietarios de páginas web ¡y webmasters! no saben cómo garantizar la seguridad ni cómo proteger la web y, peor aún, no le dan importancia creyendo que “a ellos nos le podría pasar nada, no son un Apple o un Amazon…”. Pero en cambio sí invierten bastante dinero en una agencia de SEO y posicionamiento web o mediante una empresa de gestión de publicidad en Google Ads.
No digo que invertir en SEO o PPC, sean acciones de poca importancia para una empresa, ¡para nada! Pero de poco sirve generar mucho tráfico hacia una página web, si esta ha sido atacada y no está funcionando correctamente o está robando los datos de la empresa, de sus clientes, ¡o el dinero de ambos! Hay demasiado en peligro para no darle máxima prioridad en mejorar la seguridad y conocer cómo proteger la página web.
Antes de entrar en materia, déjame comentarte que en el caso de que, ya sea porque tienes poco tiempo disponible o no tienes los conocimientos técnicos necesarios, prefieres dejar este delicado trabajo en manos de profesionales, los servicios de mantenimiento y actualización web que ofrecemos en Xplora incluyen, entre muchas otras ventajas para tu empresa, blindar a tu página web frente a cualquier ataque hacia tu negocio online o tus clientes.
17 consejos para que sepas cómo proteger tu página web tú mismo
Ahora sí, ¿cómo poner crear una barrera de seguridad frente a estos ataques? Hay varios pasos sencillos para crear un escudo que aleje a este tipo de piratas, estafadores y programas maliciosos, y en este post te dejo una guía sencilla paso a paso para conocer cómo proteger tu web.
Empieza a proteger tu web actualizando siempre el software y la plataforma CMS
El primer paso para mantener una web segura, el más básico e importante, es no hacer caso omiso de las actualizaciones de software y de la plataforma CMS.
En muchas ocasiones, le gente se enoja cuando aparece una nueva actualización de software. “¡Otra vez! ¡Qué pesados! ¡Sacan una actualización cada pocos días! ¡Seguro que es para un chorradita!”. Pero yo, que he colaborado en varias actualizaciones de plugins de la plataforma CMS de WordPress, te puedo asegurar que estas actualizaciones no se hacen en vano. Es verdad que algunas son para mejorar aspectos que no están directamente relacionados con la seguridad, pero la mayoría de las actualizaciones sí están relacionadas, directa o indirectamente, con la seguridad de la página web.
Estar al día con las actualizaciones de software y de la plataforma CMS de tu web, supone tener un primer escudo básico y crucial para proteger tu web de virus y ataques a la seguridad de tu web.
Para evitar la entrada de virus o software maliciosos, así como de ataques que vulneren la seguridad de tu web, es importante estar al día con las actualizaciones de tu plataforma, sí o sí, ¡sin excusas ni demoras!
Muchas de las empresas de alojamiento web ya se encargan ellos directamente de actualizar ciertas plataformas CMS en código abierto pero, como no podemos fiarnos de que se acuerden o ese sistema automático funcione correctamente, debes estar atento a revisar cuando aparece una nueva actualización y aplicarla tú mismo en tu página web.
En un CMS como WordPress es muy sencillo este proceso y te lo comento en detalle en otros artículos:
Quiero que sepas que existe una línea muy delgada entre la seguridad de tu web y los ataques de los piratas informáticos. Los hackers son muy avispados en detectar cualquier agujero en la seguridad de tu software y plataforma CMS, y entrar rápidamente por ahí. Teniendo estas completamente actualizadas evitas dejar una puerta abierta para que entren a las entrañas de tu web.
Si quieres saber más, te recomiendo otro artículo donde te explicamos cómo proteger WordPress sin usar plugins.
Instala o compra los mejores plugins (extensiones) de seguridad
Los complementos o plugins de seguridad refuerzan la seguridad de tu web y la hacen más difícil de vulnerar.
Si tu web funciona con una plantilla de WordPress, encontrarás plugins específicos para WordPress. En caso contrario, tal vez una herramienta como SiteLock puede hacer mucho por ti.
Cada vez que sale un nuevo complemento de seguridad, deberías estar dispuesto a instalarlo, sobre todo si este fue diseñado puntualmente para el estilo de negocio que tienes, pues eso significa que hay virus y cualquier clase de malware por ahí, atacando a sitios web como el tuyo.
Los plugins suelen tener opciones de seguridad adicionales y nunca está de más poder contar con ellas.
Elige un servicio de hosting (alojamiento) web seguro
Elegir un buen servicio de alojamiento (hosting) web es una decisión mucho más crítica de lo que parece a simple vista. Mi consejo es que no tomes esta decisión a la ligera; eligiendo uno u otro simplemente por cuestión de precio, recomendación de un amigo, publicidad u otro factor de poco valor en cuanto a la seguridad de tu web.
El servicio de hosting web que escojas debe ser seguro y ofrecerte copias de seguridad diarias, actualizar automáticamente tu CMS, IP fíjas y seguras, recursos del servidor propios, así como sistemas de monitoreo y control de tu web.
¿Cómo proteger la página web eligiendo bien el hosting? Esto dependerá, en gran manera, del tipo de sitio que quieras montar. Normalmente, aquellos basados en ventas y transacciones, deben tener estándares de seguridad muy altos (certificados SSL propios, IP privada y del mismo país, sistema CDN, etc.), pues así los clientes no se sienten desconfiados en aportar datos personales o bancarios, y en completar una transacción electrónica en dicha página web.
Este, es para mí, uno de los aspectos más importantes para decidir por un servicio de alojamiento u otro, y más ahora, cuando abundan los ‘maestros de las estafas online’, los cuales parecen más hábiles y planificados que Dani Ocean y sus once ladrones (en la película ‘Ocean’s Eleven’ protagonizada por George Clooney y Brad Pitt).
Dejando el cine a un lado, no creas que estos estafadores y suplantadores de identidad “tantean” o dan pasos el falso; no, estimado lector, ellos detectan y saben perfectamente qué webs son vulnerables por su sistema de seguridad desactualizado, servidor web inseguro, u otros detalles que veremos más adelante, y entran ‘como ladrón en la noche’: nadie los oye, los detecta ni los ve.
Instala un certificado SSL y protege tu web en HTTPS
Si aún tu web no trabaja bajo el protocolo HTTPS, eso significa que Google y Chrome te etiquetan como ‘sitio no seguro’. ¡Debes arreglar esto cuanto antes! Esto debe ser lo segundo urgente a hacer hoy mismo (recuerda que lo primero es actualizar tu CMS).
Migrar tu página web HTTP estándar a una de protocolo HTTPS le hace saber a tus clientes que te importa su seguridad y evita que los ladrones cibernéticos encuentren grietas por dónde meterse para robar datos o hacer estafas.
El problema con una web que se conecta por HTTP, en lugar de HTTPS, es que deja espacios de tiempo no cifrado ni seguro, entre el dispositivo de navegación y la web, al no poseer un certificado SSL, y esto hace que los piratas online intercepten la información y accedan a datos confidenciales que el cliente y tu web estáis intercambiando.
Instala un certificado seguro SSL en tu servidor web y migra tu página al protocolo HTTPS, ¡muchos proveedores de alojamiento lo ofrecen gratis!
¿Cómo proteger la página web trabajando desde HTTPS? Cambiar a HTTPS no es tan costoso como solía ser antes. De hecho, muchos proveedores de alojamiento web, ya ofrecen un certificado SSL gratuito (Let’s Encrypt), ¡con lo cual podrás tener tu web trabajando bajo HTTPS gratis!
Y, una vez hayas instalado el certificado SSL y tu web ya funcione bajo HTTPS, valora seriamente crear una barrera de protección más, instalando HSTS para mejorar la seguridad.
Crea copias de seguridad diarias de todos tus datos
Las copias de seguridad diarias y automáticas de todos tus datos (web y bases de datos) alivia muchas de las preocupaciones y dolores de cabeza.
Muchos proveedores de alojamiento web brindan esta opción gratuitamente, así que no dudes en preguntarles.
Tener una copia de seguridad es vital en caso de que alguien logre entrar a tu web y robe datos, o cause daños en tus archivos. Empezar un sitio web desde cero es costoso y difícil, pero volver a armar uno del que se tienen los datos resguardados, es mucho más fácil.
¡Protege tu web del SQL Injection! Configura tus consultas para que sean parametrizadas
Hasta ahora, este es uno de los pasos más técnicos que deberás ejecutar sabiendo cómo proteger tu web de ataques basados en inyecciones SQL o SQL injections, ¡algo que está haciendo mucho daño a muchísimas web cada día!
SQL es un lenguaje de consultas estructuradas mediante, el cual, se accede a la información de las bases de datos de la página web. Las páginas web donde encuentras formularios o se realizan transacciones de compra/venta acumulan información en sus bases de datos, las cuales son vulnerables a inyecciones de SQL.
Las inyecciones de SQL permite al pirata informático entrar a la base de datos de tu página web y descargar datos de clientes, facturas, cuentas bancarias, contraseñas, etc.
Una configuración estándar o poco restrictiva de búsquedas, en tu página web, permite las inyecciones de SQL por parte de los piratas informáticos, que no son más que la infiltración de códigos falsos e intrusos con el objetivo de entrar a la base de datos de tu página web. Una vez el intruso a logrado entrar, puede descargar todos los datos de tu página web: datos de clientes, facturas, cuentas bancarias, contraseñas, etc.
Este grave agujero de seguridad se soluciona parametrizando las consultas SQL como vemos a continuación.
Esta sería una consulta básica:
«SELECT * FROM table WHERE column = ‘» + parámetro + «‘;»
Si el hacker cambia el parámetro de entrada a ‘OR ‘ 1 ‘=’ 1, algo que es de lo más sencillo, ahora la consulta anterior pasaría a ser:
«SELECT * FROM table WHERE column = » OR ‘1’=’1′;»
Al hacer la alteración, la cual parece poco visible, se deduce que ‘1’ es igual a ‘1’, lo cual es una consulta que da positiva y de esta forma el atacante podría llegar a acceder a la información del registro de la base de datos, pudiendo realizar una siguiente consulta, con esa información, logrando así acceder a ldonde le aparezcan la información almacenada en la base de datos.
¿Cómo proteger la página web de los ataques por SQL injection? Una forma sencilla prohibir este tipo de fácil acceso a gente malintencionada es parametrizando de la siguiente forma las consultas SQL:
$ConsultaSQL = $pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
$ConsultaSQL->execute(array(‘value’ => $parameter));
Protege tu web con la política de seguridad de contenido (CPS)
La política de seguridad de contenido o CPS es útil para mantener tu web a salvo de los ataques de tipo XXS (Cross-site Scripting), los cuales se caracterizan porque un tercero inyecta código malicioso (con un virus) a todas tus páginas. Inyectado ese código, cuando un usuario navegue por tu página web, desde el dispositivo que sea, se infectará con este virus, el cual suele llevar intrínseco un código de JavaScript, pero puede adoptar otro tipo de lenguaje, con el objetivo que el pirata haya diseñado, como por ejemplo robar sus datos personales o financieros.
Aplicando el CPS evitas los ataques de tipo XXS (Cross-site Scripting) que infectarían los dispositivos de tus usuarios para robarles información personal o financiera.
De esta forma, cuando un hacker trate de hacer maniobras desde su dominio web (externo a tu dominio web), el navegador del usuario detectará que ese intento de conexión web no es válido ni autorizado, y lo rechazará.
¿Cómo proteger la página web con el CPS? En pocas palabras, deberás agregar encabezados HTTP a tu página web, donde autorices los dominios web y especifiques fuentes válidas de scripts (por ejemplo, de Google Analytics, Google Tag Manager, Google Ads, etc.).
Los ataques de XXS son muy fáciles de realizar, y pueden aparecer hasta a través de un simple comentario del blog.
Mantén tus archivos y carpetas seguros con los permisos adecuados
Una página web se reduce a un montón de archivos y carpetas. En estos, se almacena toda la información correspondiente, así como códigos y scripts necesarios para que tu página funcione como debe.
Cada carpeta y archivo cuenta con un código configurable (permisos) que permite controlar las funciones que pueden ejecutarse en él, tales como leer, escribir, modificar, etc.
Si tus carpetas y archivos están configuradas para que cualquiera pueda leerlos, escribir en ellos o ejecutar ciertas acciones, entonces significa que eres vulnerable a cualquier invasión de tu web a través de este; es la puerta de entrada para el pirata informático.
Cuando los permisos de los archivos y carpetas no son los correctos, una persona con conocimientos básicos de hackeo, fácilmente entrará a tu web, y los resultados pueden ser los peores, pues podrá hacer lo que quiera con esta.
Configura los permisos de todas las carpetas y archivos de tu servidor web; las carpetas a 755 y los archivos a 644.
¿Cómo proteger la página web, sus archivos y carpetas? Para evitar este escenario, se recomienda asignarle a las carpetas (directorios) el permiso código 755 y a los archivos el permiso código 644. Cada uno de los 3 números indicados, da cierto permiso específico al propietario del archivo, a una persona que esté dentro del grupo de gente que posea el archivo y al lector (público), respectivamente.
Haz una limpieza regular en tu página web
Mantener tu web limpia y libre de aquellos archivos en desuso es vital para mantenerla segura.
Cada cierto tiempo se recomienda hacer una limpieza profunda, y para facilitar este proceso hay que mantener los archivos bien organizados.
Trata de eliminar todos los archivos obsoletos o antiguos para evitar la entrada de virus y ser capaz de detectar archivos maliciosos.
Estate atento a los mensajes de error, ¡sin pistas para proteger tu web!
Los mensajes de error no aportan nada relevante a los usuarios de tu web pero que, sin lugar a dudas, un pirata informático sí sabe aprovechar. ¿Cómo proteger la página web y evitar mostrar esta información?
Cuando crees mensajes de error, sé precavido y deja en ellos sólo la información que en verdad sea útil y necesaria. Los detalles déjalos para los registros (LOGS) de tu servidor.
Personalizar tus mensajes de error de tu web es eficiente para suministrar la ayuda básica al usuario y puede evitar que tu web sea una presa muy fácil para ataques como la inyección de SQL que te comenté anteriormente.
Crea contraseñas extremadamente seguras
Tu página web estará bien protegida si trabajas con contraseñas de alta dificultad, por ejemplo para el acceso al backend o administrador a esta. Debes ser muy astuto para crear contraseñas.
Idealmente las contraseñas de tu página web deberían ser una combinación aleatoria de números y letras mayúsculas y minúsculas, e incluyendo caracteres especiales.
Si deseas mayor seguridad en esto, puedes dejar que un administrador de contraseñas te cree una de forma aleatoria.
Quizás creas que los hackers no tienen poderes mágicos para adivinar tus contraseñas, pero estos son especialistas en atar cabos, por lo que pueden deducir patrones de comportamiento en tu web y, con alguna información extra sacada de tu base de datos, probarán hasta conseguir tu clave.
Si apuestas por contraseñas que no se asocien a fechas, datos o eventos importantes de tu marca o empresa, estarás más aseguro.
No te fíes en los archivos que carguen los usuarios de tu web
Cuando permites que un usuario de tu página web pueda cargar archivos a esta, esto supone un problema serio, pues ¿cómo sabes que un pirata o hacker no es quien está cargando el archivo?
Por seguridad, no es recomendable permitir este tipo de acciones por parte de tus usuarios web, pues tendrás más trabajo debido a que tienes que etiquetar cada imagen o archivo como un ‘posible culpable’, hasta que se demuestre lo contrario, y analizarlo uno a uno.
Almacenar estos archivos sospechosos es el problema mayor, y si es tu caso, debes evitar almacenarlos directamente en el servidor de tu página web. Se recomienda no darles la completa libertad de ser cargados a tu web, sino que vayan a una base de datos externa, a una carpeta fuera de la raíz de la página o a otro servidor; esto te dará tiempo para detectar cualquier script que haya podido ser enviado, o algún virus que busque infectar tu sistema.
Debes ser radical creando restricciones y configurando permisos en cuanto a la carga de archivos por parte de los usuarios de tu web.
¿Cómo proteger la página web alamacenando estos archivos peligrosos? Una forma de control y mejora de la seguridad, es cambiar el nombre del archivo completamente, pues a veces, sólo en el nombre, está incluido el código malicioso, para ello, prueba lo siguiente:
deny from all
<Files ~ «^\w+\.(gif|jpe?g|png)$»>
order deny,allow
allow from all
</Files>
Para asegurarte de que las etiquetas de imágenes no contienen información oculta, puedes configurarlas así:
<img src=»/imageDelivery.php?id=1234″ />
<?php
// imageDelivery.php
// Fetch image filename from database based on $_GET[«id»]
…
// Deliver image to browser
Header(‘Content-Type: image/gif’);
readfile(‘images/’.$fileName);
?>
Y en caso de que los archivos, a los que les has dado acceso en tu web, se cargan en internet, debes garantizar que estos sean llevados, de manera segura y confiable, a tu servidor; usar un método SSH o SFTP, puede ayudarte a hacer esto con sencillez.
Realiza validaciones en el servidor y en el navegador
La validación de la información también es crucial a la hora de saber cómo proteger la página web. Aunque mucha gente se debate sobre dónde hacer la validación, es necesario que la hagas en ambos lados, tanto en el servidor como en el navegador, pues así no dejas cabos sueltos en ninguna parte.
La validación en el navegador sirve para detectar campos vacíos o fallos sencillos que perjudican la estructura de tu página web, por ejemplo aquellas que contienen casillas para ingresar textos o formularios para rellenar.
En cuanto a la validación del servidor, esta te da una perspectiva más profunda de cualquier software malicioso que podría estar camuflado en tus archivos, de inyecciones de SQL o de ataques de tipo XXS.
Aplica controles de seguridad para proteger web
Existen sistemas de monitoreo que te permiten programar pruebas frecuentes en la programación de tu página web.
Este monitoreo debe hacerse, por lo menos, una vez por semana, pues así mantienes a raya cualquier amenaza que pueda estar rondando tu web.
El objetivo de estos controles de seguridad es que obtengas información en tiempo real de si algo anda mal en tus programas o plataforma CMS. El informe detallado que arroja el monitoreo debe ser analizado con detenimiento, y te recomiendo darle prioridad a las amenazas que en este informe sean clasificadas con un alto grado de alerta.
Escanea tu web con regularidad para detectar mejoras
No se trata de hacer cambios y reforzar la seguridad hoy, y creer que el trabajo acaba ahí. No, para nada. Lograr una web completamente segura es cosa del día a día, si no, no dispones de una web realmente segura.
Los hackers, los phishers y los estafadores online están al acecho cuando menos te lo imaginas. Ellos no descansan y atacan a la web que les parezca más vulnerable.
Es necesario que cada cierto tiempo le hagas un escaneo de seguridad a tu página web, pues así mantienes a raya a estos piratas.
Hay diversas herramientas con las que puedes hacer el escaneo, y la mayoría son gratuitas y fáciles de utilizar.
Utiliza herramientas para comprobar la seguridad de tu web
Como ya hemos hecho cambios y configuraciones, es momento de comprobar si tu web es lo suficientemente segura; para esta tarea, puedes apoyarte en alguna herramienta de seguridad, como SecurityHeader.io, Netsparker, entre otras.
Una vez que haces la evaluación, mantente atento al informe de esta, pues allí sabrás qué posibles ataques se han lanzado hacia tu web y si hay códigos maliciosos en ella. De ser así, diseña un plan de ataque para contrarrestar estas acciones y refuerza la seguridad en aquellas áreas donde te vulneraron.
Si requieres ayuda profesional, pues suele ocurrir que no sabes cómo interpretar los datos que te arroja el escaneo, puedes conseguir apoyo en empresas de desarrollo y mantenimiento web como la nuestra. Con nuestros servicios de mantenimiento y mejora web, la seguridad de tu negocio tendrá prioridad por parte del equipo de expertos.
Confía en profesionales para proteger tu página web
Entiendo que todo este proceso de hacer tu web segura ante ataques cibernéticos puede llegar a ser algo tedioso, pero no es una opción, sino una obligación y una prioridad para tu empresa.
Si crees que el proceso es complejo, no tienes tiempo o los conocimientos técnicos mínimos para ello, ¡déjalo en manos profesionales!
Una empresa de diseño y mantenimiento web ética, se encargará de monitorear tu web con frecuencia, ejecutará las acciones necesarias para evitar ataques de tipo XXS e inyección de SQL, así como estará al día con todos los virus y malware que van apareciendo en el camino, para alertarte y tomar decisiones para que tú y tus clientes estéis a salvo.
¡Te ayudamos a mantener tu web siempre al 110%!
Nos encargamos de todo lo relacionado con tu página web, para que ofrezca resultados reales a tu empresa, sin causarte molestias ni pérdidas de tiempo, con lo que podrás centrarte completamente en tu negocio.
Conclusión: toma acciones cuanto antes para proteger tu web
La seguridad de una web no es tarea para más adelante. Tal vez creas que no eres blanco de los piratas informáticos, pero las estadísticas revelan que el año pasado los ataques cibernéticos se llevaron más de 5 mil millones de dólares. Para este año los expertos parecen estar de acuerdo que, con tal aumento de ataques e intentos de estafa, las perdidas serán mucho mayores, haciendo más vulnerables a quienes aún no han padecido un primer ataque de este tipo.
¿Vas a esperar a que el enemigo te atrape? Garantizar la seguridad de tu web es primordial para conquistar a los buscadores y liderar tu nicho pues, si los clientes se sienten vulnerables, no harán ninguna transacción en tu página web ni querrán suministrar sus datos.
Mientras más segura sea tu web, tendrás mayores probabilidades de tener una tasa de conversión alta y obtener beneficios.
No tienes que ser el servicio secreto de Estados Unidos para mantener tus archivos y tu base de datos a salvo, así que no dejes que las excusas te aparten de tu objetivo.
Si a pesar de estos consejos, sigues teniendo problemas con tu página web, en otro artículo te explicamos cómo arreglar tu página web fácilmente.
¿Crees que es de ayuda este artículo? ¡Seguro que sí! Por eso te invito a compartirlo con tus amigos en las redes sociales.
Abajo te dejo un sencillo formulario que puedes rellenar para enviarme tus dudas y comentarios. ¡Y así contactaré contigo y te ayudaré! Si quieres contarme cómo van tus resultados al aplicar estos consejos, estaré esperando por ello, pues así te ayudaré en el proceso.
Dejar un comentario