10 recomendaciones para tener un sitio web seguro
En los últimos años los sistemas de gestión de contenidos (CMS) como WordPress, Joomla o Drupal, entre otras, han evolucionado notablemente permitiendo a empresas, personas u organizaciones construir de forma rápida y eficiente sus sitios web, además la creciente integración de nuevos y mejorados plugins, módulos y extensiones han hecho que estos sitios sean más atractivos y funcionales.
El desarrollo de estas herramientas traen grandes oportunidades de mejoras para tu sitio web , sin embargo, para obtener su máximo beneficio es necesario realizar un mantenimiento adecuado del mismo, tomando en cuenta varios factores, entre ellos, las seguridades web, que en muchas ocasiones es un tema al que no se le da la importancia que merece, y no te culpo, la verdad es nunca pensamos que nuestro sitio podría ser hackeado, pero como te comentamos en el post ¿QUE PASARÍA SI TU SITIO WEB ES HACKEADO ?, todos los sitios corren el riesgo de ser víctimas de ataques cibernéticos, comprometiendo tu página web, es decir la presencia de tu organización en Internet.
Por este motivo hemos creado este post con 10 recomendaciones para aumentar las seguridades en tu sitio web que puedes y DEBES tomar en cuenta para mantener tu sitio seguro.
1. Siempre debes actualizar
Si pensaste que una vez creado tu sitio web éste no debía ser actualizado, pues déjame decirte que estás equivocado. Varios sitios web están constantemente en peligro debido a que el software sobre el cual fueron creados están desactualizados. Actualmente la mayoría de ataques están totalmente automatizados, es decir existen robots que continuamente están escaneando sitios vulnerables para buscar oportunidades de explotación.
Posiblemente en estos momentos te estarás preguntando ¿Cada que tiempo debo actualizar mi sitio web?, no existe un tiempo determinado como cada semana o cada mes, lo que si te podemos recomendar es que tan pronto existan actualizaciones de los plugins, temas o la versión de CMS que estés usando, ACTUALICES!!!!.
Una buena práctica al momento de actualizar tu tema o plugins es que no lo hagas directamente en tu sitio, primero hazlo en un ambiente de pruebas, es decir carga tu sitio en tu computador o en un servidor de pruebas online, para que de esta manera puedas cerciorarte de que las actualizaciones no afecten el correcto funcionamiento de tu sitio.
2. Fortalece tus contraseñas
El número de personas que usan contraseñas como 12345, qwerty, su propio nombre o el de su empresa es enorme. Usando este tipo de contraseñas aumentas el riesgo de que tu web o cuenta de correo sea hackeada. Si quieres estar seguro de qué contraseñas son las que NO debes usar te invitamos a que veas las contraseñas más populares y fáciles de adivinar.
Cuando se trata de elegir una contraseña hay 3 requisitos fundamentales que siempre deben seguirse (CLU – Compleja, Largo y Únicas):
COMPLEJA: Esto quiere decir que las contraseñas que uses sean ajenas a ti, es decir no deben tener palabras relacionadas a tu equipo favorito, familiares, mascotas, fechas importantes etc. Las palabras números y símbolos que uses para tus contraseñas deben ser al azar.
LARGA: Te recomendamos que tus contraseñas tengan una longitud mínima de 12 caracteres, pero mientras más larga sea la contraseña mejor.
ÚNICA: Esto quiere decir que la contraseña que usas para ingresar a gestionar tu web no debe ser la misma que usas para tu cuenta de correo electrónico o la que usas para ingresar a tu computador.
Ahora te estarás preguntando ¿Si pongo una contraseña única, larga y compleja para cada cuenta que manejo como las podré recordar? La respuesta es que no debes esforzarte en recordarlo si puedes hacer uso de un gestor de contraseñas, como “LastPass” (en línea) y “KeePass 2” (sin conexión). Estas herramientas almacenarán todas sus contraseñas en un formato cifrado y además pueden generar contraseñas aleatorias simplemente presionando un botón.
3. Cuida tus Contraseñas
Si tu sitio cuenta con varios usuarios que ingresan al mismo tiempo para revisar o subir información no envíes sus contraseñas por correo electrónico junto con sus nombres de usuario. Si debes compartir contraseñas electrónicamente, considera usar un documento de texto privado y compartido, como por ejemplo, en Dropbox o Google Drive. Si debe enviar un correo electrónico, considere enviar contraseñas y nombres de usuario por separado.
4. Desinstala los plugins y temas que no uses
En ocasiones para dar determinadas funcionalidades al sitio web se instalan diferentes plugins que en muchas ocasiones no se llegan a utilizar y se los desactiva. Tener instalados plugins y temas inactivos no solo ocupan espacio en tu alojamiento sino que representan un serio problema de seguridad, por tal motivo si existen plugins o temas que no uses debes desinstalarlos!.
El único tema que deberías dejar instalado, aparte de tu tema principal, es el que viene por defecto de WordPress (Twenty Fifteen), ya que si WordPress detecta un problema en tu tema activo y no puede cargarlo intentará activar automáticamente el tema por defecto.
5. Un sitio en un servidor
Existen varias organizaciones que generan varios proyectos, los cuales se dan a conocer mediante el desarrollo de su portal web, pero en múltiples ocasiones todos estos portales generados son alojados en un solo hosting, Si hay múltiples sitios alojados en un solo lugar crea una superficie de ataque muy grande.
Si uno de tus sitios es hackeado, todos tus sitios alojados en ese hosting corren el riesgo de ser infectados y el proceso de limpieza será más lento y difícil, y lo que es peor, existe la posibilidad de que los sitios infectados puedan infectar a nuevamente a los sitios recuperados entrando en un bucle sin fin. Por esta razón si manejas varios sitios para tus proyectos has que cada sitio cuente con su propio hosting.
6. Oculta la página de acceso administrativo
Muchos de los ataques contra sitios web son totalmente automatizados, y muchos de estos ataques se basan en explotar las vulnerabilidades de la configuración predeterminada que utiliza tu portal web.
Una práctica efectiva de seguridad es ocultar a los buscadores las páginas de acceso administrativo. Si utilizas un administrador de contenidos popular como WordPress puedes cambiar la url de la página administrativa por defecto.
Por ejemplo, si para acceder a administrar tus contenidos utilizas «mi-iniciativa.com/wp-admin» puedes sustituirla por: mi-iniciativa.com/zona-administracion.
7. Define roles de acceso a tu sitio
Si a tu página web acceden varios usuarios, para escribir en el blog o para subir archivos es necesario que asocies para cada persona que interactúe con el sitio un usuario o contraseña con los permisos adecuados para que no pueda acceder a funcionalidad que solo el administrador puede acceder.
Definido los roles de usuario podrás tener más control sobre los mismos y evitar potenciales errores causados por las personas que colaboran en tu sitio web.
8. Realice copias de seguridad
Generar copias de respaldo (Back ups) de tu sitio te ayudará estar preparado ante una posible infección de tu página web y posterior pérdida de data importante de su página web.
Al momento de realizar tus copias de seguridad asegúrate que estas copias las puedas tener fuera de tu servidor web, ya sea en espacio de almacenamiento local o en línea. La frecuencia de respaldos dependerá de la regularidad con la actualices tu sitio web.
9. Protégete tus formularios
Si dentro de tu sitio web estas usando formularios para que los usuarios se inscriban en alguna de las iniciativas que estás promoviendo debes saber que es necesario cuidarte del el SPAM, esos mensajes no solicitados enviados en forma masiva, además algunos hackers utilizan estos formularios para inyectar código que podría comprometer la seguridad de tu sitio web.
Para ello podemos, y debemos, aplicar diferentes estrategias:
- Utiliza campos obligatorios
- Añade un sistema de comprobación humana Captcha mediante plugins como Really Simple CAPTCHA
- Activa un plugin de comprobación de spam como Akismet.
10. Utilizar certificados SSL
HTTP (http://) es un protocolo de comunicación que nos permite enviar información desde un punto A a un punto B en internet y HTTPS (https://) permite enviar esta información pero de manera encriptada, para migrar de HTTP a HTTPS se debe generan certificados de seguridad SSL (Secure Sockets Layer).
Entre las principales ventajas que conseguirás con esta migración es tener
- Más privacidad e integridad de los datos de tus usuarios.
- Más confianza para los visitantes de tu sitio.
- Google está dando mucha relevancia a las páginas que tengan este protocolo. Por lo que la posición en el ranking de una web con HTTPS será mejor que una con HTTP.
A continuación te dejamos una infografía con estos 10 PASOS PARA MEJORAR LA SEGURIDAD DE TU SITIO WEB
