Guía de seguridad de tu sitio web
Tu sitio web está en riesgo.
No digo esto para tratar de asustarte, pero esa es la realidad del mundo en el que vivimos. Más de 50.000 sitios web son pirateados cada día.
No puedes tener la mentalidad de «no me pasará a mí». En Grafikaweb nos encontramos con empresas todo el tiempo que se sienten así. Creen que los piratas informáticos tienen peces más grandes que freír y no tienen ninguna razón para apuntar a los sitios webs de sus empresas medianas o pequeñas. Ese simplemente no es el caso. De hecho, el 43% de los delitos cibernéticos son contra las pequeñas empresas.
Aproximadamente el 54% de las empresas en todo el mundo dicen que han experimentado al menos un ataque en el último año. Solo el 38% de las empresas afirman estar preparadas para afrontar ciberataques.
No tenemos una bola de cristal mágica o alguna forma de ver el futuro, pero mi instinto me dice que los ciberdelincuentes no se despertarán un día y decidirán dejar de piratear sitios web. Por lo tanto, debes tomar medidas para mejorar la seguridad de tu sitio web.
Eso es lo que nos inspiró a escribir esta guía. Te mostraremos lo que debes hacer para proteger tu sitio web hoy, en 2020.
Amenazas comunes a la seguridad de sitios web
No existe una única forma de atacar los sitios web. Entonces, antes de continuar, quiero brindarte una breve descripción general de algunas de las amenazas más comunes para la seguridad de tu sitio web. Estas son las cosas que querrás evitar y para ello debes estar preparado y tomar las medidas de seguridad correspondientes
Correo no deseado
Por lo general, percibimos el spam como algo molesto. Todos recibimos correos electrónicos no deseados en nuestra bandeja de entrada o vemos la ventana emergente ocasional de correo no deseado cuando navegamos en línea.
Sin embargo, a veces el spam es malicioso. El spam en forma de comentarios es extremadamente común en los sitios web. Los bots pueden bombardear la sección de comentarios de su sitio web con enlaces a otro sitio en un intento de construir backlinks.
Si bien ese tipo de comentarios son molestos y no se ven bien en tu sitio web, no siempre son perjudiciales. Sin embargo, algunos de esos enlaces pueden contener malware, que puede dañar a los visitantes de tu sitio web si hacen clic en ellos.
Además, los rastreadores de Google a menudo pueden detectar URL maliciosas y penalizar tu sitio web por alojar spam. Esto hundirá tu posicionamiento SEO.
Virus y malware
Para aquellos de ustedes que no lo saben, malware significa «software malicioso». Entonces, el malware y los virus son esencialmente lo mismo. Podría decirse que el malware es la mayor amenaza para tu sitio web. Cada día se detectan hasta 230.000 tipos de malware.
Según Statista , estos son los tipos más comunes de malware que se utilizan en ataques cibernéticos en todo el mundo (2019):

Find more statistics at Statista
Como puedes ver, el malware viene en diferentes formas y tamaños además muta constantemente. Por eso es una gran amenaza para tu sitio web.
Estos tipos de virus se utilizan a menudo para acceder a datos privados o utilizar recursos del servidor. Los delincuentes también usan malware para ganar dinero con anuncios o enlaces de afiliados pirateando los permisos de su sitio web.
Con el malware, tanto tú como los visitantes de tu sitio web están en riesgo. Alguien que visite tu sitio podría hacer clic en un enlace que descarga un archivo malicioso en su móvil u ordenador. Es tu trabajo y tu responsabilidad mantener tu sitio web seguro y evitar que eso suceda.
Registro de dominio de WHOIS
Comprar un nombre de dominio es como comprar una casa. La empresa que vende la casa debe saber a quién le está vendiendo y poder contactarlos. Esto se convierte en un registro público.
Lo mismo ocurre con la compra de un sitio web. Dependiendo del país en el que ee encuentres, se te pedirá que divulgues cierta información sobre ti que se registra en los datos de WHOIS. Fuera de tu información personal, esto también contiene información sobre tus servidores de nombres URL o DNS.
Los piratas informáticos pueden utilizar esta información para delimitar la ubicación del servidor que está utilizando. Pueden usar esto como una puerta de enlace para acceder a su servidor web.
Por tanto es necesario aplicar políticas de privacidad estrictas para evitar que estos datos puedan ser usados maliciosamente. El servicio “Whois Privacy” (Privacidad en el Whois), te permite ocultar tus datos, los cuales siguen estando en el registro de dominios pero no son visibles públicamente.
A todos los efectos seguirás siendo el titular legal del dominio y tendrás control total sobre el mismo. Ten en cuenta que hay extensiones que no permiten la utilización de este servicio, algunas de ellas son: .es, .it, .fr y .eu
Listas negras de motores de búsqueda
Técnicamente, esto no es una amenaza para la seguridad. Sin embargo, si su sitio web no está protegido adecuadamente, puede afectar tu posicionamiento SEO.
Según un estudio reciente, el 74% de los sitios web pirateados fueron atacados por motivos de SEO spam.

Mencionamos esto brevemente antes cuando estábamos discutiendo el spam que hacen usando los comentarios en las webs. Si los motores de búsqueda detectan contenido malicioso en su sitio web, tu posicionamiento SEO se verá afectado.
Si muchos usuarios reportan tu sitio como spam o inseguro, podría ser agregado a una lista negra de motores de búsqueda. Una vez que estás en esa lista, es extremadamente difícil salir.
Cómo mantener tu sitio web seguro
Ahora que estás familiarizado con algunas de las amenazas de seguridad más comunes, es hora de evitar que sucedan.
No puedes simplemente asumir que tu sitio web es seguro. Si no has hecho nada para reforzar la seguridad, probablemente sea vulnerable a ataques. Estos son los pasos que debes seguir para mejorar la seguridad de tu sitio web en 2020.
Utiliza el protocolo HTTPS
Si tu sitio web no utiliza actualmente el protocolo HTTPS, debes saltar al principio de tu lista de prioridades. Básicamente, esto les dice a los visitantes de tu sitio web que están interactuando con el servidor adecuado y nada más puede alterar o interceptar el contenido que están viendo.
Sin HTTPS, un pirata informático puede cambiar la información de la página para recopilar información personal de los visitantes de tu sitio web. Por ejemplo, podrían robar información de inicio de sesión y contraseñas de los usuarios.
El protocolo HTTPS también mejorará tu clasificación de búsqueda. Google recompensa a los sitios web que utilizan esta medida de seguridad.
Esto también es reconfortante para las personas que visitan tu sitio web. Cuando visiten tu sitio, verán esto junto a la URL:

El candado cerrado significa que tu sitio web es seguro y confiable. Ahora, compáralo con un sitio que no usa el protocolo HTTPS. La URL en el navegador web se verá así:

¿Te sientes seguro cuando navegas en un sitio web y ves esto? Yo no.
HTTPS se combina con un certificado SSL/TLS (capa de conexión segura). Esto es necesario para los sitios web de comercio electrónico, ya que los usuarios envían información confidencial como números de tarjetas de crédito, nombres y direcciones.
Si bien los certificados SSL/TLS no previenen necesariamente un ataque o distribución de malware, encriptan la comunicación entre el servidor y el navegador web del usuario. Incluso si no vendes nada en su sitio web, te recomiendo usar el protocolo HTTPS y agregar un certificado SSL para agregar seguridad y tranquilidad a tus visitantes.
Actualiza tu software
Cualquier software que estés utilizando en tu sitio web debe mantenerse actualizado. Debes actualizar el software de WordPress, los complementos (plugins), el CMS y cualquier otra cosa que requiera una actualización.
¿Por qué?
Además de corregir errores o fallas, las actualizaciones de software generalmente vienen con mejoras de seguridad. Ningún software es perfecto. Los piratas informáticos siempre buscarán formas de aprovechar sus vulnerabilidades.
Muchos ciberataques están automatizados. Los delincuentes usan bots para escanear sitios web que son vulnerables. Por lo tanto, si no estás actualizado con las últimas versiones de software, será fácil para los piratas informáticos identificar tu sitio web como vulnerable antes de que puedas hacer algo al respecto.
Elige un plan de alojamiento web seguro
En teoría, si tu proveedor de alojamiento web tiene una adecuada seguridad en sus servidores, te beneficiarás de esos mismos niveles de protección. Sin embargo, ese no es siempre el caso.
Optar por un plan de alojamiento compartido puede resultar atractivo por el precio, pero no es la elección más segura que puedes hacer si no se está bien protegido a nivel de servidores. Como su nombre lo indica, estás compartiendo servidor con otros sitios web si eliges este tipo de plan de alojamiento.
Si uno de esos otros sitios es atacado, un pirata informático también puede obtener acceso al servidor que estás utilizando para alojar tu web. No estoy tratando de alejarte de un plan de alojamiento compartido, pero si deseas aumentar la seguridad de su sitio web, estarás mejor con proveedores de hosting como Grafikaweb que utilizan máximas capas de seguridad y protecciones anti-spam a nivel hosting en los planes de servidores compartidos que ofrecemos.
Cambia tu contraseña
¡Cambia tu contraseña! Nunca nos cansaremos de repetir esto.
Con demasiada frecuencia hablamos con personas que tienen la misma contraseña para todo lo que poseen, y es algo que han estado usando desde que estaban en la universidad hace diez años.
Aquí está el problema. Digamos que eres un entusiasta. Por lo tanto, tienes una cuenta con un sitio web popular de reseñas de restaurantes que requiere tu dirección de correo electrónico y contraseña para escribir reseñas y hagas comentarios. Si esa plataforma se ve comprometida, los piratas informáticos tienen acceso a tu nombre de usuario y contraseña. Si descubren que posees un determinado sitio web, pueden probar la misma contraseña e iniciar sesión en tu configuración como administradores.
Sorprendentemente, el 25% de las contraseñas se pueden piratear en solo tres segundos.

La información de este gráfico se obtuvo utilizando un software de código abierto llamado John the Ripper. Cualquiera puede utilizar esta herramienta para descifrar contraseñas.
Si un software como este puede descifrar el 53% de las contraseñas en solo dos horas, puedo asegurarte que los mejores piratas informáticos descifran contraseñas aún más rápido.
Es por eso que necesitas actualizar constantemente tu contraseña. Puedes usar un administrador de contraseñas como 1Password ó LastPass para ayudarte a generar contraseñas largas (siempre más de 8 caracteres como mínimo) y que incluyan algunos caracteres especiales (signos de puntuación por ejemplo) que son casi imposibles de resolver. Puedes obtener información detallada sobre como crear contraseñas seguras y como gestionarlas después pinchando aquí.
Además, debes elegir un servidor web que utilice autenticación de dos factores. Esto agregará una capa adicional de seguridad para la protección con contraseña. Si su proveedor de alojamiento web no ofrece esto, existen otras formas de habilitarlo por su cuenta utilizando aplicaciones o plugins de terceros como por ejemplo Google Authenticator – WordPress Two Factor Authentication.
Seguridad máxima en tu ordenador personal
No permitas que tus propios dispositivos amenacen tu sitio web.
Existe malware que inyecta archivos maliciosos en sitios web al robar inicios de sesión de FTP. Es más fácil para un pirata informático lograr esto si apunta a tu ordenador personal como puerta de entrada a tu sitio web. Así que asegúrate de que tu ordenador tenga activado el software antivirus, recomendamos Windows Defender que viene con Windows 10, hoy en día es un excelente antivirus y además gratuito. El software anti-virus, es especialmente importante si usas un ordenador de sobremesa o un portátil para acceder a tu sitio web o cuando estás descargando archivos en línea. Si el antivirus está desactivado, es posible que, sin querer, instales malware en tu máquina sin saberlo.
Lo último que deseas es ser descuidado mientras navegas en línea y que ese error termine dañando tu propio sitio web. Escanea completamente tu ordenador personal de forma regular pasándole el antivirus para eliminar posibles vulnerabilidades y amenazas.
Usa herramientas para monitorear tu seguridad
No puede evitar manualmente los ataques a tu sitio web. En su lugar, busca herramientas y recursos en línea que supervisarán la seguridad de tu sitio web por ti.
Existen plugins que agregan un firewall a tu sitio web mientras simultáneamente luchan contra el malware, el spam y otras amenazas en tiempo real. Pueden ejecutar auditorías de seguridad que resaltarán tus vulnerabilidades para que puedas tomar medidas preventivas y prevenir un ciberataque antes de que suceda. Algunos son: Sucuri Security – auditoría, análisis de malware y refuerzo de la seguridad, All In One WP Security & Firewall, iThemes Security, Wordfence Security, entre otros.
Limitar el acceso de los usuarios
No te culpes, pero el 95% de los ataques de ciberseguridad son el resultado de un error humano.
La mejor forma de evitarlo es limitar el número de personas que pueden cometer un error. No todos los empleados de tu empresa deberían tener acceso a tu sitio web.
Si estás contratando a un consultor externo, un diseñador o un bloguero invitado, no les dé acceso completo (privilegios de administrador) automáticamente a esas personas para cambiar la configuración de tu sitio web. Implementa el principio de privilegio mínimo, también conocido como el principio de autoridad mínima o privilegio mínimo.
Digamos que asigna un proyecto a alguien que requiere un cierto nivel de acceso a tu sitio web. Al aplicar este principio, solo les das acceso durante el tiempo que les lleva completar la tarea. Una vez completado, la persona vuelve a sus habilidades de acceso o privilegios de acceso normales.
Asegúrate de que cada usuario tenga sus propias credenciales de inicio de sesión. Si varias personas comparten un nombre de usuario y una contraseña, no les da ninguna responsabilidad. Es mucho más probable que tu equipo tenga cuidado con la información confidencial si se puede rastrear un error o un cambio y llegar hasta el responsable individual del problema.
Copia de seguridad de tu sitio web
Cuando se trata de proteger tu sitio web, siempre debes prepararte para lo peor. Obviamente, nunca querrás estar en una situación en la que tu sitio web se vea comprometido. Pero en el caso de que algo salga mal, tu vida será mucho más fácil si tu contenido está completamente respaldado.
Intenta utilizar un complemento de respaldo, como BackupBuddy , VaultPress, WP Time Capsule, ManageWP ó BlogVault para asegurarte de no perder nada en tu sitio web como resultado de un ataque.
Algunos de estos complementos de respaldo también vienen con medidas de seguridad integradas, que pueden ayudarlo a prevenir un ataque. En Grafikaweb incluimos en todos nuestros planes de hosting el servicio de backup automático a nivel de servidor: diario, semanal y mensual de tu sitio web alojado con nosotros, así además del backup que tu puedas hacer tu mismo mediante plugins, tu web estará doblemete segura, por si algo no sale bien.
Ajusta la configuración predeterminada de tu CMS
Como dijimos antes, muchos ataques en estos días están automatizados. Los hackers programan bots para encontrar sitios con configuraciones predeterminadas y que son vulnerables. De esta manera, pueden dirigirse a una gama más amplia de sitios web y obtener acceso utilizando el mismo tipo de malware o virus. No se lo pongas tan fácil.
Una vez que instales tu CMS (WordPress por ejemplo), asegúrate de cambiar algunas de las configuraciones predeterminadas:
- Configuración de comentarios
- Controles de usuario
- Visibilidad de la información
- Permisos de archivo
Todos estos son ejemplos de algunas de las configuraciones que puedes cambiar de forma rápida e inmediata, y hacerlas más restrictivas.
Restringir la carga de archivos
Permitir que los visitantes del sitio web carguen archivos en tu sitio web puede ser riesgoso. Esto se debe a que cualquier archivo podría contener un script que explote las vulnerabilidades de tu sitio web cuando se ejecuta en el servidor.
En algunos casos, la naturaleza de tu sitio web puede requerir la subida de archivos. Por ejemplo, es posible que desees que los usuarios suban fotos de tus productos cuando escriban una opinión o reseña. Aún si éste es el caso se deben tratar todas las subidas de archivos como una amenaza potencial.
También puedes configurarlo para que cualquier archivo que se suba se almacene en una carpeta o base de datos en otra ubicación en la nube. Puedes crear una secuencia de comandos que recuperará esos archivos de una ubicación privada y remota para enviarlos a un navegador.
Esto requerirá algo de codificación y es un poco complejo de configurar, por lo que no entraremos en demasiados detalles sobre esto en este momento. La solución más rápida y simple es evitar la carga de archivos por completo, o al menos restringir los tipos de archivos que se pueden cargar en tu sitio web, limitándolos a sólo archivos de imágenes .jpg .png por ejemplo.
Conclusión
La seguridad de tu sitio web debe ser una de tus principales prioridades.
Si no has tomado ninguna medida para proteger tu sitio web, actualmente está en riesgo mientras lees esto.
Es casi imposible que cualquier sitio web sea 100% seguro: los piratas informáticos siempre encontrarán nuevas formas de atacar sitios web y robar información. Pero puedes hacerles esto bastante más difícil tomando las medidas de seguridad que describimos anteriormente.
Al final del día, si los ciberdelincuentes tienen dificultades para piratear un sitio web, simplemente pasarán a otros sitios que no han implementado las tácticas de seguridad de las que hablamos en este post. Gracias por leernos y no olvides dejar tus comentarios, sugerencias y preguntas, con gusto las responderemos.