10 mejores prácticas de seguridad de alojamiento web a seguir en 2020

Publicado: 2022-04-28

Las amenazas siguen las tendencias y gracias a la explosión digital que se ha extendido por todo el mundo, albergar un sitio web en la actualidad se ha vuelto cada vez más peligroso.

Esto es aún peor considerando que la mayoría de las personas que poseen sitios web intentan monetizarlos, lo que significa que existe la posibilidad de un impacto significativo.

Incluso cuando Google advirtió el año pasado sobre un mayor enfoque en la preparación móvil para sitios web, en 2018 también se duplicaron los ataques de malware móvil. Si bien esto específicamente puede tener una relación vaga, se puede ver la tendencia general de las amenazas de seguridad cibernética que siguen a la multitud.

La seguridad del alojamiento web puede ser un desafío, especialmente para sitios web más pequeños con recursos limitados. Después de todo, si incluso las instituciones financieras con presupuestos de seguridad cibernética multimillonarios pueden ser violadas, ¿qué esperanza hay para el resto de nosotros, verdad?

No del todo correcto.

Renunciar e ignorar las amenazas cibernéticas solo porque crees que no tienes los recursos para superarlas es un error. Los ataques cibernéticos gastan mucho más tiempo y recursos para penetrar objetivos de alto valor porque existe la posibilidad de un gran día de pago.

Sin embargo, para sitios más pequeños, mantener las cosas en perspectiva y seguir las mejores prácticas de seguridad de alojamiento web estándar debería ser suficiente para mitigar la mayoría de los problemas. Bueno, a menos que hayas enojado a alguien contigo, por alguna razón.

Hoy voy a compartir con ustedes algunas de las mejores prácticas de seguridad de alojamiento web, así como ofrecer consejos prácticos que puede probar para reforzar sus defensas.

¿No puedes acceder a tu sitio? ¿Has sido hackeado? ¿Perdiste tu contraseña o toda tu cuenta? ¿Están sus archivos principales comprometidos? El script de recuperación de emergencia gratuito resolverá su pesadilla con un solo clic.

10 mejores prácticas de seguridad de alojamiento web a seguir

1. Apéguese a un proveedor de alojamiento web de buena reputación

Su proveedor de alojamiento web juega un papel mucho más importante en la seguridad de su sitio web de lo que piensa. Desde el espacio físico en el que se encuentra su sitio web en el tráfico que entra y sale de su sitio web, su proveedor de alojamiento web juega un papel muy íntimo en lo que respecta a su seguridad.

Por ejemplo, a menudo es el proveedor de alojamiento web el que se ocupa de los elementos de línea estándar, como antivirus y antimalware. Algunos proveedores de alojamiento web también ofrecen sistemas antispam, copias de seguridad y recuperación automatizadas y, si tiene suerte, incluso pueden utilizar una red de distribución de contenido (CDN).

El alojamiento compartido a veces conlleva bastante riesgo dependiendo del proveedor de alojamiento web. Si tiene muchos sitios web con la misma cuenta y se puede acceder a ellos desde la misma cuenta de FTP, todo lo que se necesita es que uno de ellos se infecte con malware para comprometer a los otros sitios también.
Si ha sido víctima de este ataque de malware, le recomendamos que consulte esta guía sobre cómo limpiar su sitio web de malware.

Sugerencia : haga de la seguridad su principal factor de consideración al elegir un proveedor de alojamiento web. Si ha estado alojando un sitio durante algún tiempo y ha crecido hasta el punto en que puede justificar el cambio a una cuenta de alojamiento VPS, le recomiendo que lo haga tan pronto como pueda. El alojamiento VPS ofrece características de seguridad mucho mejores que las cuentas de alojamiento compartido estándar.

2. Usa un CDN

Seguridad de alojamiento web
Modelo de entrega web tradicional (izquierda) versus a través de un CDN (derecha) – Fuente: Wikipedia

Como mencioné anteriormente, algunos servidores web funcionan con CDN, pero si no lo hacen, también puede hacerlo usted mismo. Las CDN ayudan a ofrecer sus páginas web más rápidamente a los visitantes al alojar cachés de su sitio en servidores de todo el mundo. Cuando se solicita acceso a su sitio, la CDN primero brindará datos almacenados en caché desde la ubicación más cercana a donde se solicitó.

Sin embargo, además de la ventaja de la velocidad, las CDN también utilizan redes de servidores masivas para ofrecer lo que se denomina equilibrio de carga. Esto significa que al usar un CDN, está trabajando parcialmente con los recursos de su servidor y puede administrar una mayor cantidad de visitantes.

Eso está relacionado con la mejor parte del uso de un CDN, la prevención de ataques de denegación de servicio distribuido (DDoS). Los ataques DDoS intentan abrumar y cerrar sitios web inundándolos con solicitudes hasta que el servidor se apaga. Sin embargo, los CDN están diseñados para fortalecer la seguridad compensando esto a través de su red de servidores.

Sugerencia : intente usar Cloudflare como su CDN. Hay cuentas gratuitas disponibles con funciones básicas y puede ampliarlas a medida que cambien sus necesidades.

3. Utilice siempre certificados SSL

Los navegadores indicarán a los usuarios si el sitio web que están visitando es seguro o no.

Los certificados de capa de conexión segura (SSL) ayudan a garantizar que los visitantes tengan la información cifrada y segura que comparten en su sitio. Hoy en día, SSL se está volviendo tan importante que los principales navegadores de Internet advertirán a los usuarios si un sitio no está usando un SSL.

Hay algunos tipos de certificados SSL y los precios de cada uno varían. Tenga la seguridad de que si está ejecutando un sitio personal o incluso uno para una pequeña empresa, puede usar fácilmente un certificado SSL gratuito. Son fáciles de obtener e instalar; de hecho, puede hacerlo con unos pocos clics en Plesk o cPanel.

Sugerencia : puede obtener un certificado SSL gratuito de Let's Encrypt directamente de ellos, pero es mejor si su servidor web ofrece este servicio. Hoy, los servidores web de mayo permitirán una fácil instalación de SSL gratuito de Let's Encrypt.

4. Mantenga siempre copias de seguridad

copia de seguridad automática

Copia de seguridad y restauración automáticas con WPX Hosting

Aunque hay servidores web que ofrecen funciones de copia de seguridad y restauración, algunos aún no lo hacen. Independientemente de esto, siempre debe hacer sus propias copias de seguridad y mantener un conjunto de archivos fuera de línea, por si acaso. Esto puede parecerle un poco tedioso, pero no tiene idea de cómo su host ha configurado su sistema de respaldo o qué podría suceder en caso de un desastre. Mantener una copia de seguridad fuera de línea (¡tanto de sus archivos como de su base de datos!) puede salvarle la vida.

Sugerencia : Automatizar el proceso de copia de seguridad fuera de línea es más fácil de lo que piensa, especialmente si está usando WordPress. Use el complemento de copia de seguridad UpdraftPlus y puede realizar copias de seguridad de forma remota con cualquier frecuencia en el destino que elija. También puede consultar estos servicios de copia de seguridad para WordPress

5. Fortalecer las contraseñas

Ejemplo de factores de seguridad de contraseña (fuente: Cheatography )

Ha oído hablar de esto, lo ha visto en las películas y puede ser culpable de hacerlo usted mismo, pero usar contraseñas fáciles de recordar es una receta para el desastre. Los piratas informáticos de hoy en día son lo suficientemente sofisticados como para tener archivos completos llamados diccionarios llenos de contraseñas de uso común que probarán contra las defensas de un sitio.

Para poner las cosas en perspectiva, una botnet puede forzar una contraseña de seis caracteres en aproximadamente cuatro horas. Recuerde que todo esto está automatizado, por lo que mientras usted y los atacantes cibernéticos están durmiendo, los bots continúan tratando de ingresar a los sitios web.

Sugerencias : utilice una contraseña más larga y compleja que, preferiblemente, consista en una combinación de caracteres en mayúsculas y minúsculas, dígitos y caracteres especiales.

6. Cifre su propia conexión

Dado que usted es el propietario de su sitio web, su conexión a su cuenta de alojamiento web debe mantenerse más segura que la de sus visitantes. Le recomiendo que transfiera archivos utilizando el Protocolo seguro de transferencia de archivos (SFTP) o a través de una conexión de red privada virtual (VPN).

Cualquiera de los métodos ayudará a evitar que alguien intente interceptar y robar los datos que está enviando a su servidor web. Personalmente, recomiendo usar una VPN, aunque el costo suele ser más alto que usar un cliente SFTP. Las VPN funcionan cifrando todo lo que se envía desde su computadora, ¡así que cubre todos los escenarios!

Sugerencia : si una VPN no es su taza de té, hay una tonelada de clientes SFTP gratuitos disponibles para usar. Recomiendo FileZilla, que es extremadamente potente y de código abierto.

7. Mantén las cosas actualizadas

Una forma en que los atacantes intentan obtener acceso a los sitios web es explotando las debilidades conocidas del software. Casi todo el software tiene errores o lagunas de algún tipo y muchos se actualizan continuamente para bloquear estas lagunas a medida que los desarrolladores las encuentran.

Asegúrese de mantener todo el software que utiliza para su sitio web actualizado siempre que sea posible. Si está utilizando WordPress, asegúrese de que no solo su instalación de WordPress se mantenga actualizada, sino también cada complemento o tema que haya instalado.

Sugerencia : algunos servidores web ofrecen actualizaciones con un solo clic para los sitios de WordPress que le permitirán actualizar rápidamente no solo un sitio, sino todos los sitios alojados en su cuenta.

8. Hacer uso de los archivos de configuración del servidor

El tipo de archivos de configuración del servidor con los que debe lidiar según la plataforma de alojamiento web en la que se encuentre. Por ejemplo, Apache usa .htaccess mientras que Microsoft usa archivos web.config. Estos archivos de configuración son extremadamente poderosos y se pueden usar para mejorar la seguridad de su sitio.

Al agregar las reglas correctas a los archivos de configuración de su servidor, puede evitar la exploración de directorios, evitar que otros establezcan enlaces directos a imágenes en su sitio e incluso proteger archivos específicos.

Sugerencia : si no está seguro de en qué servidor web se encuentra, puede verificarlo rápidamente aquí.

9. Preste atención a los permisos de archivo

Los archivos tienen varias propiedades que definen qué pueden hacer los usuarios con ellos y por quién. Básicamente, hay tres roles que pueden interactuar con los archivos; propietarios, colectivos y público. Lo que pueden hacer con los archivos es leerlos, escribirlos o ejecutarlos.

Para asegurar realmente su sitio, aprenda cuáles son los archivos importantes y verifique los permisos con los que está configurado cada uno de ellos. Un permiso de archivo definido incorrectamente puede terminar permitiendo que cualquier persona con acceso a él agregue un código malicioso que puede dañar su sitio.

Sugerencia : el permiso de archivo 666 permite que cualquier persona escriba cualquier cosa en su archivo. ¡Tenga mucho cuidado al usar esta configuración!

10. Utilice la autenticación de dos factores

En relación con el elemento 5, no importa cuán larga o compleja sea una contraseña, aún tiene el potencial de ser descifrada. Si esto es realmente una fobia suya, le recomiendo que busque un sistema de autenticación de 2 factores (2FA).

El uso de un 2FA significa que, además de su contraseña, el sistema al que intenta acceder debe verificar su identidad a través de otros medios. El método 2FA más rápido y común es autenticarse a través de un código móvil.

Una vez que se verifique su contraseña, el sistema enviará un código a su dispositivo móvil y le mostrará un código de autenticación. Debe ingresar ese código en el sistema antes de obtener acceso. Esto aumenta enormemente la seguridad de su sistema.

Consejo : hay muchos sistemas 2FA disponibles en el mercado. Si está utilizando WordPress, incluso hay algunos gratuitos que puede probar, como Google Authenticator.

Conclusión: habla suavemente y lleva un gran garrote

Aunque aquí proporcioné 10 ejemplos de mejores prácticas de seguridad de alojamiento web, hay muchos más y algunos pueden incluir más de un elemento que puede hacer o prestar atención para mejorar. Por eso, puede ser difícil para los propietarios de sitios web realizar un seguimiento de todo, especialmente si ese no es su negocio principal.

Le recomiendo que elabore una lista de verificación en la que enumere todo lo que necesita ser monitoreado y lo separe por frecuencia. Por ejemplo, qué elementos debe verificar diariamente, semanalmente o mensualmente. Esto le ayudará a mantenerse al día.

Recuerda que no tienes que tener una seguridad perfecta en el sitio web, sería imposible. Lo que realmente debe hacer es ponerle las cosas lo más difíciles posible a los atacantes para que pierdan interés en su sitio y busquen opciones más fáciles.

Como dijo Teddy Roosevelt, “habla suavemente y lleva un gran garrote”. Tus defensas de seguridad son tu gran garrote, por así decirlo.