Seguridad y protección del sitio web: ¿cómo proteger un sitio web?

imprimir · Время на чтение: 28мин · por · Publicada · Actualizado

jugarEscucha este artículo

Seguridad del sitio web: ¿cómo asegurar y proteger su sitio web? Protección del sitio web.

Protección del sitio webcómo proteger y asegurar su sitio web? La seguridad del sitio web puede ser un tema complejo (o incluso confuso) en un entorno en constante cambio. Esta guía pretende proporcionar un marco claro para los propietarios de sitios web que buscan mitigar el riesgo y aplicar principios de seguridad a sus propiedades web.

Antes de comenzar, es importante tener en cuenta que la seguridad nunca es una solución de "establecerlo y listo". En cambio, lo animo a pensar en ello como un proceso continuo que requiere una evaluación constante para reducir su riesgo general.

Al adoptar un enfoque sistemático para la seguridad del sitio web, podemos pensar en ella como una base que consta de muchas capas de protección combinadas en un solo elemento. Necesitamos mirar la seguridad del sitio web de manera integral y abordarla con una estrategia de defensa en profundidad.

El contenido del artículo:

¿Qué es la seguridad del sitio web?

Seguridad del sitio web: ¿qué es? Todo sobre la seguridad del sitio web. Protección del sitio web.

La seguridad del sitio web son las medidas tomadas para proteger un sitio web de los ataques cibernéticos. En este sentido, la seguridad del sitio web es un proceso continuo y una parte integral de la gestión del sitio web.

¿Por qué es importante la seguridad del sitio web?

La seguridad del sitio web puede ser un desafío, especialmente cuando se trata de una gran red de sitios. Tener un sitio web seguro es tan importante para la presencia en línea de alguien como tener un host de sitio web.

Por ejemplo, si un sitio web es pirateado y puesto en una lista negra, puede perder hasta 98% de su tráfico. No tener un sitio web seguro puede ser tan malo como no tener un sitio web en absoluto, o incluso peor. Por ejemplo, la filtración de datos de clientes puede dar lugar a demandas, fuertes multas y daños en la reputación.

1. Estrategia de defensa en profundidad

La estrategia de defensa en profundidad para la seguridad del sitio web considera la profundidad de la defensa y la amplitud de la superficie de ataque para analizar las herramientas utilizadas en la pila. Este enfoque proporciona una imagen más precisa del panorama actual de amenazas a la seguridad de los sitios web.

Cómo ven los profesionales web la seguridad del sitio web

No podemos olvidar las estadísticas que hacen de la seguridad de sitios web un tema atractivo para cualquier negocio online, independientemente de su tamaño.
Después de analizar más de 1000 respuestas a encuestas de profesionales de la web, se pueden sacar algunas conclusiones sobre el panorama de la seguridad:

  • Se preguntó a los clientes profesionales web 67% sobre la seguridad del sitio web, pero menos de los encuestados 1% ofrecen seguridad del sitio web como un servicio.
  • Acerca de 72% Los profesionales de la web están preocupados por los ciberataques en los sitios de los clientes.

Por qué los sitios son pirateados

En 2019, había más de 1940 millones de sitios web en Internet. Esto proporciona un amplio campo de juego para los piratas informáticos. A menudo existe una idea errónea acerca de por qué los sitios web son pirateados. Los propietarios y administradores a menudo creen que no serán pirateados porque sus sitios son más pequeños y, por lo tanto, menos atractivos para los piratas informáticos. Los piratas informáticos pueden elegir sitios más grandes si quieren robar información o sabotear. Para otros fines (que son más comunes), cualquier sitio pequeño es de gran valor.
Al hackear sitios web se persiguen varios objetivos, pero los principales son:

  • Uso de los visitantes del sitio.
  • Robo de información almacenada en el servidor.
  • Engaño de bots y robots de búsqueda (black hat SEO).
  • Abuso de los recursos del servidor.
  • Vandalismo puro (daño).

2. Ataques automáticos a sitios web

Desafortunadamente, la automatización reduce los gastos generales, permite la divulgación masiva y aumenta las posibilidades de un compromiso exitoso, independientemente del volumen de tráfico o la popularidad del sitio web.
De hecho, la automatización es el rey en el mundo de la piratería. Los ataques automatizados suelen implicar la explotación de vulnerabilidades conocidas para afectar a una gran cantidad de sitios, a veces incluso sin el conocimiento del propietario del sitio.

Los ataques automáticos se basan en la oportunidad. Contrariamente a la creencia popular, los ataques automatizados son mucho más comunes que los ataques dirigidos cuidadosamente seleccionados debido a su alcance y facilidad de acceso. Casi 60% Internet se ejecuta en CMS.

Problemas de seguridad del CMS

Es más fácil para el propietario promedio de un sitio web conectarse rápidamente con un Sistema de administración de contenido (CMS) de código abierto como WordPress, Magento, Joomla o Drupal y más.
Si bien estas plataformas a menudo brindan actualizaciones de seguridad frecuentes, el uso de componentes extensibles de terceros, como complementos o temas, genera vulnerabilidades que pueden explotarse fácilmente para ataques de oportunidad.

El estándar de seguridad de la información es - Confidencialidad, Integridad y Disponibilidad. Este modelo se utiliza para desarrollar políticas para proteger a las organizaciones.

3. Confidencialidad, integridad y disponibilidad

  • Confidencialidad se refiere a controlar el acceso a la información para garantizar que no se permita el acceso a quienes no deberían tener acceso. Esto se puede hacer usando contraseñas, nombres de usuario y otros componentes de control de acceso.
  • Integridad garantiza que la información que reciben los usuarios finales sea precisa y no haya sido modificada por nadie que no sea el propietario del sitio. Esto a menudo se hace con cifrado, como los certificados de capa de sockets seguros (SSL), que cifran los datos en tránsito.
  • Disponibilidad proporciona acceso a la información cuando es necesario. La amenaza más común para la disponibilidad del sitio web es una denegación de servicio distribuida o un ataque DDoS.

Ahora que tenemos cierto conocimiento de los ataques automatizados y dirigidos, podemos sumergirnos en algunas de las amenazas de seguridad de sitios web más comunes.

Vulnerabilidades y amenazas del sitio web

Las principales amenazas a la seguridad del sitio.

Estas son las vulnerabilidades y amenazas de seguridad de sitios web más comunes:

1. inyección SQL - Dichos ataques de inyección SQL se llevan a cabo mediante la inyección de código malicioso en una consulta SQL vulnerable. Dependen de que un atacante agregue una consulta especialmente diseñada a un mensaje que un sitio web envía a una base de datos.
Un ataque exitoso modificará la consulta de la base de datos para que devuelva la información que el atacante desea en lugar de la información que espera el sitio web. Las inyecciones de SQL pueden incluso cambiar o agregar información maliciosa a la base de datos.
2. Secuencias de comandos entre sitios (XSS) Los ataques de secuencias de comandos entre sitios consisten en inyectar secuencias de comandos maliciosas del lado del cliente en un sitio web y utilizar el sitio web como método de distribución. El peligro de XSS es que permite que un atacante inyecte contenido en un sitio web y cambie la forma en que se muestra al hacer que el navegador de la víctima ejecute el código proporcionado por el atacante cuando se carga la página. Si un administrador del sitio conectado carga el código, la secuencia de comandos se ejecutará en su nivel de privilegios, lo que podría conducir a una toma de control del sitio.
3. Ataques de credenciales de fuerza bruta Obtener acceso al panel de administración de un sitio web, al panel de control o incluso a un servidor SFTP es uno de los vectores más comunes utilizados para comprometer los sitios web. El proceso es muy simple:

  1. Los atacantes básicamente programan un script para probar múltiples combinaciones de nombres de usuario y contraseñas hasta que encuentren una que funcione;
  2. Una vez que se otorga el acceso, los atacantes pueden lanzar varias actividades maliciosas, desde campañas de spam hasta minería de monedas y robo de información de dibet. o tarjetas de crédito.

4. Infección y ataques de malware en sitios web Al utilizar algunos de los problemas de seguridad anteriores como medio para obtener acceso no autorizado a un sitio web, los atacantes pueden:

  1. Inyectar spam de SEO en la página;
  2. Retire la puerta trasera para mantener el acceso;
  3. Recopilar información del visitante o datos de la tarjeta;
  4. Ejecute exploits en el servidor para aumentar el nivel de acceso;
  5. Utilice las computadoras de los visitantes para extraer criptomonedas;
  6. Almacenar scripts de comando y control para botnets;
  7. Mostrar anuncios no deseados, redirigir a los visitantes a sitios web fraudulentos;
  8. Alojamiento de descargas maliciosas;
  9. Lanzar ataques en otros sitios.

5. Ataques DoS/DDoS Un ataque de denegación de servicio distribuido (DDoS) es un ataque de Internet no intrusivo. Esto se hace para deshabilitar o ralentizar el sitio web de destino al inundar la red, el servidor o la aplicación con tráfico falso.

Los ataques DDoS son amenazas que los propietarios de sitios web deben conocer, ya que son una parte importante de un sistema de seguridad. Cuando un ataque DDoS se dirige a un punto final vulnerable que consume muchos recursos, incluso una pequeña cantidad de tráfico es suficiente para atacar con éxito.

Seguridad del sitio web de comercio electrónico y cumplimiento de PCI

Amenazas de ataque para negocios de comercio electrónico.

Los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) definen los requisitos para los propietarios de sitios web con tiendas en línea. Estos requisitos ayudan a garantizar que los datos del titular de la tarjeta que recopila como tienda en línea estén adecuadamente protegidos. Bajo PCI DSS, los datos del titular de la tarjeta que deben protegerse se refieren al Número de cuenta principal (PAN) completo, pero también pueden aparecer en una de las siguientes formas:

  1. Datos completos de banda magnética (o chip equivalente);
  2. Consumir preferentemente antes del;
  3. Código de servicio;
  4. Clavo;
  5. números CVV;
  6. Nombre y/o apellidos del titular de la tarjeta.

Las Reglas de cumplimiento de PCI se aplican ya sea que transfiera datos digitalmente, por escrito o se comunique con otra persona que tenga acceso a los datos.

Es muy importante que los sitios web de comercio electrónico hagan todo lo posible para garantizar que los datos del titular de la tarjeta se transmitan desde el navegador al servidor web con el cifrado adecuado a través de HTTPS. También debe almacenarse de forma segura y encriptada de manera similar en el servidor cuando se transmite a cualquier servicio de procesamiento de pagos de terceros.

Los piratas informáticos pueden intentar robar o interceptar datos de titulares de tarjetas en cualquier momento, ya sea que los datos estén en reposo o en tránsito.

Marco de seguridad del sitio web

Marco de seguridad de la información. Protección completa del sitio web.

Independientemente del tamaño de su negocio, desarrollar un sistema de seguridad puede ayudar a reducir su riesgo general. Comprender que la seguridad es un proceso continuo significa que comienza con la construcción de los cimientos de la seguridad de un sitio web. Esta estructura incluirá la creación de una "cultura de seguridad" donde las inspecciones programadas ayuden a mantener las cosas simples y oportunas.
Se describirán en detalle cinco funciones: "Identificar", "Proteger", "Detectar", "Reaccionar" y "Recuperar" junto con las acciones a aplicar.
1. Identificar - en esta etapa, se documenta y verifica todo el inventario y la gestión de activos. El inventario y la gestión de activos se pueden llevar un paso más allá en las siguientes subcategorías:

  1. recursos web;
  2. servidores web e infraestructura;
  3. complementos, extensiones, temas y módulos;
  4. integraciones y servicios de terceros;
  5. puntos de acceso y nodos.

Una vez que tenga una lista de los activos de su sitio web, puede tomar medidas para auditar y proteger cada uno de los ataques.
2. Proteger Hay muchas razones por las que es fundamental contar con medidas de seguridad web preventivas, pero ¿por dónde empezar? Estos se conocen como tecnologías de seguridad y niveles de seguridad. A veces, estas medidas satisfacen los requisitos de cumplimiento, como PCI, o facilitan la aplicación virtual de parches y el fortalecimiento de entornos que son vulnerables a los ataques. La seguridad también puede incluir la capacitación de los empleados y las políticas de control de acceso.

Una de las mejores formas de proteger su sitio web es activar el firewall de aplicaciones web. Si pasa mucho tiempo pensando en procesos, herramientas y configuraciones de seguridad, afectará la postura de seguridad de su sitio web.

3. Detectar (monitoreo continuo) es un concepto que se refiere a la implementación de herramientas para monitorear su sitio web (activos) y notificarle cualquier problema. Se debe instalar el monitoreo para verificar el estado de seguridad:

  1. registros DNS;
  2. certificados SSL;
  3. configurar un servidor web;
  4. actualizaciones de aplicaciones;
  5. acceso de usuario;
  6. integridad del archivo.

También puede usar escáneres y herramientas de seguridad (como SiteCheck) para buscar indicadores de compromiso o vulnerabilidad.
4. Reaccionar — el análisis y la mitigación ayudan a crear una categoría de respuesta. Cuando ocurre un incidente, debe haber un plan de respuesta. Tener un plan de respuesta antes de un incidente comprometido hace maravillas para la psique. Un plan adecuado de respuesta a incidentes incluye:

  1. Seleccionar un equipo o persona de respuesta a incidentes;
  2. Informes de incidentes para verificar los resultados;
  3. Mitigación de eventos.

Durante el proceso de parcheo, nunca sabemos de antemano qué tipo de malware nos vamos a encontrar. Algunos problemas pueden propagarse rápidamente e infectar otros sitios web en un entorno de servidor compartido (infección cruzada). El proceso de respuesta a incidentes, tal como lo define el NIST, se divide en cuatro pasos principales:

  1. Preparación y planificación;
  2. Detección y análisis;
  3. Contención, erradicación y restauración;
  4. Acciones posteriores al incidente.

Una fase de preparación sólida y un equipo de seguridad del sitio web en el que pueda confiar son fundamentales para el éxito de la misión. Así es como debería verse:

Preparación y planificación

En esta etapa, nos aseguramos de contar con todas las herramientas y recursos necesarios antes de que ocurra un incidente. Todo esto va de la mano con las secciones anteriores del marco de seguridad.
Las empresas de alojamiento juegan un papel crucial en esta etapa al garantizar que los sistemas, servidores y redes sean lo suficientemente seguros. También es importante asegurarse de que su desarrollador web o equipo técnico esté listo para manejar un incidente de seguridad.

Descubrimiento y análisis

Aunque existen varios métodos de ataque, debemos estar preparados para hacer frente a cualquier incidencia. La mayoría de las infecciones son componentes vulnerables instalados en el sitio web (principalmente complementos), compromisos de contraseña (contraseña débil, fuerza bruta) y otros.
Según el problema y la intención, la fase de descubrimiento puede ser compleja. Algunos atacantes buscan fama, otros pueden querer explotar recursos o interceptar información confidencial.
En algunos casos, no hay indicios de que se haya instalado una puerta trasera, a la espera de que un atacante acceda a ella en busca de actividad maliciosa. Por lo tanto, es muy recomendable implementar mecanismos para garantizar la integridad de su sistema de archivos.

Contención, erradicación y restauración

En cuanto a la fase de Contención, Eliminación y Recuperación, el proceso debe adaptarse al tipo de problema encontrado en el sitio web y las estrategias basadas en ataques predefinidas. Por ejemplo, una infección de criptominero generalmente consume una gran cantidad de recursos del servidor (leecher), y el equipo de respuesta a incidentes debe contener la amenaza antes de iniciar el proceso de remediación.

Contener este ataque es un paso importante para evitar el agotamiento adicional de recursos y daños mayores. Este sistema de toma de decisiones y estrategias son una parte importante de esta etapa. Por ejemplo, si identificamos un archivo en particular como 100% malicioso, debería haber una acción para destruirlo. Si el archivo contiene código parcialmente malicioso, solo se debe eliminar esa parte. Cada script debe tener un proceso definido.

Acciones después del incidente

Por último, pero no menos importante, la acción posterior al incidente también puede denominarse etapa de lecciones aprendidas. En este punto, el equipo de respuesta a incidentes debe enviar un informe que detalle lo que sucedió, las acciones que se tomaron y qué tan bien funcionó la intervención. Debemos reflexionar sobre el incidente, aprender de él y tomar medidas para prevenir problemas similares en el futuro. Estas acciones pueden ser tan simples como actualizar un componente, cambiar contraseñas o agregar un firewall de sitio web para evitar ataques en el perímetro.

Revise las acciones que debe tomar su departamento para fortalecer aún más la seguridad. Luego, asegúrese de tomar estas medidas lo más rápido posible. Puede basar todas las acciones posteriores en los siguientes consejos:

  • Restrinja el acceso global a su sitio (o áreas específicas) usando métodos GET o POST para minimizar el impacto.
  • Actualice los permisos en directorios y archivos para garantizar un acceso adecuado de lectura/escritura.
  • Actualice o elimine software/temas/complementos obsoletos.
  • Restablezca sus contraseñas inmediatamente con una política de contraseña segura.
  • Active 2FA/MFA siempre que sea posible para agregar una capa adicional de autenticación.

Además, si está utilizando activamente Web Application Firewall (WAF), revise su configuración existente para determinar los cambios que deben realizarse. Tenga en cuenta que, si bien los WAF ayudan a cumplir con varios estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS), no son una panacea. Hay otros factores que pueden afectar a su negocio, especialmente el factor humano.
5. recuperar — la planificación de la recuperación ocurrirá cuando se lleve a cabo un análisis completo de todas las etapas en caso de un incidente. La recuperación también está vinculada a tener un plan de respaldo para situaciones en las que fallaron todos los pasos anteriores, como ataques de ransomware.

Este proceso también debe incluir la organización de tiempo para hablar con su proveedor de seguridad sobre cómo mejorar los puntos débiles. Están mejor equipados para ofrecer información sobre lo que se puede hacer.

Tener una estrategia de comunicación.

Si algún dato está en riesgo, informe a sus clientes. Esto es especialmente importante si está haciendo negocios en la UE, donde una organización debe informar una violación de datos dentro de las 72 horas de acuerdo con el Artículo 33 del Reglamento General de Protección de Datos (GDPR) .

Usar copia de seguridad automática

No importa lo que haga para proteger su sitio web, el riesgo nunca será cero. Si la funcionalidad de su sitio web está dañada, necesita una forma de restaurar rápidamente los datos, no uno, sino al menos dos. Es extremadamente importante tener una copia de seguridad local de toda la aplicación y una copia de seguridad externa que no esté directamente vinculada a la aplicación en caso de falla o ataque de hardware.

¿Cómo proteger su sitio y garantizar la seguridad?

¿Cómo asegurar un sitio web? Protección contra ataques DDoS y vulnerabilidades.

La importancia de la seguridad del sitio web no puede subestimarse. En esta sección, veremos cómo mantener su sitio web seguro y protegido. Esta no es una guía paso a paso, pero le proporcionará recomendaciones de seguridad del sitio web para encontrar los servicios adecuados para sus necesidades.
1. Actualizar todo - Innumerables sitios web están en riesgo todos los días debido a software obsoleto e inseguro. Es importante actualizar su sitio tan pronto como esté disponible un nuevo complemento o versión del CMS. Estas actualizaciones pueden simplemente contener mejoras de seguridad o corregir vulnerabilidades.
La mayoría de los ataques a sitios web están automatizados. Los bots rastrean constantemente todos los sitios que pueden en busca de oportunidades de explotación. Ya no es suficiente actualizar una vez al mes o incluso una vez a la semana, porque lo más probable es que los bots encuentren una vulnerabilidad antes de que la arregles.
Es por eso que debe usar un firewall de sitio web que prácticamente cerrará el agujero de seguridad tan pronto como se publiquen las actualizaciones. Si tiene un sitio web de WordPress, un complemento que debe considerar es WP Updates Notifier. Le envía un correo electrónico para informarle cuando un complemento o una actualización del núcleo de WordPress está disponible.
2. Tener contraseñas seguras Tener un sitio web seguro depende mucho de tu seguridad. ¿Ha pensado alguna vez en cómo las contraseñas que utiliza pueden amenazar la seguridad de su sitio?
Para limpiar los sitios web infectados, los remediadores deben iniciar sesión en el sitio o servidor del cliente con sus credenciales de usuario administrador. Es posible que se sorprendan al ver cuán inseguras pueden ser las contraseñas de root. Con inicios de sesión como admin/admin, es posible que no tenga ninguna contraseña.
Los piratas informáticos combinarán datos de la red con listas de palabras del diccionario para generar listas aún más grandes de posibles contraseñas. Si las contraseñas que usa están en una de estas listas, es solo cuestión de tiempo antes de que su sitio se vea comprometido.

Recomendaciones de contraseña segura

Recomendaciones para crear una contraseña segura:

  • No reutilices las contraseñas: cada una de tus contraseñas debe ser única. Un administrador de contraseñas puede facilitar esta tarea.
  • Utilice contraseñas largas. Intente usar más de 12 caracteres. Cuanto más larga sea la contraseña, más tardará un programa informático en descifrarla.
  • Usa contraseñas aleatorias. Los programas para descifrar contraseñas pueden adivinar millones de contraseñas en minutos si contienen palabras que se encuentran en Internet o en diccionarios. Si su contraseña tiene palabras reales, no es aleatoria. Si puede pronunciar fácilmente su contraseña, significa que no es lo suficientemente segura. Incluso la sustitución de caracteres (es decir, reemplazar la letra O con el número 0) no es suficiente. Hay varios administradores de contraseñas útiles, como LastPass (en línea) y KeePass 2 (fuera de línea). Estas herramientas almacenan todas sus contraseñas en un formato encriptado y pueden generar fácilmente contraseñas aleatorias con solo hacer clic en un botón. Los administradores de contraseñas le permiten usar contraseñas seguras sin tener que recordar las más débiles o escribirlas.

3. Un sitio = un almacenamiento Alojar muchos sitios web en un servidor puede parecer ideal, especialmente si tiene un plan de alojamiento web "ilimitado". Desafortunadamente, esta es una de las peores prácticas de seguridad que puede utilizar. La ubicación de múltiples sitios en una ubicación crea una superficie de ataque muy grande. Debe tener en cuenta que la contaminación cruzada es muy común. Esto es cuando un sitio se ve afectado negativamente por sitios vecinos en el mismo servidor debido a un aislamiento del servidor o una configuración de cuenta deficientes.
Por ejemplo, un servidor que aloja un sitio podría tener una instalación de WordPress con un tema y 10 complementos que podrían ser el objetivo de un atacante. Si aloja cinco sitios en un servidor, un atacante podría tener tres instalaciones de WordPress, dos instalaciones de Joomla, cinco temas y 50 complementos que podrían ser objetivos potenciales. Peor aún, una vez que un atacante ha encontrado un exploit en un sitio, la infección puede propagarse fácilmente a otros sitios en el mismo servidor.

Esto no solo puede hacer que todos sus sitios sean pirateados al mismo tiempo, sino que también hará que el proceso de limpieza sea mucho más lento y difícil. Los sitios infectados pueden volver a infectarse entre sí, provocando un ciclo sin fin.

Una vez que la limpieza fue exitosa, ahora tiene una tarea mucho más difícil cuando se trata de restablecer sus contraseñas. En lugar de un sitio, tienes varios. Cada contraseña asociada con cada sitio web en el servidor debe cambiarse después de que desaparezca la infección. Esto incluye todas las bases de datos de su CMS y los usuarios del Protocolo de transferencia de archivos (FTP) para cada uno de estos sitios web. Si omite este paso, todos los sitios web pueden volver a infectarse y deberá reiniciar el proceso.
4. Restricción del acceso y los permisos de los usuarios Es posible que el código de su sitio web no sea el objetivo de un atacante, pero sus usuarios sí lo serán. El registro de las direcciones IP y todo el historial de actividades será útil para el análisis forense posterior.
Por ejemplo, un aumento significativo en el número de usuarios registrados puede indicar una falla en el proceso de registro y permitir que los spammers inunden su sitio con contenido falso.

Principio de mínimo privilegio

El principio de privilegio mínimo se basa en un principio que tiene como objetivo lograr dos objetivos:

  1. Usar el conjunto mínimo de privilegios en el sistema para realizar una acción;
  2. Concesión de estos privilegios sólo para el momento en que se necesita la acción.

Otorgar privilegios a ciertos roles dictará lo que pueden y no pueden hacer. En un sistema ideal, un rol detendría a cualquiera que intente realizar una acción fuera de lo que estaba destinado a hacer.
Por ejemplo, suponga que un administrador puede incrustar HTML sin filtrar en publicaciones o ejecutar comandos para instalar complementos. ¿Es una vulnerabilidad? No, esta es una función basada en un elemento muy importante: la confianza. Sin embargo, ¿debería el autor tener los mismos privilegios y acceso? Considere separar los roles en función de la confianza y bloquee todas las cuentas.
Esto solo se aplica a sitios con múltiples usuarios o inicios de sesión. Es importante que cada usuario tenga los permisos necesarios para realizar su trabajo. Si actualmente necesita permisos extendidos, concédalos. Luego reduzca la escala una vez que el trabajo esté terminado.

Por ejemplo, si alguien quiere escribir una publicación de blog como invitado para usted, asegúrese de que su cuenta no tenga derechos de administrador completos. La cuenta solo debería poder crear nuevas publicaciones y editar sus propias publicaciones porque no necesitan cambiar la configuración del sitio web. Las funciones de usuario y las reglas de acceso cuidadosamente definidas limitarán cualquier posible error. También reduce la cantidad de cuentas comprometidas y puede proteger contra daños causados por usuarios fraudulentos.
Esta es una parte que a menudo se pasa por alto en la gestión de usuarios: responsabilidad y supervisión. Si varias personas usan la misma cuenta de usuario y ese usuario realiza cambios no deseados, ¿cómo sabe quién es el responsable en su equipo?
Si tiene cuentas separadas para cada usuario, puede seguir su comportamiento mirando los registros y conociendo sus tendencias habituales, como cuándo y dónde suelen visitar un sitio web. Por lo tanto, si un usuario inicia sesión en un momento extraño o desde una ubicación sospechosa, puede investigar. Mantener registros de auditoría es vital para realizar un seguimiento de cualquier cambio sospechoso en su sitio web.

Un registro de auditoría es un documento que registra eventos en un sitio web para que puedas detectar anomalías y confirmarle al responsable que la cuenta no ha sido comprometida.

Por supuesto, el registro de auditoría manual puede ser difícil para algunos usuarios. Si tiene un sitio web de WordPress, puede usar el complemento de seguridad gratuito de Sucuri, que se puede descargar desde el repositorio oficial de WordPress.

Permisos de archivo

Los permisos de archivo determinan quién puede hacer qué con un archivo. Cada archivo tiene tres permisos disponibles y cada permiso está representado por un número:

  1. Leer (4): ver el contenido del archivo;
  2. Escribir (2): cambiar el contenido del archivo;
  3. Ejecutar (1): Ejecutar un archivo de programa o script.

Si desea permitir múltiples permisos, simplemente sume los números, por ejemplo, para permitir lectura (4) y escritura (2), establezca el permiso del usuario en 6. Si desea permitir que el usuario lea (4), escribir (2) y hacer (1), luego establezca el permiso de usuario en 7.

Tipos de usuarios

También hay tres tipos de usuarios:

  1. Propietario: suele ser el creador del archivo, pero se puede cambiar. Solo un usuario puede ser el propietario;
  2. Grupo: A cada archivo se le asigna un grupo y cualquier usuario que sea parte de este grupo obtendrá estos permisos;
  3. Generales: todos los demás.

Por lo tanto, si desea que el propietario tenga acceso de lectura y escritura, que el grupo tenga acceso de solo lectura y que el público no tenga acceso, la configuración de permisos de archivo debe ser:
5. Cambiar la configuración predeterminada de CMS Las aplicaciones CMS modernas (aunque fáciles de usar) pueden ser un desafío en términos de seguridad para los usuarios finales. Con mucho, los ataques más comunes a los sitios web están completamente automatizados. Muchos de estos ataques se basan en que los usuarios solo tienen configuraciones predeterminadas. Esto significa que puede evitar muchos ataques simplemente cambiando la configuración predeterminada al instalar el CMS de su elección.
Por ejemplo, algunas aplicaciones de CMS son editables por el usuario, lo que le permite instalar las extensiones que desee.
Hay configuraciones que puede ajustar para controlar los comentarios, los usuarios y la visibilidad de su información de usuario. Los permisos de archivo son otro ejemplo de una configuración predeterminada que se puede mejorar.
Puede cambiar estos valores predeterminados cuando instale el CMS o posterior, pero no olvide hacerlo.
6. Elección de extensión (complementos) A los webmasters les suele gustar la extensibilidad de las aplicaciones CMS, pero también puede ser uno de los mayores inconvenientes. Hay complementos, complementos y extensiones que brindan casi todas las funciones que pueda imaginar. Pero, ¿cómo saber cuál es seguro instalar?

Elegir extensiones seguras (complementos): la seguridad principal del sitio

Esto es lo que debe buscar al elegir extensiones:

  • Cuándo se actualizó por última vez la extensión (complemento): si la última actualización fue hace más de un año, es posible que el autor haya dejado de trabajar en ella. Utilice extensiones que estén en desarrollo activo porque esto indica que el autor al menos estará dispuesto a implementar una solución si se encuentran problemas de seguridad. Además, si una extensión no es compatible con el autor, puede dejar de funcionar si las actualizaciones del kernel causan conflictos.
  • Edad de la extensión (complemento) y número de instalaciones. Una extensión desarrollada por un autor establecido con muchas instalaciones es más confiable que una extensión con pocas instalaciones lanzada por un desarrollador novato. Los desarrolladores experimentados no solo tienen una mejor comprensión de las mejores prácticas de seguridad, sino que también es mucho menos probable que dañen su reputación al insertar código malicioso en su extensión.
  • Fuentes legales y confiables: descargue complementos, extensiones y temas de fuentes legítimas. Tenga cuidado con las versiones gratuitas, que pueden ser pirateadas e infectadas con malware. Hay algunas extensiones cuyo único propósito es infectar tantos sitios web como sea posible con malware.

7. Tenga copias de seguridad de sus sitios web – en caso de pirateo, las copias de seguridad del sitio web son fundamentales para recuperar su sitio web de una brecha de seguridad importante. Si bien no debe considerarse un reemplazo de la solución de seguridad de un sitio web, una copia de seguridad puede ayudar a recuperar archivos dañados.

Elegir la mejor solución de copia de seguridad del sitio web

Una buena solución de copia de seguridad debe cumplir los siguientes requisitos:
— Primero, deben estar fuera del sitio. Si sus copias de seguridad se almacenan en el servidor de su sitio web, son tan vulnerables a los ataques como cualquier otra cosa. Debe almacenar sus copias de seguridad fuera del sitio porque desea que sus datos respaldados estén a salvo de piratas informáticos y fallas de hardware. El almacenamiento de copias de seguridad en su servidor web también es un riesgo de seguridad importante. Estas copias de seguridad siempre contienen versiones sin parches de su CMS y extensiones, lo que brinda a los piratas informáticos un fácil acceso a su servidor.
- En segundo lugar, sus copias de seguridad deben ser automáticas. Haces tantas cosas todos los días que tener que recordar hacer una copia de seguridad de tu sitio web puede ser impensable. Utilice una solución de copia de seguridad que se pueda programar según las necesidades de su sitio web.
Para terminar, tener una recuperación confiable. Esto significa tener copias de seguridad de sus copias de seguridad y probarlas para asegurarse de que realmente funcionan. Necesitará varias copias de seguridad para la redundancia. Al hacer esto, puede recuperar archivos anteriores al hackeo.
8. Archivos de configuración del servidor: revise los archivos de configuración de su servidor web: los servidores web Apache usan el archivo .htaccess, los servidores Nginx usan nginx.conf, los servidores Microsoft IIS usan web.config.
Los archivos de configuración del servidor, que suelen estar ubicados en el directorio raíz web, son muy potentes. Le permiten hacer cumplir las reglas del servidor, incluidas las directivas que aumentan la seguridad de su sitio. Si no está seguro de qué servidor web está utilizando, ejecute su sitio web a través de Sitecheck y vaya a la pestaña "Detalles del sitio web".

Seguridad del sitio: mejores prácticas del servidor web

Aquí hay algunas pautas que puede agregar para un servidor web específico:

  • Denegar el acceso a los directorios: esto evita que los atacantes vean el contenido de todos los directorios del sitio web. Limitar la información disponible para los atacantes siempre es una medida de seguridad útil.
  • Prevención de enlaces directos de imágenes: aunque no es estrictamente una mejora de la seguridad, evita que otros sitios web muestren imágenes alojadas en su servidor web. Si las personas comienzan a vincular imágenes desde su servidor, el ancho de banda permitido de su plan de alojamiento puede usarse rápidamente para mostrar imágenes para el sitio de otra persona.
  • Protección de archivos confidenciales: puede establecer reglas para proteger archivos y carpetas específicos. Los archivos de configuración de CMS son uno de los archivos más importantes almacenados en un servidor web porque contienen información de inicio de sesión de la base de datos en texto sin formato. Otros lugares, como áreas administrativas, pueden estar bloqueados. También puede restringir la ejecución de PHP a directorios que contengan imágenes o que permitan cargas.

9. Instalar un certificado SSL - Los certificados SSL se utilizan para cifrar los datos en tránsito entre el host (servidor web o cortafuegos) y el cliente (navegador web). Esto ayuda a garantizar que su información se envíe al servidor correcto y no sea interceptada.
Algunos tipos de certificados SSL, como el certificado SSL organizacional o el certificado SSL de validación extendida, agregan una capa adicional de confianza porque el visitante puede ver los detalles de su organización y saber que usted es una persona legítima.
Como empresa de seguridad de sitios web, debemos educar a los webmasters y hacerles conscientes de que los certificados SSL no protegen los sitios web de ataques y piratería. Los certificados SSL encriptan los datos en tránsito, pero no agregan una capa de seguridad al sitio web en sí.
10. Instalar herramientas de escaneo y monitoreo - controlar cada paso para garantizar la integridad de la aplicación. Los mecanismos de alerta pueden reducir el tiempo de respuesta y reducir los daños en caso de incumplimiento. Sin verificaciones ni escaneos, ¿cómo sabe si su sitio se ha visto comprometido?
Los registros de al menos un mes pueden ser muy útiles para detectar bloqueos de aplicaciones. También mostrarán si el servidor está bajo un ataque DDoS o si tiene una carga innecesaria. Registre y revise regularmente todas las actividades que ocurren en las partes críticas de la aplicación, especialmente (pero no exclusivamente) las áreas de administración. Un atacante podría intentar usar una parte menos importante del sitio para obtener un mayor nivel de acceso más adelante.
Asegúrese de crear activadores para notificarle en caso de un ataque de fuerza bruta o un intento de utilizar cualquiera de las funciones del sitio, incluidas aquellas que no están relacionadas con los sistemas de autenticación. Es importante comprobar regularmente si hay actualizaciones y aplicarlas para asegurarse de que tiene instalados los parches de seguridad más recientes. Esto es especialmente cierto si no habilita el firewall de la aplicación web para bloquear los intentos de aprovechar la vulnerabilidad.
11. Siga las pautas de seguridad personal - proteger su computadora personal es una tarea importante para los propietarios de sitios web. Sus dispositivos pueden convertirse en un vector de infección y provocar que su sitio sea pirateado.
Una buena guía de seguridad de sitios web menciona escanear su computadora en busca de malware si su sitio web ha sido pirateado. Se sabe que el malware se infiltra desde la computadora de un usuario infectado a través de editores de texto y clientes FTP.
Debe eliminar todos los programas no utilizados de su computadora. Este paso es importante porque estos programas también pueden tener problemas de privacidad, al igual que los complementos y temas no utilizados en su sitio web.
Si algo no está instalado, no puede convertirse en un vector de ataque para infectar su máquina, especialmente una extensión del navegador. Tienen acceso completo a los sitios web cuando los webmasters inician sesión en sus interfaces de administración. Cuanto menos tengas instalado en tu ordenador, mejor.
Si no está seguro del propósito de una aplicación en particular, investigue un poco en línea para ver si es necesaria o si puede eliminarla. Si no tiene la intención de usarlo, quítelo.
12. Usar un cortafuegos de sitio web - Usar solo certificados SSL no es suficiente para evitar que un atacante acceda a información confidencial. Una vulnerabilidad en su aplicación web podría permitir que un atacante intercepte el tráfico, envíe visitantes a sitios web falsos, muestre información falsa, tome como rehén un sitio web (ransomware) o elimine todos sus datos.
Incluso con una aplicación completamente parcheada, un atacante también puede atacar su servidor o red mediante ataques DDoS para ralentizar o deshabilitar un sitio web. Web Application Firewall (WAF) está diseñado para evitar este tipo de ataques en sitios web y le permite concentrarse en su negocio.

Medidas adicionales sin sitio web

Para proteger sus sitios web y hacer que Internet sea más seguro, utilice estos recursos y herramientas gratuitos.
1. Herramientas de protección de sitios web - Aquí hay algunas herramientas gratuitas de seguridad de sitios web:

1.1 SiteCheck es un escáner gratuito de software malicioso y de verificación sin sitio.
1.2 Sucuri Load Time Tester: compruebe y compare la velocidad del sitio web.
1.3 Sucuri WordPress Security Plugin - Auditoría, escáner de malware y refuerzo de seguridad para sitios web de WordPress.
1.4 Google Search Console: alertas de seguridad y herramientas para medir el tráfico de búsqueda y el rendimiento del sitio web.
1.5 Herramientas para webmasters de Bing: diagnósticos de motores de búsqueda e informes de seguridad.
1.6 Yandex Webmaster: búsqueda web y notificaciones de brechas de seguridad.
1.6 Unmaskparasites: comprobación de páginas en busca de contenido ilegal oculto.
1.7 Mejor WAF: comparación de los mejores cortafuegos para aplicaciones web en la nube.

2. Recursos adicionales Estos son algunos recursos educativos sobre seguridad de sitios web:

2.2 Sucuri Labs - Investigación de amenazas, base de datos de firmas de malware y estadísticas.
2.3 OWASP es un proyecto de seguridad de aplicaciones web de código abierto.
2.4 Lista de verificación de cumplimiento de PCI - Lista de verificación de cumplimiento de PCI.
2.5 Instituto SANS - formación, certificación e investigación en el campo de la seguridad de la información.
2.6 NIST - Instituto Nacional de Estándares y Tecnología.

Preguntas frecuentes sobre la seguridad del sitio web

¿Por qué es importante la seguridad del sitio web?

La seguridad del sitio web es vital para mantener un sitio web en línea y seguro para los visitantes. Sin la debida atención a la seguridad del sitio web, los piratas informáticos pueden aprovechar su sitio web, desactivarlo y afectar su presencia en línea. Las consecuencias de un ataque a un sitio web pueden incluir pérdidas financieras, problemas de reputación de marca y clasificaciones bajas en los motores de búsqueda.

¿Cuáles son los riesgos de seguridad para un sitio web?

Los principales riesgos de seguridad del sitio web incluyen: código vulnerable, control de acceso deficiente y uso de recursos del servidor. Por ejemplo, los ataques DDoS pueden hacer que un sitio sea inaccesible para los visitantes en minutos. Hay muchas razones por las que los sitios web son pirateados; una contraseña débil o un complemento desactualizado pueden provocar que un sitio sea pirateado.

¿Qué hace que un sitio sea seguro?

Se activa un firewall de aplicaciones web en un sitio web seguro para evitar ataques y piratería. También sigue las mejores prácticas de seguridad del sitio web y no tiene problemas de configuración ni vulnerabilidades conocidas. Puede usar SiteCheck para ver si un sitio web tiene un firewall, anomalías de seguridad, malware o está en la lista negra. SiteCheck para ver si un sitio web tiene un firewall, anomalías de seguridad, malware o está en la lista negra.

¿Necesito seguridad para mi sitio?

Si seguro. La seguridad del sitio web no está incluida en la mayoría de los paquetes de alojamiento web. La seguridad del sitio web es responsabilidad del propietario del sitio web. La seguridad debe ser una de las primeras consideraciones al configurar un sitio web y un proceso de verificación continuo. Si un sitio web no es seguro, puede convertirse en presa fácil para los ciberdelincuentes.

¿Cómo hacer que mi sitio sea seguro?

Puede proteger su sitio web siguiendo las mejores prácticas de seguridad del sitio web, como:

  • Utilice un cortafuegos para sitios web.
  • Utilice siempre la última versión del CMS, complementos, temas y servicios de terceros del sitio.
  • Mantener y utilizar contraseñas seguras.
  • Proporcione solo el tipo de acceso que alguien necesita para completar una tarea.
  • Instale herramientas de escaneo y monitoreo para garantizar la integridad de su sitio.
  • Instale certificados SSL para el cifrado de datos.
  • Mantenga copias de seguridad de los sitios web.

Leyendo este artículo:

Gracias por leer: AYUDANTE DE SEO | NICOLA.TOP

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación 5 / 5. Recuento de votos: 357

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

También te podría gustar...

1 respuesta

  1. Евгений dice:

    Muchas soluciones para garantizar la seguridad y la protección del sitio contra piratería y amenazas. Tienes dos categorías sobre este tema. No pensé que fuera tan grande. Gracias por el contenido detallado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

diecinueve − 5 =