Proteger el sitio web frente a hackers y malware - 6 consejos para aumentar la seguridad

Los propietarios de sitios web deben estar preparados en todo momento para ataques de hackers contra su presencia en línea. Pero, ¿qué medidas se pueden tomar para proteger su sitio web frente a hackers y malware? Hemos recopilado 6 consejos prácticos para usted.

¿Qué sitios web están afectados?

Cualquier presencia en Internet constituye un objetivo potencial para los ataques de piratas informáticos. Incluso si se trata de una pequeña página dedicada a un tema de nicho con pocos visitantes, el sitio puede convertirse en objetivo de los atacantes. Los sitios web dinámicos, como los creados con software popular como WordPress o Joomla, están por lo general expuestos a un mayor riesgo. Para los hackers representan una superficie de ataque mucho mayor debido al extenso y complejo código, que la que ofrecen los sencillos sitios HTML estáticos.

¿Por qué se convierte su sitio web en objetivo de los hackers?

Muchos administradores se preguntan por qué su página llega a ser objetivo de hackers, especialmente cuando se trata de un pequeño proyecto que no almacena información sensible como datos de clientes, cuentas bancarias u otros datos similares. Los atacantes persiguen distintos objetivos con sus ataques:

• Robo de datos e información
• Los hackers atacan sitios web para obtener nombres de usuario y contraseñas u otra información sobre el servidor web. Una vez obtenidos esos datos, pueden usarlos para acceder a otros sistemas. Este tipo de ataques resulta especialmente peligroso para responsables de sitios como tiendas online, ya que no solo se perjudica el negocio, sino que también pueden surgir consecuencias legales.
• Secuestro (hijacking)
• El término secuestro se refiere a la apropiación de una única página web o de un servidor completo. Los hackers intentan obtener acceso a plataformas ajenas para utilizarlas posteriormente con fines propios. De este modo, los sistemas secuestrados se emplean como distribuidores de spam o de contenidos ilegales, o sirven como base para nuevos ataques, dificultando el rastreo de los atacantes.
• Influencia en los motores de búsqueda
• Los visitantes que llegan a un sitio web a través de motores de búsqueda suponen en muchos casos una parte importante de los ingresos de un proyecto web. Por ello, los responsables de sitios intentan posicionar su página lo más arriba posible y mantener las ofertas de la competencia lo más abajo en las páginas de resultados. Los hackers acceden a sitios para insertar enlaces a otras páginas, mejorando así el ranking de esas últimas en los motores de búsqueda, o intentan dañar directamente a un competidor mediante modificaciones en el contenido.

¿Cómo se puede proteger la propia página web?

El webmaster de cada sitio web es plenamente responsable de su seguridad. Los visitantes y clientes deben estar protegidos en todo momento, la información sensible debe tratarse de forma confidencial y transmitirse cifrada, y la página debe protegerse contra ataques en la mayor medida posible. Los siguientes consejos ayudan a aumentar la seguridad de su sitio web:

Mantener el software siempre actualizado

La causa más frecuente de los ataques exitosos a sitios web son las aplicaciones web desactualizadas. Especialmente en sitios dinámicos que usan sistemas de gestión de contenidos (CMS) como WordPress o Joomla, con regularidad aparecen actualizaciones importantes. Estas no solo aportan nuevas funciones, sino que también corrigen fallos de seguridad conocidos de versiones anteriores. Por ello, los hackers buscan deliberadamente aplicaciones web desactualizadas, ya que las probabilidades de una intrusión exitosa son mucho mayores. Si se utiliza software adicional como módulos o plugins, estos también deben mantenerse siempre actualizados.

Usar contraseñas seguras

Otra causa habitual de los ataques exitosos a sitios web son las contraseñas inseguras. El uso de contraseñas complejas debería ser algo obvio; sin embargo, la mayoría de los usuarios tiende a seguir empleando contraseñas simples, como su propio nombre de pila o, en empresas, el nombre de la compañía. Estos términos no suponen una gran barrera para los atacantes y a menudo se descifran en poco tiempo. Al elegir contraseñas, hay que usar obligatoriamente mayúsculas y minúsculas, números y caracteres especiales. Además, las contraseñas seguras deberían tener una longitud mínima de entre ocho y diez caracteres.

Usar nombres de usuario seguros

Lo mismo que con las contraseñas se aplica a los nombres de usuario. Por comodidad suele usarse nombres de usuario sencillos como administrador o el propio nombre, en lugar de dificultar la tarea a los atacantes eligiendo combinaciones de caracteres más personales. Si el nombre de usuario no es obvio, los atacantes deben averiguarlo primero, lo que supone un esfuerzo doble y aumenta considerablemente la seguridad del sitio.

Proteger los formularios

Los formularios suelen ser un punto débil en las páginas web. Funciones habituales como formularios de contacto, libros de visitas o campos de comentarios, que permiten a los visitantes introducir datos directamente en la web y transmitirlos, suelen ser vectores de amenazas. Hay que extremar las precauciones al usar estos formularios y protegerlos frente a peticiones automatizadas mediante CAPTCHAs (prueba de Turing pública completamente automatizada para distinguir ordenadores de personas).

Usar cifrado SSL

El uso de un certificado SSL permite una conexión cifrada entre el sitio web y el visitante. De este modo, todos los datos pueden transmitirse de forma segura sin que terceros no autorizados puedan acceder a ellos. Especialmente en el caso de datos sensibles, como las credenciales de acceso a la interfaz de administración de los sistemas de gestión de contenidos, el cifrado SSL puede aumentar la seguridad de su sitio web.

Crear copias de seguridad periódicas

Debe realizar copias de seguridad de su sitio web a intervalos regulares. Si se produjera una compromisión de sus datos, todo el sitio podría tener que eliminarse y restaurarse. Para evitar un gran esfuerzo al volver a configurarlo, las copias de seguridad deben mantenerse siempre actualizadas. Normalmente, el proveedor de hosting web realiza copias de seguridad automáticas, pero, por seguridad, es imprescindible crear también sus propias copias de seguridad.

Si gestiona su propio servidor, encontrará más información sobre el tema de la seguridad en los siguientes artículos:

• Proteger servidores web Linux frente a ataques de hackers
• Proteger servidores web Windows frente a ataques de hackers

Si utiliza WordPress para su sitio web, lea también el siguiente artículo sobre seguridad:

Asegurar el hosting web de WordPress

Dado que con el uso creciente de Internet y el cada vez mayor número de sitios web con frecuencia se envía información sensible como datos bancarios, contraseñas y documentos confidenciales a través de la red, el número de ataques de hackers también aumenta constantemente. Independientemente del tipo de presencia online que tenga, cualquier sitio web puede ser objeto de ataques de hackers. Por ello, todo administrador web debería ocuparse del tema de la seguridad y tomar las medidas adecuadas para su propio sitio web.