15 agosto, 2018
Contenido
Cada día que pasa trae consigo noticias de una nueva filtración de información personal a través de Internet. Ya sea información de tarjetas de crédito, identificaciones y contraseñas de correo electrónico, fotos personales desnudas de celebridades o incluso datos gubernamentales clasificados de alto secreto, el mundo de los hackers ha democratizado Internet y su falta de seguridad en todos los niveles posibles.
Puede que ahora te preguntes qué tiene que ver esto con tu pequeño blog o sitio web que no lleva información de tarjetas de crédito de los usuarios o fotos desnudas de Scarlett Johansson.
Bueno, los hackers pueden convertir su sitio web en un bot espía malicioso en cuestión de minutos, enviando datos de usuarios sensibles sin que usted se dé cuenta. Peor aún, pueden hackear las bases de datos de su sitio web y destruir o manipular información importante, inyectando su contenido con enlaces maliciosos e incluso secuestrando el servidor de alojamiento para ser utilizado en ataques DDoS.
Pero basta de esta fiesta del miedo. No todo es pesimismo en Internet. Te mostramos algunas medidas de seguridad en sitios web y no convertirse en un objetivo para los vándalos en línea. He aquí un resumen de los pasos más fáciles que puede dar:
Ya sea que su sitio web haya sido construido desde cero por su equipo de desarrollo o que haya elegido crear un sitio en una plataforma de terceros, como propietario del sitio es su trabajo asegurarse de que cada pieza de software que ejecute esté actualizada.
Los proveedores de CMS como WordPress, Joomla trabajan las 24 horas del día tratando de tapar cualquier agujero en sus sistemas y publicar parches regulares y actualizaciones que hacen que su software sea menos vulnerable a los ataques. Asegúrese de ejecutar estas actualizaciones y de tener la última versión compatible, le ayudara en la seguridad web en cualquier momento dado.
Si su sitio utiliza plugins de terceros, realice un seguimiento de sus actualizaciones y asegúrese de que también se actualicen a tiempo. A menudo, muchos sitios incluyen plugins que caen en desuso con el tiempo. Limpie su sitio web de cualquier plugin no utilizado, viejo y no actualizado – son un blanco fácil para los hackers para ser utilizado como una puerta de enlace para entrar en su sitio y causar estragos en él.
Del mismo modo que usted cierra las puertas antes de salir de casa e instala software antivirus en su computadora de escritorio antes de navegar por la web, también debe tener un sistema de seguridad que sirva como la primera línea de defensa de su sitio web contra ataques de hackers. Un Web Application Firewall es la primera línea de defensa. Estas soluciones están diseñadas para inspeccionar el tráfico entrante, proporcionar y eliminar solicitudes maliciosas – ofreciendo protección contra SPAM, ataques de fuerza bruta, inyecciones SQL, secuencias de comandos de sitios cruzados y otras amenazas.
Hasta hace unos pocos años, los cortafuegos o Firewall sólo estaban disponibles como dispositivos de hardware, pero hoy en día unos pocos proveedores de Seguridad web, como (SECaaS) están revolucionando la industria mediante el uso de tecnología de nube para reducir los precios de las soluciones de seguridad que antes sólo se encontraban en las configuraciones a nivel empresarial.
En consecuencia, todos los propietarios de sitios web pueden ahora «alquilar» un cortafuegos de seguridad web basado en la nube, sin comprometerse con dispositivos de seguridad costosos o incluso poseer un servidor de alojamiento dedicado. Mejor aún, estos servicios plug-and-play no requieren que contrate expertos en seguridad ni que intente aprender todos los aspectos de la seguridad web. (La mayoría de nosotros no tenemos tiempo para convertirnos también en expertos en ciberseguridad.
Con cientos de miles de sitios web pirateados cada año, es cada vez más claro que los proveedores de alojamiento no están suficientemente equipados para manejar todas las amenazas de seguridad del sitio web porque francamente la seguridad del sitio web no está dentro de su agenda principal. Ahora los cortafuegos de aplicaciones Web basados en la nube están llenando ese vacío.
HTTPS o Hyper Text Transfer Protocol Secure, es un protocolo de comunicaciones seguro que se utiliza para transferir información sensible entre un sitio web y un servidor web. Trasladar su sitio web al protocolo HTTPS significa esencialmente añadir una capa de cifrado de TLS (Transport Layer Security) o SSL (Secure Sockets Layer) a su HTTP para que los datos de sus usuarios y los suyos propios sean más seguros frente a intentos de piratería informática.
Mientras que HTTPS es una necesidad para todas las transacciones en línea, el resto del sitio web suele estar en HTTP en la mayoría de los casos.
Además del aspecto de seguridad de las cosas, ahora tiene aún más sentido cambiar todo su sitio web a HTTPS para mejorar su ranking de búsqueda simultáneamente.
Sin pensarlo dos veces. Los ataques de fuerza bruta que intentan adivinar combinaciones de contraseñas de nombres de usuario se han multiplicado a un ritmo alarmante en los últimos dos años, con miles de ataques detectados diariamente en la web.
El uso de contraseñas seguras es una manera efectiva de limitar, si no eliminar completamente, la fuerza bruta y los ataques de diccionario. Las contraseñas fuertes no son sólo un requisito para su correo electrónico o transacciones financieras en línea, también son imprescindibles para el servidor de su sitio web, contraseñas de administración y base de datos.
Asegúrese de que su contraseña sea una combinación de caracteres alfanuméricos, símbolos, mayúsculas y minúsculas y que tenga al menos 12 caracteres de longitud para evitar ataques por fuerza bruta.
No utilice la misma contraseña para todos los inicios de sesión de su sitio web. Cambie sus contraseñas regularmente para mantenerlas doblemente seguras. Almacene las contraseñas de los usuarios de forma cifrada. Esto asegura que incluso si hay una brecha de seguridad, los atacantes no tienen en sus manos contraseñas de usuario reales.
Una forma ingeniosa en que los hackers obtienen acceso a los datos de su sitio es yendo directamente a la fuente y hackeando sus directorios de administración.
Los hackers pueden utilizar scripts que exploran todos los directorios de su servidor web en busca de nombres de sorteo como «admin» o «login», etc. y concentrar sus energías en entrar en estas carpetas para comprometer la seguridad de su sitio web. La mayoría de los CMS más populares le permiten renombrar sus carpetas de administración a cualquier nombre de su elección. Elige nombres que suenen inofensivos para tus carpetas de administración que sólo sean conocidos por tus webmasters para reducir en gran medida la posibilidad de una posible violación.
Este es un escenario de hacking tan básico y fácilmente evitable, que es sorprendente cómo millones de sitios web todavía lo ignoran.
La mayoría de nosotros vamos por la vida con la filosofía «No me pasará a mí». Sin embargo, se ha demostrado que esa filosofía no es cierta en el mundo de la seguridad en línea. Un ataque exitoso a su sitio no sólo pone en peligro los datos de los usuarios y su propia información, sino que también puede llevar a que Google y otros proveedores de búsqueda incluyan su sitio en una lista negra, ya que su sitio infectado corre el riesgo de propagar contenido malicioso por toda la Web.
Errar por el lado de la precaución funciona mejor en esta área. Implementar al menos estos pasos básicos de inmediato, para evitar ser un blanco fácil para los hackers maliciosos.