Excelentes maneras de hacer tu sitio web más seguro

Hospedaje Web Personal, Hospedaje Web Premium, Hospedaje web SúperLinux, Joomla, Wordpress 0 Comments

Excelentes maneras de hacer tu sitio web más seguro

No existe un software que con un click haga un sitio seguro. Debido a esta circunstancia, las personas consideran que el trabajo está terminado una vez el sitio está arriba y funcionando. Definitivamente no es así. Proteger un sitio web o un servidor sólo es posible a través de esfuerzos continuados y conocimiento. A diferencia de una PC malamente protegida en tu hogar o empresa, un sitio hackeado hablará pobremente de tu seguridad y de paso de tu negocio y tu marca.

Con la amenaza siempre presente, no existe una solución que se aplique y se deje allí para siempre con la idea que tienes ya tu sitio protegido. Sin embargo, siempre existen pasos fundamentales que deben darse como primera línea de defensa de un plan de seguridad. A continuación te damos algunos pasos recomendamos que pueden ayudarte a cimentar la seguridad de tu sitio.

Utiliza scripts Open Source (de Código abierto)

A menos que sepas lo que haces y tengas un equipo experto de desarrollo y seguridad en tu nómina, es una buena idea utilizar scripts de código abierto. Los scrips de código abierto, como WordPress, Drupal, Joomla, Magento, etc, tienen características importantes, son scripts poderosos y cuentan con miles de codificadores para soporte y actualización.

Esto evita que los sitios sean fácil presa de hackers y spammers como resultado de un código pobremente escrito. En lugar de crear desde cero, puedes utilizar alguno de estos scripts y modificarlo a tu gusto. Scripts comerciales de empresas conocidas pueden ser utilizados, siempre y cuando emitan actualizaciones y parches de seguridad de manera regular.

Actualiza constantemente

Con nuevas características o no, debes actualizar a las versiones nuevas del script tan pronto como sea posible. La mayoría de actualizaciones pequeñas solucionan problemas de seguridad encontrados en el script base y son tan importantes como una actualización mayor. Si no estás seguro de que la nueva actualización afectará lo que hayas personalizado, pregunta en los foros de soporte y no esperes hasta que alguien modifique tu personalización. La prioridad es siempre la actualización.

Utiliza passwords fuertes

Passwords del tipo «minombre123» ó «minoviocarlos» no son recomendables y es incluso un descuido el usarlos. Tu password no debe reflejar quien eres tú y se supone debe conservar tu sitio seguro.

Utiliza una combinación de alfabeto, números y caracteres especiales, y asegúrate que tiene al menos 10 caracteres de longitud.

Asegura el correo del administrador

Conserva el correo asignado a la administración de tu panel de control, script open source, base de datos, etc, fuera de la vista o alcance de alguien más. Utiliza una dirección distinta para tu página de contacto en el sitio.

Cambia el prefijo por defecto para tu tablas en base de datos

Ya sea que utilices Joomla, WordPress, etc, cambia el prefijo sugerido por defecto en tus tablas. Eso hará más seguras tus tablas.

Coloca password a tu base de datos

Muchos scripts permiten no colocar password para el acceso a base de datos, dejando ese espacio en blanco, vacío. Un password en blanco es realmente imperdonable, es un desperdicio en la seguridad. Debes tener uno, nunca dejarlo vacío.

Elimina la carpeta de instalación

Una vez la instalación está realizada, no hay razón para tener aún la carpeta de instalación en la operación diaria de tu sitio. Es bastante posible para un hacker ejecutar el instalador nuevamente, vaciar la base de datos y tomar control completo de tu sitio y su contenido. Idealmente se recomienda eliminar esta carpeta una vez está completa la instalación, o al menos debes renombrarla. Lo recomendado es lo primero.

Asegúrate de tener los permisos adecuados para tus archivos y carpetas

Algunos scripts requieren acceso completo de escritura y lectura mientras se instalan. Eso puede lograrse por medio del uso del CHMOD 777 en carpetas vitales para el funcionamiento del sitio, tales como config, admin. No olvides regresar ese acceso completo a las carpetas y/o archivos a permisos más seguros, digamos 755 o 644. Una carpeta o archivo con permiso completo de lectura-escritura será un acceso fácil a la inyección de código malicioso en tu sitio.

Utiliza Acceso Seguro FTP

Si tu proveedor de hospedaje web soporta acceso seguro SFTP, utiliza la opción de subir tus archivos en la opción completamente encriptada, segura. Nadie podrá ver lo que subes o descargas desde tu cuenta de hospedaje. Nuestro hospedaje web premium y personal soporta la conexión SFTP con transferencia explicita.

Acceso raíz restringido

Ya sea vía FTP o en una base de datos, no proporciones acceso raíz a nadie. Restringe el acceso a lo más posible vía FTP a cualquier persona que no sea el administrador del hospedaje web. Un error ampliamente repetido es el uso de las credenciales de acceso al hospedaje web, usuario y password de la cuenta total, como usuario de acceso a base de datos. No lo hagas. Crea en su lugar un usuario y su password específico para cada base de datos.

Confirma que tienes un archivo .htaccess

Por lo general, los archivos .htaccess son utilizados específicamente para restricciones de seguridad, restricciones de acceso, a determinados directorios. Ten cuidado con eliminar por accidente cualquier archivo con ese nombre.

Archivo robots.tx

El archivo robots.tx proporciona instrucciones especiales a los buscadores sobre qué carpetas deben o no ser indexadas. Carpetas con documentos, imágenes, y archivos similares, pueden no ser indexadas si no se requiere y no se mostrarán en las búsquedas públicas.

Utiliza plugins de seguridad

Plataformas confiables y ya con cierto tiempo de operación tienen plugins para ampliar la funcionalidad del script principal (WordPress, Joomla, etc). Busca plugins para incorporar una capa adicional de seguridad. Por ejemplo, WP Better Security o WP Security Scan, para WordPress.

Lee y infórmate sobre las vulnerabilidades existentes

Una práctica excelente es estar informado sobre las vulnerabilidades descubiertas recientemente para cada script y ataques sobre algún script en particular. Siempre tomará un poco de tiempo antes que el script principal incorpore los parches para solucionar alguna vulnerabilidad, por lo que estar informado te ayudará a evitar que tu sitio sea dañado en caso de una amenaza seria.

Ten cuidado con los temas y/o scripts que usas

A diferencia de un programa pirata infectado para tu equipo de cómputo, en donde un buen antivirus puede remover el malware escondido, no hay forma de librarte de un backdoor incorporado al código de un script que coloques en tu sitio. Incluso para un desarrollador experimentado, es imposible revisar miles de líneas de código para determinar si algún script (plugin, módulo, componente, tema, etc) no contiene backdoors o código malicioso.

Un script o tema con backdoor incorporado le asegurará al hacker el acceso a un servidor gratis para enviar spam. Si tienes suerte, sólo será utilizado para este tipo de actividades y no para propaganda antigubernamental o pornografía infantil. Evita el uso de scripts y temas con muy pocas calificaciones, lee los comentarios de otros usuarios.

Cuando se trata de seguridad, siempre hay espacio para ser creativo para proteger tu sitio. Infórmate e investiga, basa en ello tu creatividad.

Debido a esta circunstancia, las personas consideran que el trabajo está terminado una vez el sitio está arriba y funcionando. Definitivamente no es así. Proteger un sitio web o un servidor sólo es posible a través de esfuerzos continuados y conocimiento. A diferencia de una PC malamente protegida en tu hogar o empresa, un sitio hackeado hablará pobremente de tu seguridad y de paso de tu negocio y tu marca.