Cómo proteger tu sitio web de hackers y ataques

Productos mencionados
Que la seguridad sea tu misión

Aunque pienses que tu sitio web no es atractivo para los hackers, la realidad es que los ciberataques ocurren en todo momento, en cualquier parte del mundo y sin importar que recibas mil o 1 millón de visitantes al mes.

Para prueba de ello existen ejemplos como el mapa de ciberamenazas en tiempo real de Kaspersky, el cual te recomendamos visitar de vez en cuando para descubrir los riesgos actuales en tu región.

La cuestión es que existen muchos peligros –como el phishing o suplantación de identidad, el robo de datos personales y bancarios y la inyección de software malicioso– que pueden poner en riesgo la inversión que has dedicado a construir tu presencia en internet… y lo peor de todo, dañar permanentemente la imagen de tu empresa ante tus clientes.

Por estas razones queremos compartirte los siguientes consejos y medidas prácticas de seguridad web que puedes implementar en tu página, explicadas a detalle en un webinar impartido por nuestro experto, Luis Azuaje:

Cómo proteger tu sitio web: 7 acciones preventivas contra ataques cibernéticos

  1. Establece contraseñas seguras.
  2. Cambia el usuario “admin”.
  3. Adquiere y activa un certificado https.
  4. Instala un firewall.
  5. Respalda tu sitio web con frecuencia.
  6. Actualiza el sitio (de forma manual o automática).
  7. Elige un buen proveedor de hosting.

1. Establece contraseñas seguras

Aunque parece obvio, con tantas plataformas que utilizamos hoy en día no es raro que por descuido hagamos credenciales de acceso frágiles, que vuelvan vulnerable a nuestro sitio y que los hackers puedan aprovechar para acceder a datos personales, cuentas bancarias o correos electrónicos.

Y es que, de acuerdo con Avast Software, existen tres factores que pueden convertir a tu cuenta en un ‘blanco fácil’ para los piratas informáticos:

  • Nunca cambiar tu contraseña.
  • Utilizar la misma contraseña para varias cuentas. Según Avast, 50% de la población mundial conectada usa la misma contraseña para acceder a varias cuentas.
  • Usar contraseñas fáciles de descifrar (como password o contraseña1234, por ejemplo).

Para evitar esto, Luis Corrons, embajador de seguridad de Avast, recomienda:

  • Crear contraseñas que tengan al menos 16 caracteres.
  • Usar números, caracteres especiales (como $%&#), letras mayúsculas y letras minúsculas.
  • Evitar cualquier palabra relacionada contigo o con la plataforma/servicio que protege la contraseña.

2. Cambia el usuario “admin”

Aquí nos referimos a un asunto común a sitios web de WordPress (o aquellos con un hosting que utiliza un gestor como cPanel) y que consiste en dejar inalterado el usuario de administrador por defecto o “admin”. Pero, ¿por qué es esto un problema?

Dado que el hacker ya sabe que el username de administrador del sitio web es “admin”, solamente tiene que descifrar el password y lo puede conseguir a través de varias técnicas –y con relativa facilidad si no se siguen los consejos del punto #1.

Por un lado, está el fenómeno llamado “ingeniería social”, que utiliza métodos de coerción y engaño (como emails con enlaces engañosos a “sitios legítimos”), o también la exploración de perfiles sociales para obtener datos confidenciales de las personas (como su fecha de nacimiento, el nombre de sus hijos o mascotas, lugares favoritos, etc).

Por otra parte, están los “ataques de fuerza bruta” donde los hackers aplican “métodos de prueba y error” para descifrar el password, ya sea utilizando combinaciones típicas (como “12345” o “password”) o con programas (bots) que ingresan miles de combinaciones automáticamente y en segundos.

Para evitar esto, es importante entrar al panel de administración de WordPress y cambiar el usuario y contraseña desde el inicio.

3. Adquiere y activa un certificado https

El certificado SSL (siglas de Secure Sockets Layer) permite activar el “https” y el símbolo de candado en la dirección URL del sitio web. ¿Y qué significa esto?

En síntesis, el certificado de seguridad codifica (a través de encriptado de doble vía) los datos sensibles que los usuarios introducen en tu página –como números de cuentas bancarias o direcciones–, para que viajen de forma segura a través de internet. De esta manera, dicha información no puede ser vista o interceptada por los hackers.

Protege tu sitio web con un certificado de seguridad

Además de reforzar la confianza del usuario de que está visitando un sitio web seguro, los certificados SSL son un requisito de Google para ayudar al posicionamiento web. Considera también que navegadores como Chrome despliegan una alerta de “No seguro” si no lo tienes, y que puede alejar a clientes potenciales de tu proyecto digital.

Existen varios tipos de certificado de seguridad y todos te ofrecen el más alto nivel de encriptado, así como protección para uno o varios dominios. ¿No sabes cuál es el que necesitas en tu página? Te recomendamos leer este artículo: Tipos de certificados SSL: ¿cuál le conviene más a tu sitio web?

4. Instala un firewall

ComputerHoy.com nos da una descripción muy exacta de qué trata el cortafuegos o firewall : “…es la primera línea de defensa entre un ataque a tu red desde internet; éste debe ser capaz de detener un acceso no autorizado antes de que el atacante pueda llegar a tu red local o a tu computador”.

Recurre al firewall para inspeccionar los programas y códigos maliciosos

Imagínate que un hacker inyecta un comando malicioso (es decir, un malware) en el código de tu sitio, con el fin de engañar a tu página web para que haga algo que no debería hacer, como darle acceso a todos los datos de tus clientes. Esto se conoce como “ataque de inyección” y lo que hace el firewall es detener ese malware para evitar el robo de información.

Muchos de los problemas que tienen que ver con hackeos y ataques al servidor de tu sitio web se pueden resolver fácilmente instalando un cortafuegos. Conoce más en este video de GoDaddy Guides:

5. Respalda tu sitio web con frecuencia

Para evitar el hipotético –y horroroso– caso de un sitio dañado, totalmente “caído” y que no tengas ni idea qué pudo haber ocasionado el fallo (un virus, un hacker o incluso que tú mismo borraras información sin darte cuenta), es importante que tengas respaldos (backups) de tu sitio.

Algunos proveedores de web hosting pueden hacerlo por ti, pero también puedes hacer tus propias copias de seguridad. No importa cuál opción elijas, nunca olvides hacer un backup de la información de tu sitio web, no sólo para protegerte de piratas informáticos, sino también en caso de perder datos si cometes un error mientras configuras tu página.

La ventaja de acudir a tu compañía de hosting es que puede ofrecerte copias de seguridad automáticas que pueden realizarse diariamente o de forma programada.

No pierdas tus datos o te arriesgues a las amenazas cibernéticas. Realiza respaldos de tu sitio web

6. Actualiza el sitio (de forma manual o automática)

Cuando lanzas tu página con ayuda de un constructor de sitios web no tienes que preocuparte por este paso, ya que tu proveedor se encargará de mantener el código y sistemas al día y con el mejor desempeño.

Pero, por otro lado, si usas un gestor de contenido (CMS por sus siglas en inglés) como WordPress, es probable que cuando salga una nueva versión del sistema debas hacer un procedimiento manual para actualizarlo.

Lo mismo pasa con los plugins, que son funcionalidades extra creadas a través de código abierto por otros usuarios del CMS. Y cuando estos programadores detectan alguna brecha de seguridad, el administrador de WordPress te avisa que se ha creado una nueva versión y que debes actualizarla para prevenir potenciales ataques.

Aunque la mayoría de estos updates los puedes instalar con un clic, algunos necesitan de configuraciones adicionales a nivel código. En ocasiones esto requiere de conocimientos de programación y tiene el riesgo de que, si no se hace bien, puede desestabilizar la estructura o funcionalidad de tu sitio.

Afortunadamente, si cuentas con un servicio como Hosting WordPress de GoDaddy nuestro equipo se encarga por ti de mantener tus plugins y CMS actualizados. Así, solamente te ocupas de mantener el contenido al día y te olvidas de temas técnicos.

7. Elige un buen proveedor de hosting

Puedes tomar muchas medidas para proteger tu sitio, pero ¿qué pasa si tu servicio de hosting o alojamiento web es víctima de un ataque cibernético?

Imagínate recibir un mensaje del proveedor informándote que sus servidores recibieron un ataque y, por consecuencia, se perdieron datos de tu página web. Una verdadera pesadilla…

En ese sentido, la respuesta más contundente a la pregunta de “¿cómo protejo mi página web” es contar con el respaldo de una compañía grande que, además de tener implementados sistemas de seguridad avanzados en sus servidores, se haga responsable ante cualquier amenaza, por mínima que ésta sea.

Y como valor agregado, busca un proveedor de hosting que te ofrezca un excelente servicio de soporte técnico y un tiempo de actividad del 99.9%, es decir, una garantía de que sus servidores están operativos prácticamente a tiempo completo y sin incidentes en los últimos meses.

Relacionado: 6 cosas que deberías buscar en un proveedor de hosting.

BONUS. Medidas avanzadas de seguridad web

Existen acciones adicionales que, aunque requieren conocimientos un poco más avanzados, cualquier administrador de un sitio web puede implementarlas por su cuenta a fin de mitigar la posibilidad de ataques cibernéticos. Las más comunes son:

  • Desactivar la edición de archivos. Desde el administrador de archivos (File Manager) de cPanel en WordPress, ubicamos el directorio public_html. Damos clic en “configurar” y en el archivo wp-config.php agregamos unas línea de código con la siguiente redacción: «//disallow file edit» y «‘DISALLOW_FILE_EDIT’, true».
  • Deshabilitar la navegación de archivos. Del mismo modo, vamos al File Manager de cPanel, ubicamos el archivo .htaccess y en la parte superior del archivo insertamos la línea de código «Options -Indexes».
  • Realizar un escaneo externo. Existen páginas como Sucuri SiteCheck con un escáner gratuito que nos ayuda a comprobar si nuestra página está infectada con malware, virus o códigos maliciosos conocidos. Además, nos permite verificar errores como software desactualizado, o si nuestro sitio web está en listas negras debido al malware.

Aunque estas medidas se pueden aprender de manera autodidacta, lo recomendable es hacer un backup antes de practicarlas porque, de colocar una línea de código mal redactada o en el lugar equivocado, el sitio puede fallar. O en su defecto, dejar que lo haga un profesional de Seguridad Web de tu proveedor de hosting.

Conclusión: cómo proteger mi página web de hackers y ataques cibernéticos

Es importante tener en cuenta que nadie es invencible en línea y existen hackers muy sofisticados allá afuera. Por eso, considera hoy estas medidas como un punto de partida pues, si las pasas por alto, es probable que el trabajo y la dedicación que pongas en tu sitio web sean una pérdida de tiempo.

Para tranquilidad de empresas y emprendedores digitales, existen proveedores como GoDaddy que te ofrecen planes de Seguridad Web donde, además de instalar y administrar tu certificado SSL, evitan vulnerabilidades en tu página web con elementos como:

 

  • Escaneos diarios para detectar y eliminar malware del código de tu sitio.
  • Backups del contenido de tu sitio web en varios servidores, para que siempre puedas recuperarlo en caso de que algo suceda.
  • Prevención de ataques de denegación de servicio (DDoS). Básicamente, estos consisten en enviar muchas solicitudes “falsas” a un sitio web para derribarlo, y cada minuto que el sitio web deja de funcionar puedes perder clientes y ventas.
  • Firewalls y monitoreos 24/7 para evitar que los piratas informáticos puedan insertar códigos maliciosos en tu página o robarse tus bases de datos.

Para finalizar, checa este resumen de 1 minuto sobre las principales amenazas cibernéticas y cómo proteger tu sitio web con la suite de Seguridad de GoDaddy:

Relacionado: [Checklist] Cómo hacer que mi sitio web sea seguro.

Imagen de Matthew Henry via Unsplash

Fernando Paul Lara Galicia es Jefe de Información y Columnista en la sección Dinero de Excélsior, y Editor de Tecnología para Grupo Imagen. También es conductor de Dinero y HackerTV en ExcélsiorTV. Colabora en Enfoque Financiero con Alicia Salgado, 100.1 FM. Es egresado de la Licenciatura en Periodismo y Comunicación Colectiva por la ENEP Acatlán, UNAM.