Seguridad
en Internet:
Cómo proteger
su página web

La Seguridad en Internet es más necesaria ahora que nunca, debido al aumento significativo de los ataques a sitios web que crece cada año. Según la revista Security, en promedio, cada 39 segundos un hacker efectúa un ataque.

Esto demuestra lo crucial que es fortalecer la seguridad de tu sitio y protegerlo de todas las amenazas existentes y potenciales. Así que veamos algunos consejos de seguridad.

7 Consejos de seguridad en Internet para proteger tu sitio web

1. Instalar el Web Application Firewall

Si deseas aumentar la seguridad en Internet para tu sitio web y salvarlo de posibles amenazas y virus, la instalación de un Firewall, o cortafuegos de aplicaciones web, debería ser tu prioridad número uno.

 La forma en que funciona un cortafuegos de aplicaciones web es evaluando el tráfico de su sitio a nivel geográfico y de comportamiento. Luego también examina la información solicitada por el visitante.

Así que, basado en estos y otros criterios, el firewall sólo permite el tráfico legítimo y bloquea el tráfico malicioso o sospechoso.

Hay muchos proveedores de cortafuegos de aplicaciones web. Personalmente cuando trabajo con sitios que no poseen un gestor de contenidos con WordPress,  suelo implementar Cloudflare.

Se trata de un servicio CDN (cloud delivery network), que además de aumentar la velocidad de carga y estabilidad de nuestra web, también posee un firewall propio.

Pero, en caso de trabajar con un sitio web con un gestor de contenidos WordPress, vamos a necesitar del aporte de un plugin de seguridad que nos proporcione un firewall actualizado.

Porque estamos trabajando con un sistema que, si bien posee una gran comunidad de desarrolladores trabajando con él, también existe la parte antagónica, que trabaja duro y a diario para dañar los sitios desarrollados con este fantástico CMS.

Para este caso suelo recomendar Wordfence, pero existen otros plugins muy buenos que también pueden reforzar la seguridad en Internet.

2. Migrar a HTTPS

Hyper Text Transfer Protocol Secure (HTTPS) es altamente recomendado. Especialmente si realizas negocios en línea que requieren que los clientes hagan transacciones en el sitio.

Esto se debe a que los hackers y secuestradores pueden deslizarse en la transacción y monitorear el proceso. De esta forma, es probable que obtengan datos altamente sensibles, como números de cuenta o datos de tarjetas de crédito.

Para evitar esto debemos implementar un certificado SSL.  Aprovechando las capas de cifrado como TLS (Transport Layer Security) y Secure Sockets Layer (SSL), este encriptará todo el proceso de transacción. Entonces nadie podrá infiltrarse en tus transacciones y robar datos o cerrar el proceso.

Cualquier página web puede implementar este certificado, e incluso es aconsejable porque Google da prioridad en los resultados de búsqueda a aquellos sitios que lo tengan. Pero en un sitio web eCommerse poseer un certificado SSL es imprescindible, para proteger las transacciones que requieren la comercialización de sus productos.

Hasta hace un par de años instalar un certificado SSL significaba un gasto, ya que para adquirirlo debías comprarlo. Si bien existen diferentes tipos de certificados SSL, hoy en día gracias a tecnologías como Let´s Encrypt podemos instalar un certificado gratuito. Estos pueden cumplir al menos con los requerimientos básicos y así proteger el tránsito de información privada de los usuarios en nuestro sitio web.

3. Utilizar contraseñas seguras

Aunque este consejo es sencillo de aplicar, se siguen utilizando contraseñas muy vulnerables que pueden verse comprometidas en pocos minutos. Muchas personas usan las palabras del diccionario para ataques de Fuerza Bruta, como sus contraseñas. Esto es muy peligroso debido a los ataques donde la contraseña se debilita con tentativas múltiples de conexión. En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar la correcta.

Por lo tanto, asegúrate de tener una contraseña extremadamente fuerte para el back-end de su sitio web, de forma que no pueda ser fácilmente descifrada. Aquí hay algunas practicas que es importante tener en cuenta al configurar la contraseña:

• La contraseña debe tener más de ocho caracteres

• No considerar las palabras del diccionario para ataques de Fuerza Bruta

• Combinar letras mayúsculas y minúsculas, cifras y caracteres especiales

• Evitar el uso de palabras relacionadas con información personal

• Cambiarla periodicamente

Sólo se tarda unos segundos o minutos como máximo en descifrar una contraseña mal creada, así que asegúrate de usar los puntos mencionados anteriormente para evitar que tu seguridad en Internet se vea comprometida.

4. Validar los formularios

En todo sitio web tendremos al menos un formulario. Esta herramienta es una excelente puerta de entrada para los hackers si no ponemos reglas estrictas. Debemos solicitar información en forma adecuada para evitar  que por esta vía se cuelen los hackers, malwares o cualquier tipo de robots.

Para lograr esto necesitamos implementar una serie de validaciones en nuestros formularios.

Un ejemplo de esto sería: que a un campo de email no se pueda enviar nada sin un @ o una extensión .com o .algo.  

Otra forma podría ser: que en un campo en el cual tenemos que colocar un teléfono, comprobemos que por ese campo no vienen caracteres que no sean numéricos.

Existen diferentes tipos de validaciones, algunas del lado del servidor y otras del cliente (navegador web). A veces sólo se realizan validaciones del lado del cliente (Javascript), pero puede suceder muy fácilmente que un hacker o robot desactive el Javascript del navegador. Entonces el formulario quedaría vulnerable y pronto para ser utilizado con malas intenciones.

En mi caso las validaciones correspondientes al servidor las hago con PHP, pero a su vez también me gusta tener una segunda capa de validación del lado del cliente con Javascript.

 5. Usar herramientas de seguridad en Internet

Además de seguir los consejos mencionados anteriormente, asegúrate de aprovechar algunas herramientas de seguridad para fortalecer aún más la protección de tu sitio web en Internet. Aquí hay algunas herramientas gratuitas que vale la pena investigar:

• Netsparker: Excelente herramienta para comprobar la inyección SQL

• OpenVAS: Conocido como el escáner de seguridad más avanzado que analiza más de 25.000 vulnerabilidades.

• Inspector de Webs: Analiza tu sitio web y obtiene un informe que incluye malware, phishing, lista negra, gusanos, troyanos, puertas traseras, conexiones sospechosas y varias otras amenazas.

Hay muchas más herramientas de seguridad de sitios web disponibles. Incluso en versiones Premium. Realiza una búsqueda rápida para tener una idea de cuál necesitas.

6. Proteger el sitio web de la inyección SQL

Los hackers pueden manipular su base de datos utilizando parámetros colocados en la URL y así obtener acceso a su sitio web. Esto es lo que se llama ataque de inyección SQL y suele ocurrir cuando se utiliza un Transact SQL estándar. Porque un hacker puede escribir fácilmente un código malicioso en su consulta y obtener acceso a su información y datos.

Así es como se ve una consulta estándar;

“SELECT * FROM table WHERE column – ‘ “ + parameter + “ ‘ ; “

Para evitar que un hacker utilice nuestras consultas a base de datos es necesario parametrizarla para impedir que se añada una consulta al final de esta declaración. Así es como se verá su consulta final:

$stmt = $pdo->prepare(‘SELECT * FROM table WHERE column = :value’); $stmt->execute(array(‘value’ => $parameter));

De esta forma no sólo reforzarás tu seguridad en Internet, sino que también protegerás  tu sitio web contra el tipo de ataque más común.

7. Reforzar seguridad con .HTACCESS

Una última medida, pero de gran peso es editar nuestro archivo .htaccess.

Este es un archivo ubicado en la raíz de nuestro servidor, en el cual colocaremos algunas directivas que le dirán al servidor como comportarse ante diferentes situaciones.

Editar este archivo requiere de conocimiento técnicos avanzados y no es aconsejable colocar cualquier código que encontremos por ahí, porque podríamos generar daños irreparables.

Pero en manos de un profesional puede ser una gran herramienta. Como podrás apreciar en este artículo de DIGITAL HERTIAGE donde J.Pereyra nos explica en detalle que instrucciones deberíamos agregar para reforzar la seguridad de nuestro sitio web.

Consejo sano: Siempre haz un respaldo de este archivo antes de tocarlo.

Palabras finales

Tu sitio web es uno de los activos más valiosos del negocio, no dejes que los hackers se apoderen de tus datos y los de tus clientes. Asegúrate de trabajar en los consejos mencionados anteriormente y estarás más protegido.

Imágenes: Freepik.es,