11/10/2019 TOP 10 medidas de seguridad para tu web
Proteger tu página web es fundamental, no sólo para salvaguardar tu negocio (que también), sino para garantizar la seguridad y proteger los datos de tus clientes y usuarios. Según la Ley Orgánica sobre la Protección de Datos Personales, el responsable del sitio web debe adoptar las medidas necesarias que garanticen la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
Las amenazas pueden provenir con diferentes objetivos: impedir el correcto funcionamiento de la web, modificar el código o interceptar / robar datos personales. Por pequeño que sea tu sitio web, nadie está exento de un ataque cibernético. Por ello, hoy describimos las 10 principales medidas para proteger un sitio web y sus datos.
1. Protocolo HTTPS
El HTTPS es un protocolo de seguridad que permite establecer una conexión segura entre el servidor y la página web. Este sistema encripta los datos que se transmiten para evitar que nadie pueda interceptar.
El protocolo HTTPS ha ganado importancia en los últimos años, ya que protege los datos introducidos por los usuarios (correo electrónico, dirección, teléfono o datos bancarios). Contar con este sistema de seguridad es una manera de cuidar de los usuarios que visitan el sitio web, además de que es un factor recomendado por Google y podría influir en el posicionamiento orgánico de la web.
2. Contraseñas de acceso complejas
Esta acción de seguridad es aplicable al login de cualquier plataforma. Los hackers utilizan sistemas que prueban todo tipo de combinaciones hasta encontrar la contraseña correcta. Por ello no es recomendable utilizar nombres y palabras "que aparecen en el diccionario" así como fechas y números relacionados con datos del usuario. También hay que evitar utilizar la misma contraseña para varias plataformas, ya que una vez descubierta, el hacker tiene acceso a todos estos lugares.
Una contraseña mínimamente segura debe tener una longitud considerable (10 o más caracteres), usar tanto letras como números y combinar mayúsculas, minúsculas y caracteres especiales.
3. Última versión del gestor de contenidos
Otra de las acciones para mejorar la seguridad del sitio web es mantenerlo actualizado a su última versión. Tanto si trabajamos con Wordpress, Prestashop, Drupal o cualquier otro gestor, actualizarlo a su última versión permitirá eliminar posibles vulnerabilidades y hacer frente a nuevos cyberatacs.
La actualización a la última versión también tiene otras ventajas por el sitio web, ya que se trata de trabajar con una versión mejorada en todos los ámbitos: mejora de la velocidad web, preparación para SEO, adaptación a móvil, facilidad de administración, etc.
ATENCIÓN: Esta tarea requiere conocimientos avanzados en administración y programación, ya que al actualizar el CMS es posible que la plantilla o algunos módulos no sean compatibles.
4. Plantilla en la última versión
La plantilla del sitio web se refiere al diseño y estructura visual de los diferentes elementos. Si trabajamos con una plantilla comprada (la mayoría de los casos) es necesario renovar las licencias y mantenerla al día siempre que haya una versión actualizada.
5. Actualización de módulos/pluggins
De manera similar, los módulos van presentando versiones actualizadas. Algunas de estas actualizaciones son cambios banales pero hay otras que son mejoras de seguridad: solucionan vulnerabilidades y errores críticos al programa. Algunos ataques cibernéticos aprovechan estos "agujeros de seguridad" para introducir malware, robar la identidad o atacar el sistema.
6. Hosting de calidad
En el mercado hay infinidad de empresas de hosting y cada una tiene sus características y precios. Algunos de estos servicios cuentan medidas de seguridad avanzadas. Otras, en cambio, son muy sencillos y se convierten en fáciles de atacar. Estas son las medidas de seguridad que debería incorporar un servidor para garantizar la seguridad de los datos:
- Protección Anti-DDos: Protección contra los ataques que saturan el servidor mediante el envío de una gran cantidad de solicitudes al servidor.
- Contar con un Firewall o cortafuegos: Es la primera capa de seguridad para impedir que intrusos puedan acceder al servidor.
- Copias de seguridad periódicas: Medida para que, en caso de ataque, podamos recuperar los datos de hosting y restaurar la web.
Desde Avellana Digital proporcionamos un servicio de hosting con prestaciones completas en cuanto a la seguridad del mismo, así como copias de seguridad diarias de forma automática.
7. Restringir l’accés a alguns arxius
Mediante programación también podemos modificar los permisos de acceso a determinados archivos más sensibles, vía FTP. Esta es una tarea que requiere conocimientos técnicos para asegurar que no se están haciendo cambios que afectan el buen funcionamiento de la página web.
8. Actuar contra el spam
El Spam es un verdadero problema, especialmente por la gran magnitud de los correos no deseados. Los ataques de spam en el correo electrónico pueden debilitar el servidor o causar otros daños. Esto se soluciona en gran parte con un servicio de anti-spam, que normalmente incluyen anti-malware, anti-virus y protección contra el phishing.
También recomendamos no mostrar la dirección de correo electrónico completa en el sitio web ya que puede ser objeto de ataque por parte de bots maliciosos. Algunas soluciones son evitar el símbolo @ y escribir en su lugar [arroba], o bien mostrarlo mediante una imagen.
Por otra parte, es necesario disponer de filtros reCAPTCHA, que comprueban que el usuario es humano y no un robot. Esta acción de seguridad sencilla que puede evitar muchos dolores de cabeza.
9. Limitar los intentos de login
Al igual que la contraseña PIN del móvil, es aconsejable aplicar seguridad al intentar acceder al backoffice del sitio web, de modo que el sistema se bloquee cuando detecte varios intentos erróneos de acceso. Esta acción dificultará a los hackers la entrada en el sitio web, ya sea mediante el backoffice como por FTP.
10. Antivirus en tu ordenador
A veces centramos la atención en la seguridad del servidor y del sitio web sin darnos cuenta que el ataque puede venir desde el propio ordenador del cliente. El riesgo se agrava aún más con la posibilidad de acceder desde cualquier ordenador o dispositivo. Por ello, además de asegurarnos de que nuestro ordenador está protegido con antivirus, hay que evitar acceder a las zonas internas de la web desde ordenadores que no son propios y / o desconozcamos sus métodos de seguridad.