fbpx
La seguridad interna de tu sitio web que debes asegurar
abril 18, 2021

La seguridad interna de tu sitio web que debes asegurar

Comparte
facebooktwitter

No tiene sentido proteger una página web si es de una empresa pequeña en todo caso ¿Quién quisiera hackear una web pequeña?

Esta afirmación es mentira en su totalidad según un estudio, ya que, el 43% de los ataques cibernéticos están dirigidos a empresas pequeñas.

Solo debemos pensar que existen bots que están buscando sin descanso vulnerabilidades en todas las páginas webs.

Tranquilo podrás dormir sin preocuparte de que te ocurra esto, si por lo menos tienes implementados estos elementos de seguridad:

Seguridad con un certificado SSL en tu página web

Pusimos este de primero por ser el más importante de todos. No solo evitará que roben información de tus clientes, sino que también evitará huecos de seguridad que podría atacar fácilmente un bot

Del funcionamiento lo que necesitas saber del certificado SSL es que nos asegura que la información que se envía por un formulario sea enviada de forma segura.

pagos seguros el un certificado SSL

Es decir, si tu página cuenta con comentarios, registro de sección o reseñas de producto es obligatorio que implemente alguna alternativa gratuita de SSL (que son extremadamente eficientes si se implementa de forma correcta)

Mientras que, si se va a enviar información más sensible, como datos bancarios o información del gobierno, lo mejor será pagar por un certificado premium solo para asegurarnos.

Aquí entra una pequeña excepción en los datos bancarios, porque si se van a introducir esos datos en una pasarela de pago externa como PayPal, Stripe, PayU… no habría inconvenientes porque ya cuenta con un buen certificado SSL.

Restricción a la zona administrativa

En la mayoría de las páginas web hay una zona especial donde se puede manipular toda la página web o donde hay datos privados de la empresa siendo de vital importante evitar que algún hacker pueda tener acceso.

Por esto es importante que no solo implementes todos los puntos de seguridad en las zonas visibles para tus clientes, sino que también, se realicen en la zona administrativa. 

Adicional a todo esto podrías tener en consideración este punto:

Ocultar la zona administrativa

Tan solo considerar que, el inicio de sesión de una zona administrativa no sea tan evidente como “tu_dominio.com/admin” o “tu_dominio.com/wp-admin” (en el caso de usar WordPress)

Tampoco es necesario que sea algo tan complejo que luego se te dificulte recordar puede ser “administrador_de_la_web”, fácil de recordar y de seguro no lo usan ni el 0,001% de las webs.

 Es importante saber que este punto no es tan relevante como otros, así que, si te sientes cómodo usando ese método de acceso no pasa nada si decides dejarlo igual, pero debes tener en cuenta que un robot ya sabría por lo menos donde intentar atacarte.

Actualizaciones de seguridad en mi página web

Quizás ya tengas la página protegida, pero los hackers siempre están constantemente buscando nuevas vulnerabilidades, para crear nuevos robots o hacerte un ataque directo.

El precio por una actualización o mantenimiento de tu página web con los últimos estándares de seguridad varía en gran medida si tu página web está hecha, o no, en su totalidad con un CMS (algunos de los más comunes son WordPress, Drupal, Joomla, PrestaShop, Magento…)

Paginas construidas con un CMS (Económico):

Al final cuando una página está construida con un CMS se está trabajando con la infraestructura que se realizaron otros y por esto los añadidos de seguridad lo hacen esos otros terceros.

Esto quiere decir que, solo hace falta presionar un par de botones para actualizar a los últimos estándares de seguridad. Lo único que se debe de preocupar el programador es de tener una copia de seguridad por si hay alguna incompatibilidad.

La importancia de tener este tipo de páginas actualizadas es la apertura que hay del código. Pudiendo un hacker ver las notas de seguridad de la actualización y crear un robot que busque las páginas que estén desactualizadas para aprovecharse de ese hueco antas desconocido.

Para que te puedas hacer una idea nosotros solemos cobrar 19 dólares mensuales por este servicio. Nuestro plan lo puedes mirar aquí, si no tienes quien te lo haga nosotros te podríamos ayudar.

El precio quizás se podría elevar en el caso que haya licencia, para estos casos solo te tendrían que mostrar que licencia se van a pagar, solo para asegurarte de que no te hagan un cobro extra.

Queríamos remarcar que podría darse el caso en el que se usaran ambos métodos para construir la web siendo otra variante en el precio final.

Páginas construidas con código puro (Costosos):

Si tu página no fue hecha con un CMS quiere decir que fue echo desde 0 con código puro

A diferencia del de los CMS, no suele ser tan importante realizar una actualización constante en el sistema o directamente llegue un punto en el que no se puede hacer más añadidos.

La seguridad de este tipo de página suele ser de forma inicial más alta, porque no se pueden crear robots en algo totalmente diferente a otras páginas, a diferencia de un CMS que se parte de una misma estructura.

Solo lo debemos que mantenerlo actualizado de forma obligada si tienes una empresa medianas o grandes que sean atractiva para atacantes que quieran pedir dinero por un rescate de tu web o que tengas competidores deshonestos.

Escaneo interno automático de mi página web.

Así como hay escáner antivirus en tu teléfono o computadora, también se puede implementar un escáner antivirus en tu página web

¿Qué tipo de escáner antivirus se puede implementar en una página web?

Primero tienes que pensar que los únicos archivos nuevos que se suelen subir en una página web son fotos o unos textos.

Una vez teniendo presente esto, una buena idea sería integrar un escáner que detecta si hay algún tipo de archivo nuevo especial. Algunos de estos archivos que se podrían monitorizar son PHP, Python, JavaScript…

Claro, si un programador va a implementar algo nuevo en tu web es normal que se suban algunos de estos archivos, pero si esto no es hacer, lo mejor sería tener implementado y activa esto en tu web.

Bloquear bots maliciosos de una página web.

Esos robots que están constantemente buscando vulnerabilidades en todas las páginas webs se pueden llegar a controlar algunas de sus acciones

Las acciones que se podría controlas son:

La inseguridad de la zona de los comentarios
  1. Escritura de comentarios con el formulario de tu blog
  2. Enviar correos por tu formulario de contacto
  3. Compras falsas por el formulario del carrito de la compra.
  4. Inicio de sesión fraudulento en tu web

Parecen pequeñas tonterías, pero por estos medios el robot podría intentar de múltiples maneras encontrar alguna vulnerabilidad o saturar tu web por estos medios. Cosa totalmente posible con robots que nunca se cansan.

La forma sencilla para evitar estos es pedir la implementación del Google Recaptcha en todos los formularios que estén accesible en tu página web.

Diferencia en entre rechatcha versión 2 y rechatcha versión 3

Seguramente has visto este selector alguna página web, pues a este se le conoce como el Recaptcha v2, pero hay una versión mejorada que evita molestias a tus visitantes llamado Recaptcha v3. Hay tú decides cual quieres implementar.

Seguridad en inyección de código en una página web

Este es uno de los métodos de hackeo más antiguos y que más prevenciones se debe tener.

Esto se puede llegar hacer en cualquier parte en donde se pueda meter texto y no esté protegida ante comando de código.

Por ejemplo, en el parte de los comentarios de tu web se puede escribir texto en donde un usuario normal comente algo relacionado con la página, pero si este campo no está protegido un hacker mandaría un código malicioso inyectándose en tu web.

Esto podría ir a otro nivel, pudiendo meter pedazos de código en el campo de usuario y contraseña para entrar a la zona administrativa tomando control total en tu página web

Aunque para la mayoría de los programadores es uno de los primeros puntos que se verifican, no está de más mencionar que lo tengan presente.

¿Cómo saber si mi página web tiene la seguridad interna necesaria?

Para esto creamos otro artículo donde sin tener conocimientos de programación podras verificar todos puntos seguridad: mira las pruebas de seguridad aquí

Contratar servicios de seguridad de páginas web

Todos los puntos que estuvimos son básicos para evitar un hackeo en el caso que seas una empresa pequeña, pero tengamos en cuenta que el Internet es un mundo muy rápido y cambien, por eso recomendamos podrías a llegar a evaluar contratar un plan de seguridad.

¿Qué debería tener un plan de seguridad interno para mi web?

  • Actualización de seguridad 
  • Informe de seguridad 
  • Escáner de malware 
  • Protección contra ataques DDoS 
  • Restauración de copia de seguridad 
  • Eliminación manual de malware y hackeo. 

Nos puedes contactar para implementar estos puntos de seguridad, para evitar pérdidas de dinero y clientes a tu empresa.

libro 9 datos increibles del negocio de internet

¿Quieres el libro?

Te pedimos permiso para enviarte el libro al correo e información que te ayudara a progresar en el mundo online.

flecha pequeña azul

¿Qué vas a aprender con el libro?

  1. Nueva tendencia de mercado por el COVID-19
  2. Entender las preferencias de los usuarios en internet
  3. Comprensión general del negocio de las tiendas digitales
  4. Ver el impacto de la publicidad digital en la actualidad
  5. Mejor herramienta para las webs según las empresas

Quieres aportar? o Tienes alguna pregunta?

Escribe ahora tu comentario emoji de carita feliz

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.