[Checklist] Cómo hacer que mi sitio web sea seguro

Acciones por tu tranquilidad

Cuando tenés un sitio web, miles de personas en internet pueden llegar hasta vos… incluyendo cibercriminales. Y es que “los malos” pueden colarse en la red de tu empresa, robar tus datos y los de tus clientes para utilizarlos con fines malintencionados… y echar a perder tu negocio. 

Aunque pueda parecer alarmista, la realidad –como concluyó el mercadólogo y autor Erik Deckers, tras asistir a una cumbre con personal del FBI y expertos en el tema– es: “no es una cuestión de si tu sitio va a ser hackeado, es cuestión de cuándo”.

Por eso, es importante que lleves a cabo acciones proactivas para combatir las amenazas (desde utilizar un generador de contraseñas hasta instalar un certificado SSL), a fin de reforzar la seguridad de tu página web y así reducir la posibilidad de ser víctima de ciberataques. Seguí leyendo que a continuación te compartimos el checklist básico de seguridad web que necesitas.

8 acciones para comprobar la seguridad del sitio web

Completá los 8 elementos de esta lista para eliminar brechas de seguridad en tu sitio web que puedan ser aprovechadas por hackers o piratas cibernéticos.  

  1. Habilitá el protocolo https://
  2. Actualizá todo el software, plugins incluidos.
  3. Realizá copias de seguridad.
  4. Comprobá la integridad de tus archivos.
  5. Modificá tu nombre de usuario.
  6. Generá contraseñas automáticas.
  7. Cambiá registros DNS y protege tu dominio.
  8. Ejecutá una limpieza de malware.

¿Tomaste nota? Muy bien… ¡empecemos!

1. Habilitá el protocolo https://

Seguro habrás notado que las direcciones web al principio tienen el prefijo http que quiere decir “protocolo de transferencia”, es decir, el lenguaje que usan los navegadores en los dispositivos para conectarse a internet y compartir información.

Por otro lado, seguramente también oíste hablar de las siglas SSL. Estas corresponden al término “Secure Socket Layer”, sistema que protege la comunicación entre el navegador de un usuario y tu página web mediante encriptado (codificación). 

En suma, se trata de ponerle la S al HTTP para garantizar una transferencia segura de datos en tu sitio web.

Certificado SSL, un estándar de seguridad web mundial

Pero no solo eso ya que navegadores como Chrome señalan con un mensaje de “no seguro” a los sitios web que no funcionan con el protocolo https, y Google lo toma en cuenta para criterios de posicionamiento del sitio. Así que mejor ponete al día y comprá tu Certificado SSL hoy mismo.

Aprende más en: Certificado SSL gratis vs de pago: ¿Cuál es la diferencia? ¿Vale la pena invertir?.

2. Actualizá todo el software, plugins incluidos

Cuando tenés una página web alojada en un servidor propio (o en un hosting de terceros), la responsabilidad de tener tu sistema operativo actualizado recae en tu equipo informático (y por extensión, en el presupuesto de que dispongas para ello). 

Además, si utilizaste un gestor de contenido como WordPress debés tener en cuenta que sus plugins (o funciones extras) lanzan actualizaciones constantemente, esto para corregir vulnerabilidades que los hackers puedan aprovechar. Así, si mantenés esas versiones antiguas, vas a estar exponiendo tu sitio a ataques maliciosos.

¡Olvidate de actualizaciones o ajustes engorrosos! Confiá en servicios de GoDaddy como el Creador de Páginas Web (constructor de sitios) o Hosting WordPress para lanzar tu sitio y mantenerlo siempre al día, ya que nuestro equipo de técnicos especializados se encarga de las actualizaciones por ti.

3. Realizá copias de seguridad

Si se eliminan datos de tu página, se infecta con código malicioso o se daña tu servidor, años y años de trabajo, diseño e información pueden perderse en un segundo. Pero, si realizás copias de seguridad diarias de tu sitio, podés evitarlo. 

Eso sí, no deberías guardar ese backup en tu propio servidor, sino almacenarlo en una ubicación segura. Verificá con tu proveedor de hosting si te ofrece un servicio de respaldo en la nube, y si se puede restaurar con un solo clic, aún mejor.

Y para grandes empresas, lo más recomendable sería tener dos copias de seguridad en lugares completamente independientes, por si acaso una falla.

4. Comprobá la integridad de tus archivos

Fijate bien en los archivos de imagen, documentos de Excel, Word e incluso PDF que subas a tu página web ya que pueden estar corruptos. 

Para eso, una herramienta como Seguridad del sitio web impulsada con tecnología Sucuri puede hacer un análisis inicial y durante todo el tiempo que tu sitio esté online para comprobar el estado de tus archivos.

Además, esta herramienta puede realizar escaneos diarios automáticos para eliminación de malware, como se conoce a los programas maliciosos que inyectan los hackers. Virus, software espía (spyware) y de secuestro de sistema (ransomware) son algunos ejemplos de malware.

5. Modificá tu nombre de usuario

A veces los hackers no son tan ingeniosos como los vemos en las películas y simplemente “machacan” las combinaciones más usuales de letras y números para tratar de averiguar nuestros nombres de usuario y contraseñas. A grandes rasgos, a esto se le conoce como “ataque de fuerza bruta”.

Ante esto, lo primero que tenés hacer al configurar tu página web es crear un nombre diferente para la cuenta de administrador y eliminar el usuario “admin”. De esta manera, si alguien intenta acceder con ese nombre, tu instalación no estará en peligro.

Y si sos un usuario de WordPress, una protección adicional es utilizar un plugin como Limit Login Attempts que automáticamente bloquea las direcciones IP de quienes utilizan este método de ataque.

6. Generá contraseñas automáticas

Hablando de ataques de fuerza bruta, podés reducir en gran medida sus posibilidades de éxito con el uso de contraseñas extremadamente seguras. 

¡Pero no trates de crear tus propias contraseñas porque, o puede que las olvides (si son muy complicadas) o que las simplifiques demasiado. La mejor alternativa es usar un gestor de contraseñas como LastPass o 1Password.

Sitio web seguro con Last Pass
Last Pass: contraseñas fuertes para mayor seguridad

Estos programas crean contraseñas que encadenan varias palabras y símbolos que son casi imposibles de descifrar. Y lo mejor: te ayudan a crear una contraseña maestra que sólo vos puedas recordar y que sea la única que necesites para acceder a todas tus plataformas.

7. Cambiá registros DNS y protege tu dominio

El robo de dominios también está a la orden del día. Y es que los piratas pueden usar la herramienta WHOIS para conocer tu dirección de e-mail y a partir de ahí suplantar tu identidad. 

Por otro lado, los registros DNS que enlazan la dirección IP de tu hosting con tu nombre de dominio pueden verse comprometidos si no utilizas un firewall que los proteja. Por eso, cambiarlos a un firewall de aplicaciones web (WAF por sus siglas en inglés) te permite filtrar los datos entrantes y eliminar el código malicioso antes de que pueda ingresar a tu red.

Desde el plan Deluxe de Seguridad del sitio web de GoDaddy cuentas con el cambio de registros DNS, WAF y sistemas contra intrusiones que te protegen de las amenazas y ataques principales. Y con el servicio de Privacidad y protección de dominio ocultás tus datos del registro WHOIS y lo protegés contra transferencias maliciosas.

Conocé cómo funciona la protección con Firewall en este video:

8. Ejecutá una limpieza de malware

Como mencionamos en el punto #4, es importante que te prevengas y escanees tu web en busca de programas o archivos maliciosos que están al acecho. Simplemente, se estima que 18 millones de sitios webs son infectados con malware cada semana.

Pero, ¿qué pasa si tengo sospechas de que mi sitio ya está infectado? Aunque no tengas cuenta con GoDaddy, podés solicitar la limpieza y eliminación de malware antes de que se propague. Nuestro equipo te responderá en menos de 30 minutos.

En resumen, sin importar que se trate de un blog personal, un pequeño negocio digital o una gran web corporativa, existe la posibilidad de que algún hacker intente atacar tu sitio, y de vos depende actuar a tiempo para mantener tus datos a salvo.

Con las soluciones de Seguridad del sitio web de GoDaddy con tecnología Sucuri tenés un Certificado SSL gratis, copia de seguridad automática y restauración con un clic desde el plan Deluxe. Además tenés un ejército de profesionales a tu servicio.

Basado en un artículo de Erik Deckers publicado por GoDaddy España.

Imagen de @franckinjapan vía Unsplash.