Seguridad incorporada desde el primer día para prevenir ataques al sitio web

La seguridad del sitio web debe estar en la mente de todos los propietarios de sitios. No importa si tu sitio web es grande o pequeño. Si es importante para tu negocio, necesitas mantenerlo seguro. Como propietario de un sitio web, y principalmente propietario de un sitio WordPress, he creado una lista de verificación que reviso cada vez que creo un nuevo sitio web para mí o para un cliente. Me gustaría compartirlo contigo con la esperanza de que puedas aprender algunas ideas nuevas. Veamos lo que se necesita para asegurar un sitio web.

Elegir un servidor web seguro

No hace falta decirlo, pero la seguridad comienza con tu proveedor de hosting web. He usado de todo, desde ‘hágalo usted mismo’ hasta ‘hosting a nivel de conserjería’. El truco está en encontrar el nivel que necesitas y el soporte con el que te sientes cómodo.

Comprueba su soporte

Lo primero que hago cuando considero un nuevo proveedor de hosting web es comprobar su soporte y tiempo de respuesta. Me registro para una prueba gratuita, creo un sitio web y luego hago ping al soporte para hacer una pregunta. La rapidez con la que responden y lo bien que entienden la pregunta me da pistas sobre lo que puedo esperar de ellos si me alojo con ellos.

Comprueba sus características de seguridad

Luego reviso su sitio web y planes de alojamiento para ver qué herramientas de seguridad y características proporcionan. Busco cosas esenciales como un certificado SSL para cifrar y proteger los datos de mi sitio web, privacidad del dominio para ocultar mi información personal de las bases de datos públicas de Whois, verificación en 2 pasos para proteger mi sitio web del acceso no autorizado, copias de seguridad distribuidas geográficamente para tener una seguridad copia de mi sitio web en caso de que algo salga mal.

Otras medidas de seguridad clave que me gustaría que mi proveedor de alojamiento web tuviera implementadas es un firewall de aplicaciones web, un software que se encuentra frente a mi sitio web y lo protege del tráfico malicioso conocido, para mantener mi servidor host a salvo de exploits de software, DDOS y protección contra ataques de fuerza bruta y la opción de actualizaciones automáticas a las últimas versiones de PHP y WordPress para mantener tu sitio web a salvo de malware.

Si el hosting proporciona aún más herramientas de seguridad, sería aún mejor. Por ejemplo, además de todas estas características, disponibles en la plataforma SiteGround, también ofrecen un servicio de Site Scanner desarrollado internamente y un plugin gratuito de SiteGround WordPress Security para asegurarse de que su sitio web sea lo más seguro posible.

Revisa su blog

El paso 3 al seleccionar un proveedor de hosting web es siempre leer las últimas 5 entradas en su blog. 

  • ¿Son recientes?
  • ¿Hablan de seguridad?
  • ¿Te parecen útiles las entradas del blog?

No, no todas las publicaciones del blog van a ser sobre seguridad, pero será mejor que puedas encontrar una reciente. El panorama de la seguridad cambia rápidamente, por lo que deben publicar regularmente.

Comprueba su precio

Inicialmente, reviso sus niveles de precios y averiguo dónde estará mi sitio. El precio es lo último que reviso porque si las dos primeras casillas no están marcadas, el precio no importa. Podrían regalarlo y no lo usaría.

Construye tu sitio web de forma segura desde el principio

Una vez que hayas establecido una base segura para tu sitio web es hora de comenzar a diseñarlo y construirlo. En cada paso, debes asegurarte de que la seguridad esté “integrada” y no “atornillada”.

La seguridad está incorporada cuando lo piensas antes de comenzar a construir tu sitio web.

La seguridad está activada cuando construyes todo tu sitio web y luego decides añadir un plugin centrado en la seguridad para cubrir tus bases.

“Horneada” siempre es mejor.

¿Qué significa seguridad “horneada”?

Instala un certificado SSL tan pronto como configures el sitio web

No esperes hasta que esté listo para implementar tu sitio web antes de recordar instalar tu certificado SSL. En estos días, un sitio web seguro está a solo unos clics de distancia. Tómate el tiempo para hacerlo ahora y luego asegúrate de forzar todo el tráfico a ser https después de instalarlo. Para aquellos usuarios que alojan con SiteGround, su Site Tools facilita la configuración y el cumplimiento de SSL. Solo unos pocos clics y ya está en el negocio. 

Establece una política de contraseña segura antes de empezar a añadir usuarios

Las contraseñas son la cerradura de la puerta principal de tu sitio. Cuando construyas tu sitio, coloca un candado fuerte en la puerta principal requiriendo que todos los usuarios usen contraseñas seguras. Hacer esto antes de permitir que los usuarios comiencen a visitar tu sitio asegurará que ningún usuario configure contraseñas débiles. 

Requiere verificación en dos pasos (2FA) para cualquier usuario que tenga derechos de nivel de administrador en el sistema

La verificación en dos pasos (2FA) es el cerrojo de la oficina interna de tu sitio web. Sí, una contraseña segura es importante para que cualquiera acceda al sitio. Pero para acceder a cosas como información financiera o administración de usuarios, también quieres un cerrojo fuerte. Mantén tu sistema seguro implementando 2FA para todos tus administradores. El plugin SiteGround Security hace que la configuración de 2FA sea muy sencilla.

Configura un sistema de copias de seguridad que regularmente haga copias de todo tu sitio web y las almacene de forma segura

Necesitas un sistema de copia de seguridad de 30 días implementado desde el día 1. No 1 día, no 7 días, 30 días. La razón es que si tu sitio es hackeado, es posible que no lo notes de inmediato. Una vez que lo notes, querrás limpiar tu sitio y una de las mejores formas de hacerlo es restaurar tu sitio desde una copia de seguridad limpia. 

El Site Tools de SiteGround proporciona una herramienta intuitiva para programar copias de seguridad nocturnas y restaurarlas cuando sea necesario.

Mientras hablamos de copias de seguridad, no olvides forzar una copia de seguridad antes de cualquier actualización, rediseño importante del sitio o instalación de un nuevo plugin. Nunca está de más tener una copia de seguridad nueva en caso de que las cosas salgan mal.

Adherirse al principio de privilegio mínimo

Antes de comenzar a permitir que los usuarios entren en tu sistema, piensa en los roles que desempeñarán. Un rol es un conjunto de permisos o privilegios y deseas otorgar a cada usuario el nivel mínimo absoluto de privilegios que necesitan para usar tu sitio.

Hay varios buenos editores de roles para WordPress y te sugiero que instales uno, aprendas a usarlo y luego audites los roles que tienes en tu sitio para asegurarte de que tienen solo los privilegios que necesitan para usar tu sitio.

De forma regular, al menos una vez al año, revisa estos privilegios para asegurarte de que siguen siendo válidos y para asegurarte de que no se haya otorgado un privilegio que no sea necesario para ningún rol.

La mayoría de los usuarios no están intentando hacer cosas malas, pero tenemos que suponer que lo harían si pudieran. Adherirse al principio de privilegio mínimo ayudará a asegurarse de que los malos actores, o los usuarios curiosos, no puedan hacer cosas en tu sitio que se supone que no deben hacer.

Usa solo software de una fuente de confianza

En el desarrollo de software, como en la construcción de una casa, la reputación de tu proveedor es fundamental para el éxito de tu proyecto. Si utilizas un proveedor de tarifas reducidas para los materiales de tu casa, todo el proyecto se verá afectado. Peor aún, te costará más arreglar estos problemas que simplemente comprar buenos materiales para empezar.

Construir tu sitio web con materiales de calidad como plugins y temas de proveedores acreditados generalmente te costará dinero a corto plazo. Sin embargo, saber que tienes empresas respaldando sus productos y actualizándolos cuando surgen problemas vale la pena.

Sí, puedes elegir un plugin o tema gratuito para crear una función crítica de tu sitio web. Sin embargo, ¿qué haces si descubres que hay un fallo de seguridad? Peor aún, ¿qué haces cuando descubres ese defecto y luego descubres que el autor ha abandonado el proyecto? En ese momento tienes 2 opciones, ninguna de las cuales es buena.

  1. Contratar a un desarrollador para arreglar el fallo de seguridad.
  2. Eliminar el plugin, encontrar otro que haga lo mismo, implementarlo y hacer los cambios necesarios en tu proceso.

Ambas pueden ser propuestas costosas que podrían evitarse simplemente eligiendo sabiamente al principio.

SiteGround analizó recientemente los datos de muchos sitios web comprometidos. Lo que encontraron fue que la mayoría de esos sitios web estaban comprometidos porque tenían plugins sin parchear que tenían fallos de seguridad. La mayoría de las veces eran versiones gratuitas de plugins de pago descargados de fuentes no confiables. Descarga solo plugins y temas de sitios de confianza como WordPress.org o proveedores de confianza.

El repositorio de plugins de WordPress es una fuente confiable. WordPress.org ha implementado un proceso de revisión, tanto de software humano como de escaneo, para ayudar a filtrar los plugins que tienen posibles problemas de seguridad o violan la política de WordPress.

Escanea tu sitio con regularidad

Al igual que construyes un sistema de seguridad en tu casa, querrás configurar un escáner de seguridad para tu sitio web tan pronto como lo construyas. Los escáneres de seguridad revisan tu sitio tanto internamente como externamente para asegurarse de que no hay vulnerabilidades conocidas. También revisará tu sitio web en busca de virus. Ningún escáner de seguridad es perfecto, al igual que ningún sistema de seguridad para el hogar es perfecto. Pero tu sitio web es más seguro con uno.

Un buen escáner buscará vulnerabilidades de Cross Site Scripting, entre otras cosas. Estas vulnerabilidades pueden permitir que tu sitio sea utilizado en el ataque de otros sitios o ataques al usuario final.

SiteGround tiene un gran sistema de escaneo disponible. Recibo correos electrónicos regulares diciéndome qué sitios ha escaneado y que están todos limpios o que hay un problema que necesito resolver… de inmediato.

Ten cuidado con las estafas de phishing relacionadas con tu sitio

Una vez que has construido una nueva casa, no le das las llaves a nadie que te las pida, incluso si dice tener una buena razón para querer entrar. Del mismo modo, debes asegurarte de que si recibes un correo electrónico que dice que es de tu sitio, no haces clic automáticamente en el enlace.

Debes saber cada correo que tu sistema es capaz de enviar. Cuando recibes uno que no recuerdas haber configurado, debes investigarlo. No hagas clic, empieza a mirarlo. Comprueba los encabezados, mira la URL exacta a la que van los enlaces. Lo más importante es poner en cuarentena el correo electrónico con tu software de detección de virus.

Los correos desconocidos que pretenden provenir de tu sitio son solo otra forma en que los malos actores intentan ingresar a tu sitio. Estos ataques de phishing provienen de servidores que no están bajo tu control, por lo que no puedes detenerlos. Sin embargo, puedes tener en cuenta que cuando los recibas, los elimines. En casi todos los casos, si no hace clic, el correo electrónico en sí no puede hacer ningún daño.

Herramientas que utilizo habitualmente para crear seguridad en mis sitios

Mantener un sitio web de WordPress seguro no tiene por qué ser un trabajo a tiempo completo si velas por su seguridad desde el principio. Para hacer esto, hay un par de herramientas que uso en casi todos los sitios web de WordPress que tengo.

El plugin de seguridad de SiteGround es el primer plugin que instalo en cualquier sitio web nuevo que pongo en marcha. Lo instalo, instalo un certificado SSL y configuro todo para que sea seguro antes de hacer cualquier otra cosa. Si esta parte está bien hecha, todo lo demás es más fácil. 

El plugin SiteGround Optimizer es una excelente manera de hacer que mi sitio sea más rápido, pero también es donde puedo marcar la casilla de verificación “HTTPS Enforce”. De esta manera, todo el tráfico en mi sitio pasa por HTTPS incluso si no lo era originalmente. Tener un certificado SSL es importante, aplicarlo en todo el tráfico es igualmente importante.

Site Tools de SiteGround tiene muchas opciones excelentes para facilitar la administración de un sitio web. La herramienta que utilizo para configurar las cosas es la herramienta de copia de seguridad. Configurando SiteGround Security y SiteGround Optimizer pongo mis cimientos y creo una copia de seguridad. Esta es mi alternativa en caso de que estropee algo mientras creo mi sitio.

Luego, antes de instalar cada plugin o tema, creo una nueva copia de seguridad. Llamo a estas copias de seguridad “ANTES” + el nombre del plugin o tema. De esta manera puedo retroceder a cualquier punto del proceso.

En conclusión

Si pones una base segura para tu sitio web y luego piensas en la seguridad en todo momento, puedes estar tranquilo por la noche, sabiendo que tu sitio es lo más seguro posible. Ningún sitio web, sin embargo, es a prueba de balas. Por lo tanto, el último paso es crear un plan de recuperación ante desastres. ¿Qué pasos debes seguir cuando tu sitio ha sido hackeado?

El plugin de seguridad de SiteGround tiene una serie de pasos que puedes seguir para esa situación. No es un plan completo de recuperación ante desastres, pero cuando lo combinas con 30 días de copias de seguridad, estás en camino de tener uno.

Cal Evans

Evangelista PHP

Una de las personas más admiradas de la comunidad PHP, que ha dedicado más de 16 años a construir la increíble comunidad PHP y asesorar a la próxima generación de desarrolladores. Nos sentimos extremadamente honrados de que él también sea un amigo muy especial de SiteGround.

Iniciar discusión

Artículos relacionados

Ha llegado el momento de practicar