Lección 4: Proteja su sitio web

secure site

Como vimos en la lección 3, los atacantes utilizan medios múltiples para piratear sitios web y causar todo tipo de estragos. ¡Buenas noticias! Puede crear un sitio web seguro con una estrategia similar a la de crear un enfoque múltiple de protección.

En esta lección, cubriremos 7 capas principales de defensa: privacidad del dominio, CMS seguro, SSL, servidor de seguridad (firewall en inglés), monitoreo, eliminación/corrección de programas malignos y copias de reserva del sitio web. Esta información verdaderamente puede ser intensa. Piense que esta lección es como un recurso al que puede regresar para seguir descubriendo maneras de agregar capas de protección a su sitio.

Privacidad del dominio

Para asegurar de que su información personal no sea utilizada en correos electrónicos basura (junk mail), correos electrónicos no deseados (spam), llamadas automáticas o robo de identidad, obtenga un dominio con privacidad. Esto garantiza que la información detallada como su nombre, número telefónico y dirección de correo electrónico permanecerá oculta si un robot o pirata informático busca su información de compra del nombre de dominio. ¿Ya tiene un dominio? Puede comprobar si tiene privacidad de dominio aquí

CMS seguros

Si utiliza un sitio web como WordPress, usted ya está utilizando el programa informático del Sistema de Gestión de Contenido (CMS, por sus siglas en inglés) para crear su sitio web. Estos sitios web de CMS pueden ser pirateados cuando agrega temas o extensiones (plugins en inglés) de terceros. Para proteger su CMS, sea altamente selectivo en función a los temas o extensiones de terceros que utiliza. (¡Buenas noticias! Si utiliza el generador de sitios web de GoDaddy, su CMS ¡ya está seguro!)

Consejo Profesional

Agregue una extensión de protección. En WordPress, puede instalar la extensión Sucuri, que aumenta la seguridad de su sitio de WordPress con múltiples funciones gratuitas. Estas funciones incluyen Revisión de Actividades de Seguridad y Monitoreo de Integridad de Archivos (monitorea cambios en su sitio y en sus archivos), Escaneo Remoto de Programas malignos y Monitoreo de Listas Negras. Esta extensión también lo guía por el proceso de la protección.

Certificado de capa de conexión segura (SSL, por sus siglas en inglés)

Otra manera de proteger su sitio web es verificar su sitio con el Certificado de SSL. SSL evita que la información confidencial sea interceptada (como contraseñas, información personal y detalles de pago). Instale un certificado de SSL y aparecerá un icono de candado en la barra del navegador del cliente para mostrarle que está protegido. Recuerde que Google y otros motores de búsqueda recompensan a sitios web con SSL otorgándoles mejor posicionamiento. Por lo tanto, ¡tener SSL es de gran beneficio!

Servidor de seguridad (firewall en inglés)

El servidor de seguridad o firewall es una medida de defensa activa la cual evita que un ataque se aproveche de las debilidades de su sitio web. Los servidores de seguridad son ofrecidos como servicios Premium (por un pago), por lo que su configuración es asistida por el proveedor. (Algunas extensiones afirman ofrecer servidores de seguridad que cualquiera puede configurar por cuenta propia, pero no son muy útiles, ya que simplemente carecen de la capacidad de detectar varios ataques). Existen dos tipos de servidores de seguridad:

  • Servidores de seguridad de aplicaciones web. Estos servidores de seguridad bloquean solicitudes malintencionadas o solicitudes de robots mientras dan prioridad al tráfico bienintencionado. Funcionan entre el visitante de su sitio web y sus servidores de alojamiento. Estos tienden a ser más caros, pero ofrecen mayor protección contra la mayoría de los ataques.
  • Servidores locales de seguridad. Estos funcionan en el mismo servidor de hospedaje e inspeccionan solicitudes entrantes. Esto se ofrece generalmente como un servicio Premium a través de extensiones de seguridad. Sin embargo, éstos pueden reducir la velocidad de su sitio web.

Monitoreo

El monitoreo de protección del sitio web se refiere a revisiones de seguridad automatizadas realizadas en su sitio web a intervalos regulares para detectar anomalías o señales de actividad maligna. El monitoreo también revisa si su sitio web ha sido incluido en la lista negra y le avisa para que se pueda resolver lo antes posible. Sin el monitoreo, se dificultaría saber si hay programas malignos en su sitio web.

Monitoreo de su sitio de GoDaddy

El generador de sitios web de GoDaddy ya está protegido, pero todavía puede ser inyectado con programas malignos en caso de que un pirata informático sea capaz de robar o adivinar su información de acceso. Esto se debe a que el pirata informático ahora tiene acceso al Generador a través de su inicio de sesión, por lo que puede utilizarlo para modificar el sitio web de manera maligna. Afortunadamente, se puede proteger contra este tipo de ataques utilizando dos métodos:

  1. Autenticación de dos factores (2FA, por sus siglas en inglés). Esto requiere un método adicional de autenticación aparte de su nombre de usuario y contraseña habituales, por lo general es un código entregado a través de mensajes de texto (SMS, por sus siglas en inglés) ó de la aplicación Google Authenticator en su teléfono.
  2. Administrador de contraseñas. Un administrador de contraseñas facilita el uso de contraseñas complejas únicas para todas sus cuentas, por lo que usted evita volver a utilizar contraseñas que puedan poner en riesgo su cuenta.

Eliminación/corrección de programas malignos

Las extensiones gratuitas en WordPress ofrecen la eliminación automática de programas malignos, pero no pueden detectar todos los programas malignos. Opte por servicios de eliminación de programas malignos pagados, como Sucuri, que también pueden limpiar sitios web ajenos a WordPress. Es posible que usted mismo pueda limpiar un sitio web infectado, pero, si no se siente seguro con la codificación, se le dificultará diferenciar entre un código maligno y un código legítimo.

Copias de reserva de sitios web

Asegúrese de tener una copia de su sitio web almacenada de manera segura, ya que siempre puede restaurar esta copia de reserva cada vez que ocurra un problema inesperado. Tendrá que hacer una copia de reserva por separado de los datos de su servidor de alojamiento, preferiblemente cuando el servidor se encuentre en una ubicación geográfica diferente. Esto brinda protección en caso de que ocurra un desastre en su ubicación de hospedaje. El plan de continuidad comercial de su marca (BCP, por sus siglas en inglés), debe incluir hacer copias de reserva de sitios web externos–un conjunto de pautas para recuperarse de eventos que interrumpen las operaciones comerciales de su marca. Recuerde, ¡la planificación lo es todo!

¡Al fin! ¡Cubrimos demasiado! Pero, no se preocupe, puede empezar a crear la seguridad de su sitio web paso a paso. En la siguiente lección, le proporcionaremos los recursos para que pueda empezar.