[Checklist] Cómo hacer que mi sitio web sea seguro

lectura de 8 minuto(s)
Jorge Castellanos

Cuando tienes un sitio web, miles de personas en internet pueden llegar hasta ti… incluyendo cibercriminales. Y es que “los malos” pueden colarse en la red de tu empresa, robar tus datos y los de tus clientes para utilizarlos con fines malintencionados... y echar a perder tu negocio. 

Aunque pueda parecer alarmista, la realidad es –como concluyó el mercadólogo y autor Erik Deckers, tras asistir a una cumbre con personal del FBI y expertos en el tema–: “no es una cuestión de si tu sitio va a ser hackeado, es cuestión de cuándo”.

Por eso, es importante que lleves a cabo acciones proactivas para combatir las amenazas (desde utilizar un generador de contraseñas hasta instalar un certificado SSL), a fin de reforzar la seguridad de tu página web y así reducir la posibilidad de ser víctima de ciberataques. Sigue leyendo que a continuación te compartimos el checklist básico de seguridad web que necesitas. 

8 acciones para comprobar la seguridad del sitio web

Completa los 8 elementos de esta lista para eliminar brechas de seguridad en tu sitio web que puedan ser aprovechadas por hackers o piratas cibernéticos.  

  1. Habilita el protocolo https://
  2. Actualiza todo el software, plugins incluidos.
  3. Realiza copias de seguridad.
  4. Comprueba la integridad de tus archivos.
  5. Modifica tu nombre de usuario.
  6. Genera contraseñas automáticas.
  7. Cambia registros DNS y protege tu dominio.
  8. Ejecuta una limpieza de malware.

¿Tomaste nota? Muy bien… ¡comencemos!

1. Habilita el protocolo https://

Seguro habrás notado que las direcciones web al principio tienen el prefijo http que quiere decir “protocolo de transferencia”, es decir, el lenguaje que usan los navegadores en los dispositivos para conectarse a internet y compartir información.

Por otro lado, seguramente también has oído hablar de las siglas SSL. Estas corresponden al término “Secure Socket Layer”, sistema que protege la comunicación entre el navegador de un usuario y tu página web mediante encriptado (codificación). 

En suma, se trata de ponerle la S al HTTP para garantizar una transferencia segura de datos en tu sitio web.

Certificado SSL, un estándar de seguridad web mundial

Pero no solo eso ya que navegadores como Chrome señalan con un mensaje de “no seguro” a los sitios web que no funcionan con el protocolo https, y Google lo toma en cuenta para criterios de posicionamiento del sitio. Así que mejor ponte al día y compra tu certificado SSL hoy mismo.

Aprende más en: Certificado SSL gratis vs de pago: ¿Cuál es la diferencia? ¿Vale la pena invertir?.

2. Actualiza todo el software, plugins incluidos

Cuando tienes una página web alojada en un servidor propio (o en un hosting de terceros), la responsabilidad de tener tu sistema operativo actualizado recae en tu equipo informático (y por extensión, en el presupuesto de que dispongas para ello). 

Además, si utilizaste un gestor de contenido como WordPress debes tener en cuenta que sus plugins (o funciones extras) lanzan actualizaciones constantemente, esto para corregir vulnerabilidades que los hackers puedan aprovechar. Así, si mantienes esas versiones antiguas, estarás exponiendo tu sitio a ataques maliciosos.

¡Olvídate de actualizaciones o ajustes engorrosos! Confía en servicios de GoDaddy como el Creador de Páginas Web (constructor de sitios) o Hosting WordPress para lanzar tu sitio y mantenerlo siempre al día, ya que nuestro equipo de técnicos especializados se encarga de las actualizaciones por ti.

3. Realiza copias de seguridad

Si se eliminan datos de tu página, se infecta con código malicioso o se daña tu servidor, años y años de trabajo, diseño e información pueden perderse en un segundo. Pero, si realizas copias de seguridad diarias de tu sitio, puedes evitarlo. 

Eso sí, no deberías guardar ese backup en tu propio servidor, sino almacenarlo en una ubicación segura. Verifica con tu proveedor de hosting si te ofrece un servicio de respaldo en la nube, y si se puede restaurar con un solo clic, aún mejor. 

Y para grandes empresas, lo más recomendable sería tener dos copias de seguridad en lugares completamente independientes, por si acaso una falla.

4. Comprueba la integridad de tus archivos

Fíjate bien en los archivos de imagen, documentos de Excel, Word e incluso PDF que subas a tu página web ya que pueden estar corruptos. 

Para eso, una herramienta como Seguridad del sitio web impulsada con tecnología Sucuri puede hacer un análisis inicial y durante todo el tiempo que tu sitio esté online para comprobar el estado de tus archivos.

Además, esta herramienta puede realizar escaneos diarios automáticos para eliminación de malware, como se conoce a los programas maliciosos que inyectan los hackers. Virus, software espía (spyware) y de secuestro de sistema (ransomware) son algunos ejemplos de malware. 

5. Modifica tu nombre de usuario

A veces los hackers no son tan ingeniosos como los vemos en las películas y simplemente “machacan” las combinaciones más usuales de letras y números para tratar de averiguar nuestros nombres de usuario y contraseñas. A grandes rasgos, a esto se le conoce como “ataque de fuerza bruta”.

Ante esto, lo primero que debes hacer al configurar tu página web es crear un nombre diferente para la cuenta de administrador y eliminar el usuario “admin”. De esta manera, si alguien intenta acceder con ese nombre, tu instalación no estará en peligro.

Y si eres un usuario de WordPress, una protección adicional es utilizar un plugin como Limit Login Attempts que automáticamente bloquea las direcciones IP de quienes utilizan este método de ataque. 

6. Genera contraseñas automáticas

Hablando de ataques de fuerza bruta, puedes reducir en gran medida sus posibilidades de éxito con el uso de contraseñas extremadamente seguras. 

¡Pero no trates de crear tus propias contraseñas porque, o puede que las olvides (si son muy complicadas) o que las simplifiques demasiado. La mejor alternativa es usar un gestor de contraseñas como LastPass o 1Password.

Sitio web seguro con Last Pass
Last Pass: contraseñas fuertes para mayor seguridad

Estos programas crean contraseñas que encadenan varias palabras y símbolos que son casi imposibles de descifrar. Y lo mejor: te ayudan a crear una contraseña maestra que sólo tú puedas recordar y que sea la única que necesites para acceder a todas tus plataformas.

7. Cambia registros DNS y protege tu dominio

El robo de dominios también está a la orden del día. Y es que los piratas pueden usar la herramienta WHOIS para conocer tu dirección de e-mail y a partir de ahí suplantar tu identidad. 

Por otro lado, los registros DNS que enlazan la dirección IP de tu hosting con tu nombre de dominio pueden verse comprometidos si no utilizas un firewall que los proteja. Por eso, cambiarlos a un firewall de aplicaciones web (WAF por sus siglas en inglés) te permite filtrar los datos entrantes y eliminar el código malicioso antes de que pueda ingresar a tu red.

Desde el plan Deluxe de Seguridad del sitio web de GoDaddy cuentas con el cambio de registros DNS, WAF y sistemas contra intrusiones que te protegen de las amenazas y ataques principales. Y con el servicio de Privacidad y protección de dominio ocultas tus datos del registro WHOIS y lo proteges contra transferencias maliciosas.

Conoce cómo funciona la protección con Firewall en este video:

8. Ejecuta una limpieza de malware

Como mencionamos en el punto #4, es importante que te prevengas y escanees tu web en busca de programas o archivos maliciosos que están al acecho. Simplemente, se estima que 18 millones de sitios webs son infectados con malware cada semana.

Pero, ¿qué pasa si tengo sospechas de que mi sitio ya está infectado? Aunque no tengas cuenta con GoDaddy, puedes solicitar la limpieza y eliminación de malware antes de que se propague. Nuestro equipo te responderá en menos de 30 minutos.

En resumen, sin importar que se trate de un blog personal, un pequeño negocio digital o una gran web corporativa, existe la posibilidad de que algún hacker intente atacar tu sitio y tú puedes actuar a tiempo para mantener tus datos a salvo.

Con las soluciones de Seguridad del sitio web de GoDaddy con tecnología Sucuri tienes un Certificado SSL gratis, copia de seguridad automática y restauración con un clic desde el plan Deluxe. Además tienes un ejército de profesionales a tu servicio.

Basado en un artículo de Erik Deckers publicado por GoDaddy España.

Foto de portada: @franckinjapan vía Unsplash.

;