Te has esforzado mucho creando tu sitio web y lo último que deseas es despertar una mañana viendo que ha recibido un ataque de hackers. Desafortunadamente esto pasa más de lo que te imaginas, y diariamente muchas personas se ven afectadas perdiendo meses de trabajo y mucho dinero, por no contar con un sitio web seguro.

Si has tenido la mala suerte de pasar por un evento de estos, sabrás a lo que nos referimos, pero si no, es importante que tengas presente la gravedad del caso y tomes precauciones para que el impacto no sea tan grande si te sucede.

El tomar precauciones y tener medidas de contingencia ante este tipo de desastres muchas veces es subestimado. Las personas piensan cosas como: «Ya he gastado mucho haciendo el sitio web, y por ahora dejemos que produzca antes de seguir gastando en seguridad», o «No creo que sea tan importante, pongamos el sitio en vivo y sobre la marcha vemos qué pasa».

Esto es exactamente lo mismo que obtener un seguro para tu auto, o un seguro de salud. Puede ser que nunca tengas un mal rato, pero si te sucede es mejor que estés preparado pues las pérdidas pueden ser bastante altas. En este sentido, te recomendamos contemplar lo comentado a continuación. Nota que todo lo aquí indicado está pensado para sitios basados en WordPress, ya que es una de las plataformas más populares, pero tomando esta base puedes tener una idea bastante clara de lo que puedes hacer con otras plataformas.

Lista rápida para un sitio web seguro

Llevar buenas prácticas para tener un sitio web seguro no es de ninguna manera una tarea fácil, ni mucho menos «rápida»,  pero resumiendo las actividades queremos listar aquí de forma general las cosas que debes cuidar:

1. Instalar un certificado de seguridad SSL
2. Implementar un sistema de backup offsite
3. Aplicar actualizaciones periódicas de temas, plugins y base de WordPress
4. Correr scans periódicos de seguridad, virus y malwares
5. Activar protección Captcha en los formularios web

En los siguientes párrafos, ampliaremos un poco más sobre cada uno de estos puntos.

Certificados de seguridad SSL

Probablemente habrás notado que muchos sitios web tienen un pequeño candado al mirar en su dirección url. Esto significa que son sitios seguros, o que contienen un certificado de seguridad que encripta la información que se transmite entre el servidor web y el navegador del visitante. Puedes notarlo fácilmente pues las direcciones empiezan con una «s» en la parte https://.

Años atrás esto era más común en sitios web de bancos, o páginas web con e-commerce, pero hoy día son prácticamente una obligación para cualquier sitio web. Los buscadores como Google de hecho toman en consideración la existencia de estos certificados, jugando un papel importante en el posicionamiento orgánico que tenga este sitio web en sus resultados (SEO).

Para adquirir un certificado de seguridad puedes conversar con tu proveedor de hospedaje y seguramente podrán ayudarte. Si administras tu propio servidor o servicio de hosting, quizás querrás revisar sitios como Digicert o Let’s Encrypt quienes ofrecen una opción gratuita, pero será recomendable que tengas conocimientos de manejo de dominios y configuración técnica. De requerir apoyo o para ampliar en este tema, en Icamos igualmente podemos ayudarte.

Sistemas de backup para sitios web

Uno de los activos importantes de tu negocio es el sitio web. En algunos casos cuando hay ventas o transacciones online puede ser incluso la base del negocio, por lo que es muy importante mantenerlo respaldado.

Para ello existen muchas opciones en el mercado con softwares o plugins que te permiten hacer respaldos de tus archivos web y bases de datos. Para no crear tanta dependencia, te recomendamos explorar opciones que hagan respaldos de forma automática, por ejemplo, una vez a la semana, o una vez al día, dependiendo del movimiento o tráfico que tiene tu sitio web.

Otra cosa importante es procurar que tus backups sean off-site, es decir, de manera externa a donde fisicamente se hospeda tu sitio web. Si algo pasa con tu servidor web, será muy conveniente no tener todos los huevos en una misma canasta, para así poder rescatar los archivos desde otra locación. Entre las opciones de backup off-site podrías encontrar Google Drive, Dropbox o Amazon S3.

Una opción con la que puedes iniciar es UpdraftPlus, ya que ofrece una versión gratuita que puedes conectar con tu sitio web. Ahora bien, si tu sitio web maneja ventas e-commerce, es mucho más recomendable hacer backups en tiempo real. Esto pues si tu sitio es «hackeado» y te toca restaurar información de un día o semana anterior, podrías perder todos los registros o información de ventas que sucedieron desde ese último respaldo.

Actualizaciones de WordPress y Plugins

Hay que recordar que lo que hay detrás de un sitio web son códigos de programación. Al igual que cualquier software, sistema operativo, o aplicación móvil, los sitios web suponen actualizaciones periódicas de mejoras y seguridad.

Los fabricantes de plugins de WordPress por ejemplo, cada cierto tiempo lanzan actualizaciones que pueden corregir un error descubierto en una versión anterior, y que ponía en riesgo la seguridad del sitio web. Con esa actualización o parche, el fabricante cubre la falla, pero es responsabilidad del dueño del sitio asegurarse de aplicarla. Ten presente aquí que no solo basta con aplicarla, sino que también es necesario verificar luego que tu sitio web funciona correctamente.

En Icamos, nuestro personal acostumbra realizar actualizaciones periódicas y mantenimientos a sitios web de nuestros clientes. Para llevar este procedimiento de una manera más ordenada, hemos dividido las actividades en tareas diarias, semanales, mensuales y anuales. Si el fabricante anuncia una actualización crítica de seguridad, es conveniente realizarla lo más pronto posible, pero si se trata de una mejora visual, podría ser mejor ejecutarla al final de la semana, o en un momento donde no se afecte el uso del sitio web.

Debes tener presente que en muchas ocasiones una actualización web resulta ser altamente necesaria, pero a su vez tendrá el inconveniente de generar cambios en el funcionamiento de tu sitio web. Esto puede suceder ya que si la actualización es profunda, habrán otros componentes del sitio que podrían no ser compatibles. De ser así, deberás hacer ajustes a tu código web, o buscar otros plugins en su reemplazo. Por ello, siempre es bueno contar con respaldos de emergencia o incluso sitios paralelos que puedas usar para pruebas, conocidos como instalaciones «staging». Una vez has verificado el buen funcionamiento de tu sitio en staging, puedes entonces migrar o replicar los cambios en el sitio en vivo.

Scans de seguridad

Parecido a una computadora personal, los sitios web son vulnerables a infecciones con virus, trojans, malwares, y todo tipo de archivos malignos. Esto puede llegar a ocasionar daños irreparables y/o perdidas de miles si la información del sitio web es sensitiva.

Así como se realizan scans de antivirus en una PC, es conveniente hacer revisiones periódicas de seguridad a los sitios web utilizando herramientas especializadas. Hay herramientas más sofisticadas que otras, o que realizan validaciones más profundas usando Firewalls etc. Sin embargo, todo dependerá del tipo de página web y el riesgo que consideres estar pasando si tu sitio web es hackeado.

Alternativas a considerar en este caso son por ejemplo Sucuri y Wordfence, ambos con opciones gratuitas para WordPress.

Protección de formularios web

Los formularios web son utilizados para capturar información de clientes o prospectos. Por ejemplo, en un sitio web es común encontrar una sección llamada Contáctenos, en donde la empresa coloca teléfonos, dirección, y adicionalmente un formulario para capturar datos del visitante. Este formulario toma los datos para guardarlos en un CRM, o enviarlos vía email a la empresa para así darle seguimiento al cliente.

Con el pasar de los años y la mala intención de algunas personas, los hackers han desarrollado sistemas automáticos o «robots» que buscan formularios web en miles de páginas, y utilizan ellos para comprometer al sitio web y utilizar así sus recursos para otros propósitos, o incluso para tener entrada a datos privados que se almacenen en el sitio web.

Como una medida de protección ante estos ataques, hay herramientas que crean un nivel de seguridad adicional pidiendo al visitante que confirme ser humano. Dependiendo del tipo de validación que se instale, en ocasiones el usuario deberá resolver una operación matemática sencilla, escribir una palabra en base a una combinación de letras o números reflejados en pantalla, o identificar figuras de una imagen aleatoria. La idea de esto es justamente hacer tu sitio más seguro, y evitar que los robots puedan ejecutar el envío automático de los formularios.

Google ofrece una opción gratuita llamada reCAPTCHA, y puedes encontrarla aquí.

Conclusiones

Como puedes ver, estas tareas requieren tiempo y cuidado, pero son fundamentales para sentir confianza en que tendrás un sitio web seguro.

Te brindamos esta información para darte luces en cómo proteger mejor tu inversión web y tener paz mental. Pero, hay que reconocer que muchas de estas tareas requerirán conocimientos técnicos. Si sientes que no cuentas con la experiencia, es preferible que busques ayuda de un webmaster o una empresa dedicada a ello.

Un punto adicional que debes cuidar y no queremos pasar por alto, es el manejo de passwords o contraseñas. Aunque parezca obvio, muchas veces los problemas de seguridad inician porque las contraseñas del sitio web son anotadas en cualquier lugar. Algunas personas las pegan en un post-it encima del teclado, o las comparten sin precauciones, a lo que te pedimos ¡por favor no hacer!.

Si necesitas más información sobre lo que hemos compartido en este artículo para tener un sitio web seguro, te invitamos a descargar nuestra guía gratuita: 5 Tips de Seguridad para tu sitio WordPress.