Go to Top

Post de autora invitada: 8 pasos para proteger tu página web

A medida que incrementa rápidamente el número de ataques y su sofisticación, la seguridad de las páginas web se va convirtiendo en un tema candente. Si tienes una pequeña web o un blog, quizá creas que no necesitas preocuparte porque su contenido no es valioso y por tanto no va a ser blanco de ataques. Pues bien, te sorprenderá saber que no estás en absoluto en lo cierto. Tu página web corre riesgos independientemente de lo trivial que sea su contenido.

A muchos hackers les interesa una página web no para robar datos o corromperla, sino para utilizarla para un propósito aún más siniestro. Estas prácticas pueden incluir utilizar el servidor del sitio web para enviar correo basura en grandes cantidades, distribuir archivos ilegales o incluso para la minería de bitcoins.

¿Cómo proteger, entonces, tu sitio web, de tales ataques? Estás de suerte: en Kroll Ontrack hemos recopilado una útil lista de pasos que te ayudará en la tarea de proteger tu página web de la avaricia de estos hackers maliciosos.

1. Mantenlo todo actualizado

Podría parecer bastante obvio, pero es uno de los pasos más fundamentales e importantes y, como tal, no podíamos dejarlo al margen. Asegúrate siempre de tener instalada la última versión de absolutamente todo el software relativo a tu sitio web, especialmente de scripts y plugins. Gran parte de este software es de código abierto, lo que significa que cualquiera puede analizar su código fuente e identificar lagunas, que son una de las maneras más comunes que tienen los hackers de introducirse en tu página web y vulnerar su seguridad.

Puedes evitar que esto suceda simplemente manteniendo todos tus plugins, scripts y plataformas (como WordPress) actualizadas.

2. Plugins de seguridad

Este paso está dedicado a los usuarios de WordPress, que aumentan cada día. Además de mantener todo tu software actualizado, para una página web WordPress es crucial utilizar los plugins de seguridad que te aseguren la máxima seguridad. Existen multitud de plugins de seguridad disponibles, tanto gratuitos, como de pago, de los que puedes beneficiarte para proteger tu página web.

Algunos de los plugins de seguridad más populares son SiteLock y Bulletproof Security. Estos plugins sellan deficiencias potenciales en la plataforma WordPress y proporcionan una capa adicional de seguridad a tu página web.

3. Utiliza HTTPS

Además de utilizar plugins de seguridad deberías plantearte también cambiar a HTTPS para consolidar aún más la seguridad de tu página web. Las páginas web que utilizan el protocolo estándar de transporte de datos entre el servidor y el explorador del cliente, HTTP o protocolo de transferencia de hipertexto, son susceptibles a que los hackers intercepten los datos y que los utilicen de forma maliciosa. El HTTPS convierte el intercambio de información a través de tu página web en seguro e impenetrable.

El uso de HTTPS es una necesidad absoluta si tienes una página web de comercio electrónico o una página web que maneja información sensible y privada de usuarios.

4. Elige el hospedaje web adecuado

Puede que creas que el precio es el aspecto más importante a la hora de elegir un proveedor de hospedaje web, pero hay mucho más que tener en cuenta. Si te limitas a optar por el proveedor de hospedaje web más barato en lugar de dedicar tiempo a elegir uno en el que puedas confiar, podrías estar exponiéndote a un ataque. Busca proveedores de hospedaje web reputados que ofrezcan funciones como servidor seguro SSL (necesario para HTTPS), SSH Secure Shell Access, soporte de email seguro, un centro de datos seguro, copias de seguridad regulares, etc. Si no estás seguro de los aspectos técnicos del hospedaje de datos seguro, elige un proveedor recomendado. Venture Harbour realizó un estudio que comparaba 53 proveedores de hospedaje web distintos para filtrar los proveedores recomendados.

5. Inyecciones SQL engañosas

Sí, las inyecciones SQL no son solo engañosas sino que además pueden ser muy molestas si un hacker se las apaña para inyectárselas a tu página web. Normalmente estas inyecciones tienen lugar a través de los formularios web que usas para recopilar información de las visitas. Si no fijas las limitaciones necesarias en todos los campos del formulario, los hackers pueden insertar código en ellas que les permita hackear tu base de datos y robar toda la información sensible disponible.

Un modo sencillo y fácil de proteger tu página web de estas inyecciones es utilizar siempre consultas parametrizadas. Estas consultas te asegurarán que tu página web tenga parámetros muy específicos para las consultas y, por tanto, los hackers lo tendrán difícil para introducir código malicioso.

6. Los potentes ataques XSS

Estos ataques se asemejan a las inyecciones SQL en que los hackers utilizan los campos de un formulario web para introducirlos, pero su naturaleza es mucho más nefasta. Los ataques XSS (también conocidos como scripting entre sitios) se refieren a la inserción de etiquetas script maliciosas y de JavaScript en tu página web, lo que puede extenderse en las cuentas de todos los visitantes que visualizan la página en particular en la que se ha insertado.

Para prevenir ataques XSS, asegúrate de que los visitantes no tengan el privilegio (o la oportunidad) de insertar JavaScript o etiquetas script en ningún lugar de tu página web.

7. Contraseñas y protección

Lo mejor es que utilices las contraseñas más complejas posibles para todas tus cuentas y especialmente para la cuenta de administrador de tu página web. No utilices nunca contraseñas fáciles, ya que también suelen ser fáciles de adivinar. No elijas como contraseña el nombre de tu hijo o tu cumpleaños porque los hackers suelen acceder a esta información muy fácilmente.

Asegúrate también de que todo el que tenga acceso a tu página web utilice una contraseña compleja y segura imposible de adivinar. La contraseña débil de un solo usuario puede poner en peligro a toda tu web y a todos sus visitantes.

8. Herramientas de seguridad web

Afortunadamente, existen herramientas especiales que analizan el nivel general de seguridad de tu página web. Una vez hayas tomado el resto de medidas de seguridad que acabamos de exponer, es hora de comprobar la seguridad real de tu página web mediante una de estas herramientas.

Existen muchas herramientas de este tipo disponibles tanto en versiones premium como freemium. Algunas de las herramientas de seguridad más populares son NetsparkerOpenVAS, y SecurityHeaders.

Netsparker te ofrece seguridad infalible frente a inyecciones SQL y ataques XSS, aunque puedes utilizar cualquier otra herramienta que realice acciones similares.

, , , , , , ,

About Linda Firth

As Director at LoveMyVouchers.co.uk, a large part of my role is to ensure that the website meets data protection requirements and is safe and secure for our users. Although these challenges are growing in complexity, it is more important than ever to ensure that adequate processes are in place to protect the data and security of visitors to the site.