Cómo mantener tu sitio seguro con el servicio de seguridad de Site Scanner (Webinar + Preguntas frecuentes)

A medida que los hackers se vuelven cada vez más ingeniosos, proteger tu sitio web es un proceso continuo. Para ayudarte a aumentar la seguridad de tu sitio web, recientemente hemos mejorado nuestro servicio adicional Site Scanner con nuevas funciones y hemos introducido un plan Premium para la máxima seguridad del sitio web. Para ofrecer más información sobre esta mejora del servicio hemos realizado un webinar en vivo (en inglés) con nuestro líder de Productos y Tecnología, Daniel Kanchev. En él, nos explicó cómo la última actualización de Site Scanner mejorará la seguridad de tu sitio y respondió a vuestras preguntas más frecuentes. Si no tuviste la oportunidad de asistir, ahora puedes ponerte al día con la grabación de nuestro webinar en vivo de Site Scanner en YouTube. También resumimos algunas de las respuestas a vuestras preguntas más populares, así como las que no tuvimos tiempo suficiente para responder durante el webinar en vivo.

¿Por qué deberías proteger tu sitio web en primer lugar?

Contrariamente a la creencia popular, todos los sitios web (grandes o pequeños) son objetivo de ataques de hackers. Al final del día, a los atacantes no les importa si tienes un sitio web corporativo o una gran tienda de eCommerce, si tienes un par de cientos de usuarios o cientos de miles de visitantes. Su objetivo es maximizar el impacto del ataque, causando daños tanto a tu empresa como a tus usuarios. Algunos de los males que causan incluyen el robo de datos de tarjetas de crédito, el envío de e-mails no deseados, el alojamiento de malware en tu sitio, el almacenamiento de archivos en tu cuenta, etc.

La conclusión es que todos pueden ser un objetivo y verse afectados. Por eso es importante saber cómo proteger tu sitio web. En SiteGround, somos fanáticos de la seguridad de los sitios web alojados en nuestra plataforma. Estamos adoptando un enfoque multinivel para asegurar tus sitios en los niveles de infraestructura, servidor y aplicación, pero dado que la seguridad de un sitio web también es responsabilidad de cada propietario de un sitio web, constantemente agregamos nuevas características y servicios para ayudarte en este proceso y ahorrarte tiempo, esfuerzo y dinero, porque lidiar con las secuelas de un ataque al sitio web lleva tiempo, genera pérdidas y requiere ciertas habilidades técnicas.

¿No se ocupa SiteGround de la seguridad de mi sitio web?

SiteGround ha adoptado un enfoque “la seguridad primero” en nuestros servicios y estamos cuidando de manera integral los sitios web alojados en nuestra plataforma. Estas son algunas de las cosas que hacemos:

Medidas generales de seguridad del sitio web

• El aislamiento de la cuenta de hosting asegura que tu sitio esté protegido y no se vea afectado en caso de que otro sitio web en el mismo servidor sea hackeado. Aisla tu sitio web de todos los demás sitios web. Si el sitio web de otro cliente es hackeado, esto no afectará a tu sitio web. Sin embargo, es bueno tener en cuenta que varias aplicaciones dentro del mismo sitio web (por ejemplo, en diferentes carpetas o subdominios del mismo sitio web) necesitarán un poco más de atención, ya que comparten el mismo espacio protegido aislado. Hackear una de ellas puede llevar a la explotación de la otra aplicación. Por lo tanto, es una buena idea proteger todos tus sitios con contraseñas seguras, y nuestro plugin SiteGround Security para sitios web de WordPress, por ejemplo.
• Las reglas de Web Application Firewall (WAF), escritas por nuestros expertos en seguridad, evitan que tu sitio sea hackeado debido a un agujero de seguridad en un plugin, tema, etc. Escribimos estas reglas inteligentes de firewall para un gran porcentaje de plugins, temas y otras aplicaciones de WordPress.

• El sistema anti-bots inteligente de IA analiza todos los servidores, sitios web y tráfico, y bloquea las solicitudes de sitios web ilegítimos, o muestra un CAPTCHA, cuando no está 100% seguro de que las solicitudes sean legítimas. Nuestro sistema anti-bot de IA también se encarga de los ataques de fuerza bruta.

• Copias de seguridad distribuidas geográficamente para tener tus datos disponibles de forma segura en otra ubicación, en caso de que algo le suceda a tu servidor y centro de datos.

• Monitorización 24h de los servidores por nuestros administradores de sistemas experimentados para prevenir ataques de seguridad, mitigar DDOS y reaccionar de manera oportuna contra cualquier amenaza conocida o desconocida.

Medidas de seguridad específicas de WordPress

• Ofrecemos actualizaciones automáticas del núcleo y los plugins de WordPress para asegurarnos de que tu sitio web esté actualizado y sea seguro.

• Hemos desarrollado un plugin de seguridad gratuito para WordPress disponible tanto para clientes como para no clientes: el plugin SiteGround Security. Te permite añadir capas adicionales de seguridad a tu sitio web y aplicación.

¿Por qué necesitas entonces nuestro servicio de seguridad Site Scanner?

Incluso con todas las medidas de seguridad mencionadas anteriormente, siempre existe la posibilidad de que tu sitio sea hackeado por un atacante que haya encontrado una manera de acceder al mismo.

Imaginemos que estás conectado a una red wifi pública y estás accediendo a tu cuenta de FTP desde ella. Si el hacker está en la misma red wifi y es una red abierta, puede rastrear el tráfico y ver tu nombre de usuario y contraseña. Este es solo uno de los numerosos ejemplos de cómo los atacantes pueden “entrar” por la puerta trasera de tu sitio web.

Es por eso que nuestro Site Scanner es útil – incluso si algo le sucede a tu sitio, te notificará sobre el problema y podrás reaccionar, ya que:

• Comprueba regularmente las amenazas de los sitios web y detecta malware
• Te envía oportunamente alertas y notificaciones de amenazas 
• Te da herramientas para reaccionar si tu sitio está siendo atacado (NUEVO)

Site Scanner es un gran complemento a todo lo demás que hacemos, porque te da visibilidad y control si algo sospechoso está sucediendo en tu sitio web, y te proporciona un mecanismo para una reacción oportuna para limitar el alcance de un ataque.

Preguntas frecuentes sobre cómo funciona Site Scanner para proteger tu sitio web

Con la última actualización de Site Scanner, ofrecemos dos planes de Site Scanner – Básico y Premium que proporcionan a tu sitio web varias características de seguridad. Aquí encontrarás las respuestas a las preguntas más frecuentes sobre estas características:

¿Con qué frecuencia se ejecuta Site Scanner?

Ambas versiones del servicio de seguridad Site Scanner ejecutan escaneos diarios de las URL rastreables, mientras que la versión Premium incluye escaneos diarios automatizados de los archivos cargados para ese sitio web.

¿Site Scanner escanea también los subdominios, o solo el sitio web principal?

La parte de Site Scanner que abre el sitio web en un navegador y navega por las páginas funciona para el nombre de dominio para el que solicitaste el servicio. Si has solicitado un Site Scanner para dominio.com, escaneará las páginas de este sitio web. Si tienes subdominios como blog.dominio.com, Site Scanner no los escaneará de esta manera. El servicio solo abrirá el sitio web principal en un navegador y lo escaneará.

En el plan Site Scanner Premium, los escaneos de archivos funcionarán para todos los subdominios que tengas como parte de este sitio web. Esto se debe a que, desde el punto de vista de la estructura de carpetas, todas las carpetas HTML públicas (las carpetas raíz web de los sitios web) están en un solo sitio.

¿Site Scanner puede escanear archivos, así como index.php, .htaccess.txt? ¿Cómo funciona con sitios HTML antiguos?

No importa si es un archivo PHP, .html, CSS, JavaScript, Python, Pearl, Go u otro tipo de archivo, el archivo se escaneará. Nuestro Site Scanner escanea y busca patrones maliciosos en todo el sistema de archivos, sin importar qué tipo de archivos hay en las carpetas.

Si tienes un sitio HTML, lo más probable es que no seas objeto de ataques con tanta frecuencia en comparación con un sitio web dinámico; sin embargo, los sitios web HTML aún pueden ser pirateados y se puede insertar código malicioso en el HTML. Por ejemplo, si tienes un index.html, alguien puede inyectar JavaScript malicioso en esas páginas html, pero Site Scanner las detectará.

¿Site Scanner afecta la velocidad del sitio web o el uso de CPU?

Site Scanner es ligero y consta de dos partes principales. La primera es el escaneo desde la perspectiva del navegador, y se ejecuta en una infraestructura diferente, no en tu servidor. Todos los días, abre tu sitio web y navega a través de algunas páginas, generando alrededor de 10 o 15 visitas por día, lo que es bastante poco y puede ignorarse. En segundo lugar, están los escaneos de archivos y los escaneos de carga de archivos. Estas son cosas que se ejecutan en tu servidor de alojamiento, pero son ligeras y consumen muy poco tiempo de CPU. Por lo tanto, ni la velocidad de carga del sitio web ni el uso de CPU se ven afectados por Site Scanner.

¿Site Scanner es marca blanca?

Si estás vendiendo servicios, tus usuarios finales verán la interfaz de Site Scanner dentro de Site Tools (es marca blanca de esa manera), pero no recibirán los informes por email. Estos informes se entregarán sólo al propietario del sitio web (el cliente de SiteGround que es propietario del sitio web). Tus clientes también podrán usar la opción de cuarentena, podrán ver el historial de escaneos, ya que estos también son marca blanca.

¿Cómo activar Site Scanner?

Puedes simplemente iniciar sesión en tu Área de Cliente de SiteGround > Marketplace > Servicios de hosting > Servicios adicionales y seleccionar Site Scanner. Luego verás la tabla comparativa entre los planes Básico y Premium para elegir, junto con sus respectivos precios.

Site Scanner versus plugin SiteGround Security para WordPress

Site Scanner protege tu sitio web detectando amenazas, ataques y vulnerabilidades, te envía notificaciones y te da herramientas para reaccionar. El plugin SiteGround Security, por otro lado, te da la capacidad de aumentar el nivel de seguridad de tu sitio web de WordPress colocando más reglas de firewall, por ejemplo, puedes habilitar 2FA, bloquear una dirección IP que está intentando acceder a tu sitio web demasiadas veces, etc. 

Si bien el plugin aumenta la seguridad de tu sitio web de WordPress, Site Scanner también funciona para sitios web que no son de WordPress. Si tienes un sitio web de WordPress, te recomendamos que consigas el plugin para aumentar la seguridad de tu sitio y que también añadas Site Scanner para tener la tranquilidad de que si algo sucede, serás notificado y serás capaz de reaccionar fácilmente y a tiempo a través de la interfaz de Site Scanner.

¿Funciona 2FA para los usuarios de contenido en WordPress?

En el plugin SiteGround Security, 2FA solo se puede habilitar para usuarios con privilegios elevados, como administradores, editores, etc. Una vez que habilites 2FA, estos usuarios tendrían que completar un token, generado en su aplicación Google Authenticator, para poder proceder con el proceso de inicio de sesión.

Definitivamente recomendamos habilitar 2FA para tus usuarios registrados. Lo único que debes tener en cuenta es que esto puede requerir que dediques más tiempo a los usuarios finales, cuando no tienen acceso a su teléfono/dirección de e-mail.

Al final del día, depende de tu negocio: si deseas que tus clientes tengan acceso fácil a tu sitio web y a la información que proporcionas, no tiene mucho sentido habilitar 2FA. Si el sitio web proporciona acceso a información confidencial que debe protegerse, entonces tiene mucho sentido habilitar 2FA para los usuarios finales del sitio web.

¿Tiene SiteGround algo similar a la función lista de bloqueo “Limitar intentos de inicio de sesión”?

Tenemos esta función en el plugin SiteGround Security y ha demostrado ser efectiva para prevenir ataques de fuerza bruta.

¿Puedes usar el plugin Site Scanner y SiteGround Security si tu sitio web está alojado en otro lugar?

Nuestro servicio Site Scanner solo se puede usar para sitios web alojados en nuestra plataforma. Sin embargo, el plugin SiteGround Security se puede usar para cualquier sitio web de WordPress, independientemente de tu proveedor de hosting web, por lo que instalarlo es lo mínimo que puedes hacer por la seguridad de tu sitio web de WordPress.

¿Cuál es la mejor manera de evitar que los visitantes o bots envíen emails que parecen provenir del dominio de tu sitio web?

Cuando los atacantes falsifican el campo ‘De’ de una dirección de e-mail, eso se llama spoofing de e-mail. No hay forma de evitarlo por completo, pero puedes limitarlo. Para hacerlo, debes especificar en la zona DNS de cada uno de tus dominios qué servidores de correo/IP están autorizados a enviar e-mails en nombre de ese dominio creando estos registros DNS: SPF, DKIM, DMARC. De esta manera, los servidores de correo de los destinatarios podrán distinguir mejor si los correos son legítimos, cuáles fueron enviados desde tus buzones, o cuáles son intentos de phishing.