Cómo proteger tu sitio web de hackers y ataques

Fernando Paul Lara Galicia 25/08/2021

Productos mencionados

Seguridad web, Certificados SSL, Hosting WordPress

Que la seguridad sea tu misión

Aunque pienses que tu sitio web no es atractivo para los hackers, la realidad es que los ciberataques ocurren en todo momento, en cualquier parte del mundo y sin importar que recibas mil o 1 millón de visitantes al mes.

Para prueba de ello existen ejemplos como el mapa de ciberamenazas en tiempo real de Kaspersky, el cual te recomendamos visitar de vez en cuando para descubrir los riesgos actuales en tu región.

La cuestión es que existen muchos peligros –como el phishing o suplantación de identidad, el robo de datos personales y bancarios y la inyección de software malicioso– que pueden poner en riesgo la inversión que has dedicado a construir tu presencia en internet… y lo peor de todo, dañar permanentemente la imagen de tu empresa ante tus clientes.

Por estas razones, queremos compartir con vos los siguientes consejos y medidas prácticas de seguridad web que podés implementar en tu página, y que fueron explicadas a detalle en un webinar impartido por nuestro experto, Luis Azuaje:

Cómo proteger tu sitio web: 7 acciones preventivas contra ataques cibernéticos

Establecé contraseñas seguras.
Cambiá el usuario “admin”.
Adquirí y activá un certificado https.
Instalá un firewall.
Respaldá tu sitio web con frecuencia.
Actualizá el sitio (de forma manual o automática).
Elegí un buen proveedor de hosting.

1. Establecé contraseñas seguras

Aunque parece obvio, con tantas plataformas que utilizamos hoy en día no es raro que por descuido hagamos credenciales de acceso frágiles, que vuelvan vulnerable a nuestro sitio web y que los hackers puedan aprovechar para acceder a datos personales, cuentas bancarias o correos electrónicos.

Y es que, de acuerdo con Avast Software, existen tres factores que pueden convertir a tu cuenta en un ‘blanco fácil’ para los piratas informáticos:

Nunca cambiar tu contraseña.
Utilizar la misma contraseña para varias cuentas. Según Avast, 50% de la población mundial conectada usa la misma contraseña para acceder a varias cuentas.
Usar contraseñas fáciles de descifrar (como password o contraseña1234, por ejemplo).

Para evitar esto, Luis Corrons, embajador de seguridad de Avast, recomienda:

Crear contraseñas que tengan al menos 16 caracteres.
Usar números, caracteres especiales (como $%&#), letras mayúsculas y letras minúsculas.
Evitar cualquier palabra relacionada contigo o con la plataforma/servicio que protege la contraseña.

2. Cambiá el usuario “admin”

Acá nos referimos a un asunto común a sitios web de WordPress (o aquellos con un hosting que utiliza un gestor como cPanel) y que consiste en dejar inalterado el usuario de administrador por defecto o “admin”. Pero, ¿por qué es esto un problema?

Dado que el hacker ya sabe que el username de administrador del sitio web es “admin”, solamente tiene que descifrar el password y lo puede conseguir a través de varias técnicas –y con relativa facilidad si no se siguen los consejos del punto #1.

Por un lado, está el fenómeno llamado “ingeniería social” que utiliza tácticas de coerción y engaño (como emails con enlaces engañosos a “sitios legítimos”), o también la exploración de perfiles sociales para obtener datos confidenciales de las personas (como su fecha de nacimiento, el nombre de sus hijos o mascotas, lugares favoritos, etc).

Por otra parte, están los “ataques de fuerza bruta” donde los hackers aplican “métodos de prueba y error” para descifrar el password, ya sea utilizando combinaciones típicas (como “12345” o “password”) o con programas (bots) que ingresan miles de combinaciones automáticamente y en segundos.

Para evitar esto, es importante entrar al panel de administración de WordPress y cambiar el usuario y contraseña desde el inicio.

3. Adquirí y activá un certificado https

El certificado SSL (siglas de Secure Sockets Layer) permite activar el “https” y el símbolo de candado en la dirección URL del sitio web. ¿Y qué significa esto?

En síntesis, el certificado de seguridad codifica (a través de encriptado de doble vía) los datos sensibles que los usuarios introducen en tu página –como números de cuentas bancarias o direcciones–, para que viajen de forma segura a través de internet. De esta manera, dicha información no puede ser vista o interceptada por los hackers.

Además de reforzar la confianza del usuario de que está visitando un sitio web seguro, los certificados SSL son un requisito de Google para ayudar al posicionamiento web. Considera también que navegadores como Chrome despliegan una alerta de “No seguro” si no lo tenés, misma que puede alejar a clientes potenciales de tu proyecto digital.

Existen varios tipos de certificado de seguridad y todos te ofrecen el más alto nivel de encriptado, así como protección para uno o varios dominios. ¿No sabés cuál es el que necesitas en tu página? Te recomendamos leer este artículo: Tipos de certificados SSL: ¿cuál le conviene más a tu sitio web?

4. Instalá un firewall

ComputerHoy.com nos da una descripción muy exacta de qué trata el cortafuegos o firewall : “…es la primera línea de defensa entre un ataque a tu red desde internet; éste debe ser capaz de detener un acceso no autorizado antes de que el atacante pueda llegar a tu red local o a tu computador”.

Imaginate que un hacker inyecta un comando malicioso (es decir, un malware) en el código de tu sitio, esto con el fin de engañar a tu página web para que haga algo que no debería hacer como darle acceso a todos los datos de tus clientes. Esto se conoce como “ataque de inyección” y lo que hace el firewall es detener ese malware para evitar el robo de información.

Muchos de los problemas que tienen que ver con hackeos y ataques al servidor de tu sitio web se pueden resolver fácilmente instalando un cortafuegos. Conocé más en este video de GoDaddy Guides:

5. Respaldá tu sitio web con frecuencia

Para evitar el hipotético –y horroroso– caso de un sitio dañado, totalmente “caído” y que no tengás ni idea de qué pudo haber ocasionado el fallo (un virus, un hacker o incluso que tú mismo borraras información sin darte cuenta), es importante tener respaldos (backups) de tu sitio.

Algunos proveedores de web hosting pueden hacerlo por ti, pero también podés hacer tus propias copias de seguridad en medios físicos de almacenamiento. Sin importar lo que decidas, nunca te olvidés hacer un backup de la información de tu sitio web, no sólo para protegerte de piratas informáticos, sino también en caso de perder datos si cometés un error mientras configuras tu página.

La ventaja de acudir con tu compañía de hosting es que puede ofrecerte copias de seguridad automáticas, que pueden realizarse diariamente o de forma programada.

6. Actualizá el sitio (de forma manual o automática)

Cuando lanzás tu página con ayuda de un constructor de sitios web no tenés que preocuparte por este paso, ya que tu proveedor se encargará de mantener el código y sistemas al día y con el mejor desempeño.

Pero por otro lado, si usás un gestor de contenido (CMS por sus siglas en inglés) como WordPress es probable que, cuando salga una nueva versión del sistema, debas hacer un procedimiento manual para actualizarlo.

Lo mismo pasa con los plugins, que son funcionalidades extra creadas a través de código abierto por otros usuarios del CMS. Y cuando estos programadores detectan alguna brecha de seguridad, el administrador de WordPress te avisá que se ha creado una nueva versión y que debes actualizarla para prevenir potenciales ataques.

Aunque la mayoría de estos updates los podés instalar con un clic, algunos necesitan de configuraciones adicionales a nivel código. En ocasiones esto requiere de conocimientos de programación y tiene el riesgo de que, si no se hace bien, puede desestabilizar la estructura o funcionalidad de tu sitio.

Afortunadamente, si contás con un servicio como Hosting WordPress de GoDaddy, nuestro equipo se encarga por ti de mantener tus plugins y CMS actualizados. Así, solamente te ocupás de mantener el contenido al día y te olvidás de temas técnicos.

7. Elegí un buen proveedor de hosting

Podés tomar muchas medidas para proteger tu sitio, pero ¿qué pasa si tu servicio de hosting o alojamiento web es víctima de un ataque cibernético?

Imaginate recibir un mensaje del proveedor donde te informa que sus servidores recibieron un ataque y, por consecuencia, se perdieron datos de tu página web. Una verdadera pesadilla…

En ese sentido, la respuesta más contundente a la pregunta de “¿cómo proteger mi página web” es contar con el respaldo de una compañía grande que, además de tener implementados sistemas de seguridad avanzados en sus servidores, se haga responsable ante cualquier amenaza, por mínima que ésta sea.

Y como valor agregado, buscá un proveedor de hosting que te ofrezca un excelente servicio de soporte técnico y un tiempo de actividad del 99.9%, es decir, una garantía de que sus servidores están operativos prácticamente a tiempo completo y sin incidentes en los últimos meses.

Relacionado: ¿Cómo elegir el mejor hosting? 10 elementos para escoger al proveedor ideal.

BONUS. Medidas avanzadas de seguridad web

Existen acciones adicionales que, aunque requieren conocimientos un poco más avanzados, cualquier administrador de un sitio web puede implementarlas por su cuenta a fin de mitigar la posibilidad de ataques cibernéticos. Las más comunes son:

Desactivar la edición de archivos. Desde el administrador de archivos (File Manager) de cPanel en WordPress, ubicamos el directorio public_html. Damos clic en “configurar” y en el archivo wp-config.php agregamos unas línea de código con la siguiente redacción: «//disallow file edit» y «‘DISALLOW_FILE_EDIT’, true».
Deshabilitar la navegación de archivos. Del mismo modo, vamos al File Manager de cPanel, ubicamos el archivo .htaccess y en la parte superior del archivo insertamos la línea de código «Options -Indexes».
Realizar un escaneo externo. Existen páginas como Sucuri SiteCheck con un escáner gratuito que nos ayuda a comprobar si nuestra página está infectada con malware, virus o códigos maliciosos conocidos. Además, nos permite verificar errores como software desactualizado, o si nuestro sitio web está en listas negras debido a un malware.

Aunque estas medidas se pueden aprender de manera autodidacta, lo recomendable es hacer un backup antes de practicarlas porque, de colocar una línea de código mal redactada o en el lugar equivocado, el sitio puede fallar. O en su defecto, dejar que lo haga un profesional de Seguridad Web de tu proveedor de hosting.

Conclusión: cómo proteger mi página web de hackers y ataques cibernéticos

Es necesario tener en cuenta que nadie es invencible en línea y existen hackers muy sofisticados allá afuera. Por eso, considerá hoy estas medidas como un punto de partida pues, si las pasás por alto, es probable que el trabajo y la dedicación que pongás en tu sitio web sean una pérdida de tiempo.

Para tranquilidad de empresas y emprendedores digitales, existen proveedores como GoDaddy que te ofrecen planes de Seguridad Web donde, además de instalar y administrar tu certificado SSL, evitan vulnerabilidades en tu página web con elementos como:

Escaneos diarios para detectar y eliminar malware del código de tu sitio.
Backups del contenido de tu sitio web en varios servidores, para que siempre puedas recuperarlo en caso de que algo suceda.
Prevención de ataques de denegación de servicio (DDoS). Básicamente, estos consisten en enviar muchas solicitudes “falsas” a un sitio web para derribarlo, y cada minuto que el sitio web deja de funcionar podés perder clientes y ventas.
Firewalls y monitoreos 24/7 para evitar que los piratas informáticos puedan insertar códigos maliciosos en tu página o robarse tus bases de datos.

Para finalizar, chequeá este resumen de 1 minuto sobre las principales amenazas cibernéticas y cómo proteger tu sitio web con la suite de Seguridad de GoDaddy:

Relacionado: [Checklist] Cómo hacer que mi sitio web sea seguro.

Imagen de Matthew Henry via Unsplash