Seguridad en Internet: Cómo proteger su página web
La Seguridad en Internet es más necesaria ahora que nunca, debido al aumento significativo de los ataques a sitios web que crece cada año. Según la revista Security, en promedio, cada 39 segundos un hacker efectúa un ataque.
Esto demuestra lo crucial que es fortalecer la seguridad de tu sitio y protegerlo de todas las amenazas existentes y potenciales. Así que veamos algunos consejos de seguridad.
7 Consejos de seguridad en Internet para proteger tu sitio web
1. Instalar el Web Application Firewall
Si deseas aumentar la seguridad en Internet para tu sitio web y salvarlo de posibles amenazas y virus, la instalación de un Firewall, o cortafuegos de aplicaciones web, debería ser tu prioridad número uno.
La forma en que
funciona un cortafuegos de aplicaciones web es evaluando el tráfico de su sitio
a nivel geográfico y de comportamiento. Luego también examina la información
solicitada por el visitante.
Así que, basado en estos y otros criterios, el firewall sólo
permite el tráfico legítimo y bloquea el tráfico malicioso o sospechoso.
Hay muchos proveedores de cortafuegos de aplicaciones web. Personalmente cuando trabajo con sitios que no poseen un gestor de contenidos con WordPress, suelo implementar Cloudflare.
Se trata de un servicio CDN (cloud delivery network), que además de aumentar la velocidad de carga y estabilidad de nuestra web, también posee un firewall propio.
Pero, en caso de trabajar con un sitio web con un gestor de contenidos WordPress, vamos a necesitar del aporte de un plugin de seguridad que nos proporcione un firewall actualizado.
Porque estamos
trabajando con un sistema que, si bien posee una gran comunidad de
desarrolladores trabajando con él, también existe la parte antagónica, que
trabaja duro y a diario para dañar los sitios desarrollados con este fantástico
CMS.
Para este caso suelo recomendar Wordfence, pero existen otros plugins muy buenos que también pueden reforzar la seguridad en Internet.
2. Migrar a HTTPS
Hyper Text Transfer Protocol Secure (HTTPS) es altamente
recomendado. Especialmente si realizas negocios en línea que requieren que los
clientes hagan transacciones en el sitio.
Esto se debe a que los hackers y secuestradores pueden
deslizarse en la transacción y monitorear el proceso. De esta forma, es
probable que obtengan datos altamente sensibles, como números de cuenta o datos
de tarjetas de crédito.
Para evitar esto debemos implementar un certificado SSL. Aprovechando las capas de cifrado como TLS (Transport Layer Security) y Secure Sockets Layer (SSL), este encriptará todo el proceso de transacción. Entonces nadie podrá infiltrarse en tus transacciones y robar datos o cerrar el proceso.
Cualquier página web puede implementar este certificado, e incluso es aconsejable porque Google da prioridad en los resultados de búsqueda a aquellos sitios que lo tengan. Pero en un sitio web eCommerse poseer un certificado SSL es imprescindible, para proteger las transacciones que requieren la comercialización de sus productos.
Hasta hace un par de años instalar un certificado SSL significaba un gasto, ya que para adquirirlo debías comprarlo. Si bien existen diferentes tipos de certificados SSL, hoy en día gracias a tecnologías como Let´s Encrypt podemos instalar un certificado gratuito. Estos pueden cumplir al menos con los requerimientos básicos y así proteger el tránsito de información privada de los usuarios en nuestro sitio web.
3. Utilizar contraseñas seguras
Aunque este consejo es sencillo de aplicar, se siguen utilizando contraseñas muy vulnerables que pueden verse comprometidas en pocos minutos. Muchas personas usan las palabras del diccionario para ataques de Fuerza Bruta, como sus contraseñas. Esto es muy peligroso debido a los ataques donde la contraseña se debilita con tentativas múltiples de conexión. En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar la correcta.
Por lo tanto, asegúrate de tener una contraseña extremadamente fuerte para el back-end de su sitio web, de forma que no pueda ser fácilmente descifrada. Aquí hay algunas practicas que es importante tener en cuenta al configurar la contraseña:
La contraseña debe tener más de ocho caracteres
No considerar las palabras del diccionario para ataques de Fuerza Bruta
Combinar letras mayúsculas y minúsculas, cifras y caracteres especiales
Evitar el uso de palabras relacionadas con información personal
Cambiarla periodicamente
Sólo se tarda unos segundos o minutos como máximo en descifrar una contraseña mal creada, así que asegúrate de usar los puntos mencionados anteriormente para evitar que tu seguridad en Internet se vea comprometida.
4. Validar los formularios
En todo sitio web tendremos al menos un formulario. Esta
herramienta es una excelente puerta de entrada para los
hackers si no ponemos reglas estrictas. Debemos solicitar información en forma
adecuada para evitar que por esta vía se
cuelen los hackers, malwares o cualquier tipo de robots.
Para lograr esto necesitamos implementar una serie de
validaciones en nuestros formularios.
Un ejemplo de esto sería: que a un campo de email no se
pueda enviar nada sin un @ o una
extensión .com o .algo.
Otra forma podría ser: que en un campo en el cual tenemos
que colocar un teléfono, comprobemos que por ese campo no vienen caracteres que
no sean numéricos.
Existen diferentes tipos de validaciones, algunas del lado del servidor y otras del cliente (navegador web). A veces sólo se realizan validaciones del lado del cliente (Javascript), pero puede suceder muy fácilmente que un hacker o robot desactive el Javascript del navegador. Entonces el formulario quedaría vulnerable y pronto para ser utilizado con malas intenciones.
En mi caso las validaciones correspondientes al servidor las hago con PHP, pero a su vez también me gusta tener una segunda capa de validación del lado del cliente con Javascript.
5. Usar herramientas de seguridad en Internet
Además de seguir los consejos mencionados anteriormente,
asegúrate de aprovechar algunas herramientas de seguridad para fortalecer aún
más la protección de tu sitio web en Internet. Aquí hay algunas herramientas
gratuitas que vale la pena investigar:
Netsparker: Excelente herramienta para comprobar la inyección SQL
OpenVAS: Conocido como el escáner de seguridad más avanzado que analiza más de 25.000 vulnerabilidades.
Inspector de Webs: Analiza tu sitio web y obtiene un informe que incluye malware, phishing, lista negra, gusanos, troyanos, puertas traseras, conexiones sospechosas y varias otras amenazas.
Hay muchas más herramientas de seguridad de sitios web
disponibles. Incluso en versiones Premium. Realiza una búsqueda rápida para
tener una idea de cuál necesitas.
6. Proteger el sitio web de la
inyección SQL
Los hackers pueden manipular su base de datos utilizando
parámetros colocados en la URL y así obtener acceso a su sitio web. Esto es lo
que se llama ataque de inyección SQL y suele ocurrir cuando se utiliza un Transact
SQL estándar. Porque un hacker puede escribir fácilmente un código
malicioso en su consulta y obtener acceso a su información y datos.
Así es como se ve una consulta estándar;
“SELECT * FROM table
WHERE column – ‘ “ + parameter + “ ‘ ; “
Para evitar que un hacker utilice nuestras consultas a base
de datos es necesario parametrizarla para impedir que se añada una consulta al
final de esta declaración. Así es como se verá su consulta final:
$stmt = $pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
$stmt->execute(array(‘value’ => $parameter));
De esta forma no sólo reforzarás tu seguridad en Internet,
sino que también protegerás tu sitio web
contra el tipo de ataque más común.
7. Reforzar seguridad con .HTACCESS
Una última medida, pero de gran peso es editar nuestro
archivo .htaccess.
Este es un archivo ubicado en la raíz de nuestro servidor,
en el cual colocaremos algunas directivas que le dirán al servidor como
comportarse ante diferentes situaciones.
Editar este archivo requiere de conocimiento técnicos
avanzados y no es aconsejable colocar cualquier código que encontremos por ahí,
porque podríamos generar daños irreparables.
Pero en manos de un profesional puede ser una gran
herramienta. Como podrás apreciar en este artículo de DIGITAL HERTIAGE donde J.Pereyra nos explica en detalle que instrucciones deberíamos
agregar para reforzar la seguridad de nuestro sitio web.
Consejo sano: Siempre haz un
respaldo de este archivo antes de tocarlo.
Palabras finales
Tu sitio web es uno de los activos más valiosos del negocio, no dejes que los hackers se apoderen de tus datos y los de tus clientes. Asegúrate de trabajar en los consejos mencionados anteriormente y estarás más protegido.
La Biblioteca de Medios de WordPress es el lugar donde almacenamos elementos multimedia para luego agregarlos en nuestro contenido. Es un espacio muy valioso, por ...
Los Plugins para WordPress son herramientas fantásticas que nos permiten personalizar nuestra página web. La posibilidad de contar con estas aplicaciones es quizás el motivo ...