La seguridad del sitio web debe estar en la mente de todos los propietarios de sitios. No importa si tu sitio web es grande o pequeño. Si es importante para tu negocio, necesitas mantenerlo seguro. Como propietario de un sitio web, y principalmente propietario de un sitio WordPress, he creado una lista de verificación que reviso cada vez que creo un nuevo sitio web para mí o para un cliente. Me gustaría compartirlo contigo con la esperanza de que puedas aprender algunas ideas nuevas. Veamos lo que se necesita para asegurar un sitio web.
Elegir un servidor web seguro
No hace falta decirlo, pero la seguridad comienza con tu proveedor de hosting web. He usado de todo, desde ‘hágalo usted mismo’ hasta ‘hosting a nivel de conserjería’. El truco está en encontrar el nivel que necesitas y el soporte con el que te sientes cómodo.
Comprueba su soporte
Lo primero que hago cuando considero un nuevo proveedor de hosting web es comprobar su soporte y tiempo de respuesta. Me registro para una prueba gratuita, creo un sitio web y luego hago ping al soporte para hacer una pregunta. La rapidez con la que responden y lo bien que entienden la pregunta me da pistas sobre lo que puedo esperar de ellos si me alojo con ellos.
Comprueba sus características de seguridad
Luego reviso su sitio web y planes de alojamiento para ver qué herramientas de seguridad y características proporcionan. Busco cosas esenciales como un certificado SSL para cifrar y proteger los datos de mi sitio web, privacidad del dominio para ocultar mi información personal de las bases de datos públicas de Whois, verificación en 2 pasos para proteger mi sitio web del acceso no autorizado, copias de seguridad distribuidas geográficamente para tener una seguridad copia de mi sitio web en caso de que algo salga mal.
Otras medidas de seguridad clave que me gustaría que mi proveedor de alojamiento web tuviera implementadas es un firewall de aplicaciones web, un software que se encuentra frente a mi sitio web y lo protege del tráfico malicioso conocido, para mantener mi servidor host a salvo de exploits de software, DDOS y protección contra ataques de fuerza bruta y la opción de actualizaciones automáticas a las últimas versiones de PHP y WordPress para mantener tu sitio web a salvo de malware.
Si el hosting proporciona aún más herramientas de seguridad, sería aún mejor. Por ejemplo, además de todas estas características, disponibles en la plataforma SiteGround, también ofrecen un servicio de Site Scanner desarrollado internamente y un plugin gratuito de SiteGround WordPress Security para asegurarse de que su sitio web sea lo más seguro posible.
Revisa su blog
El paso 3 al seleccionar un proveedor de hosting web es siempre leer las últimas 5 entradas en su blog.
- ¿Son recientes?
- ¿Hablan de seguridad?
- ¿Te parecen útiles las entradas del blog?
No, no todas las publicaciones del blog van a ser sobre seguridad, pero será mejor que puedas encontrar una reciente. El panorama de la seguridad cambia rápidamente, por lo que deben publicar regularmente.
Comprueba su precio
Inicialmente, reviso sus niveles de precios y averiguo dónde estará mi sitio. El precio es lo último que reviso porque si las dos primeras casillas no están marcadas, el precio no importa. Podrían regalarlo y no lo usaría.
Construye tu sitio web de forma segura desde el principio
Una vez que hayas establecido una base segura para tu sitio web es hora de comenzar a diseñarlo y construirlo. En cada paso, debes asegurarte de que la seguridad esté “integrada” y no “atornillada”.
La seguridad está incorporada cuando lo piensas antes de comenzar a construir tu sitio web.
La seguridad está activada cuando construyes todo tu sitio web y luego decides añadir un plugin centrado en la seguridad para cubrir tus bases.
“Horneada” siempre es mejor.
¿Qué significa seguridad “horneada”?
Instala un certificado SSL tan pronto como configures el sitio web
No esperes hasta que esté listo para implementar tu sitio web antes de recordar instalar tu certificado SSL. En estos días, un sitio web seguro está a solo unos clics de distancia. Tómate el tiempo para hacerlo ahora y luego asegúrate de forzar todo el tráfico a ser https después de instalarlo. Para aquellos usuarios que alojan con SiteGround, su Site Tools facilita la configuración y el cumplimiento de SSL. Solo unos pocos clics y ya está en el negocio.
Establece una política de contraseña segura antes de empezar a añadir usuarios
Las contraseñas son la cerradura de la puerta principal de tu sitio. Cuando construyas tu sitio, coloca un candado fuerte en la puerta principal requiriendo que todos los usuarios usen contraseñas seguras. Hacer esto antes de permitir que los usuarios comiencen a visitar tu sitio asegurará que ningún usuario configure contraseñas débiles.
Requiere verificación en dos pasos (2FA) para cualquier usuario que tenga derechos de nivel de administrador en el sistema
La verificación en dos pasos (2FA) es el cerrojo de la oficina interna de tu sitio web. Sí, una contraseña segura es importante para que cualquiera acceda al sitio. Pero para acceder a cosas como información financiera o administración de usuarios, también quieres un cerrojo fuerte. Mantén tu sistema seguro implementando 2FA para todos tus administradores. El plugin SiteGround Security hace que la configuración de 2FA sea muy sencilla.
Configura un sistema de copias de seguridad que regularmente haga copias de todo tu sitio web y las almacene de forma segura
Necesitas un sistema de copia de seguridad de 30 días implementado desde el día 1. No 1 día, no 7 días, 30 días. La razón es que si tu sitio es hackeado, es posible que no lo notes de inmediato. Una vez que lo notes, querrás limpiar tu sitio y una de las mejores formas de hacerlo es restaurar tu sitio desde una copia de seguridad limpia.
El Site Tools de SiteGround proporciona una herramienta intuitiva para programar copias de seguridad nocturnas y restaurarlas cuando sea necesario.
Mientras hablamos de copias de seguridad, no olvides forzar una copia de seguridad antes de cualquier actualización, rediseño importante del sitio o instalación de un nuevo plugin. Nunca está de más tener una copia de seguridad nueva en caso de que las cosas salgan mal.
Adherirse al principio de privilegio mínimo
Antes de comenzar a permitir que los usuarios entren en tu sistema, piensa en los roles que desempeñarán. Un rol es un conjunto de permisos o privilegios y deseas otorgar a cada usuario el nivel mínimo absoluto de privilegios que necesitan para usar tu sitio.
Hay varios buenos editores de roles para WordPress y te sugiero que instales uno, aprendas a usarlo y luego audites los roles que tienes en tu sitio para asegurarte de que tienen solo los privilegios que necesitan para usar tu sitio.
De forma regular, al menos una vez al año, revisa estos privilegios para asegurarte de que siguen siendo válidos y para asegurarte de que no se haya otorgado un privilegio que no sea necesario para ningún rol.
La mayoría de los usuarios no están intentando hacer cosas malas, pero tenemos que suponer que lo harían si pudieran. Adherirse al principio de privilegio mínimo ayudará a asegurarse de que los malos actores, o los usuarios curiosos, no puedan hacer cosas en tu sitio que se supone que no deben hacer.
Usa solo software de una fuente de confianza
En el desarrollo de software, como en la construcción de una casa, la reputación de tu proveedor es fundamental para el éxito de tu proyecto. Si utilizas un proveedor de tarifas reducidas para los materiales de tu casa, todo el proyecto se verá afectado. Peor aún, te costará más arreglar estos problemas que simplemente comprar buenos materiales para empezar.
Construir tu sitio web con materiales de calidad como plugins y temas de proveedores acreditados generalmente te costará dinero a corto plazo. Sin embargo, saber que tienes empresas respaldando sus productos y actualizándolos cuando surgen problemas vale la pena.
Sí, puedes elegir un plugin o tema gratuito para crear una función crítica de tu sitio web. Sin embargo, ¿qué haces si descubres que hay un fallo de seguridad? Peor aún, ¿qué haces cuando descubres ese defecto y luego descubres que el autor ha abandonado el proyecto? En ese momento tienes 2 opciones, ninguna de las cuales es buena.
- Contratar a un desarrollador para arreglar el fallo de seguridad.
- Eliminar el plugin, encontrar otro que haga lo mismo, implementarlo y hacer los cambios necesarios en tu proceso.
Ambas pueden ser propuestas costosas que podrían evitarse simplemente eligiendo sabiamente al principio.
SiteGround analizó recientemente los datos de muchos sitios web comprometidos. Lo que encontraron fue que la mayoría de esos sitios web estaban comprometidos porque tenían plugins sin parchear que tenían fallos de seguridad. La mayoría de las veces eran versiones gratuitas de plugins de pago descargados de fuentes no confiables. Descarga solo plugins y temas de sitios de confianza como WordPress.org o proveedores de confianza.
El repositorio de plugins de WordPress es una fuente confiable. WordPress.org ha implementado un proceso de revisión, tanto de software humano como de escaneo, para ayudar a filtrar los plugins que tienen posibles problemas de seguridad o violan la política de WordPress.
Escanea tu sitio con regularidad
Al igual que construyes un sistema de seguridad en tu casa, querrás configurar un escáner de seguridad para tu sitio web tan pronto como lo construyas. Los escáneres de seguridad revisan tu sitio tanto internamente como externamente para asegurarse de que no hay vulnerabilidades conocidas. También revisará tu sitio web en busca de virus. Ningún escáner de seguridad es perfecto, al igual que ningún sistema de seguridad para el hogar es perfecto. Pero tu sitio web es más seguro con uno.
Un buen escáner buscará vulnerabilidades de Cross Site Scripting, entre otras cosas. Estas vulnerabilidades pueden permitir que tu sitio sea utilizado en el ataque de otros sitios o ataques al usuario final.
SiteGround tiene un gran sistema de escaneo disponible. Recibo correos electrónicos regulares diciéndome qué sitios ha escaneado y que están todos limpios o que hay un problema que necesito resolver… de inmediato.
Ten cuidado con las estafas de phishing relacionadas con tu sitio
Una vez que has construido una nueva casa, no le das las llaves a nadie que te las pida, incluso si dice tener una buena razón para querer entrar. Del mismo modo, debes asegurarte de que si recibes un correo electrónico que dice que es de tu sitio, no haces clic automáticamente en el enlace.
Debes saber cada correo que tu sistema es capaz de enviar. Cuando recibes uno que no recuerdas haber configurado, debes investigarlo. No hagas clic, empieza a mirarlo. Comprueba los encabezados, mira la URL exacta a la que van los enlaces. Lo más importante es poner en cuarentena el correo electrónico con tu software de detección de virus.
Los correos desconocidos que pretenden provenir de tu sitio son solo otra forma en que los malos actores intentan ingresar a tu sitio. Estos ataques de phishing provienen de servidores que no están bajo tu control, por lo que no puedes detenerlos. Sin embargo, puedes tener en cuenta que cuando los recibas, los elimines. En casi todos los casos, si no hace clic, el correo electrónico en sí no puede hacer ningún daño.
Fuente:https://www.siteground.es/blog/seguridad-incorporada-primer-dia-prevenir-ataques-sitio-web/