En octubre del 2016 se presentó un ataque DDOS que afectó a un gran número de sitios web y puso en evidencia la importancia de tomar precauciones necesarias para mantener un sitio web seguro. Cualquier persona que posee un sitio web debe pensar en la seguridad. Para aquellos a los que su sitio web es su […]
En octubre del 2016 se presentó un ataque DDOS que afectó a un gran número de sitios web y puso en evidencia la importancia de tomar precauciones necesarias para mantener un sitio web seguro. Cualquier persona que posee un sitio web debe pensar en la seguridad. Para aquellos a los que su sitio web es su negocio, es necesario tratarlo como una prioridad.
Esto es doblemente cierto si aceptas pagos a través de tu sitio web. Cada vez que alguien te proporciona la información de su tarjeta de crédito; está poniendo confianza en ti y tu marca. Si un hacker obtiene acceso a esa información porque no se tomaron las medidas necesarias para hacer que tu sitio web sea seguro; entonces estarás traicionando esa confianza.
La seguridad cibernética es algo complicado y es posible que no todas las amenazas se puedan evitar. Los piratas informáticos son a menudo expertos y siempre están trabajando para superar cada nueva actualización de seguridad. Sin embargo, puedes reducir considerablemente el riesgo de que tu sitio web sea el siguiente en ser víctima tomando algunas precauciones claves.
1. Mantén todo tu software actualizado
El primer paso para tener un sitio web seguro es uno de los más fáciles, pero uno que hace una gran diferencia. Muchas actualizaciones de software están diseñadas específicamente para reducir las vulnerabilidades de seguridad. Los diseñadores de software y los expertos en seguridad cibernética están en constante batalla con los hackers para frustrar cada nuevo esfuerzo que se les ocurra.
La mayoría de las actualizaciones, de las que obtienes recordatorios constantes, hacen parte de esa batalla. Entonces es recomendable que regularmente verifiques las actualizaciones de tus plug-ins, tu CMS, tu software de e-commerce, y cualquier otro software relacionado con el funcionamiento de tu sitio web. Realizar este sencillo paso reducirá inmediatamente tu vulnerabilidad.
2. Utiliza contraseñas seguras y actualízalas frecuentemente
Un número sorprendente de personas todavía utilizan contraseñas básicas como “123456” o “password”. No seas una de esas personas.
Asegúrate de que la contraseña que utilizas para acceder a tu sitio web tiene una combinación de números, letras y caracteres especiales. También evita el uso de algo que un conocido podría adivinar en tu contraseña; el nombre de tu hijo o el año de nacimiento es demasiado fácil para que alguien lo adivine. Se creativo, asegúrate de utilizar algo diferente para tu sitio web a lo que utilizas para tus otros inicios de sesión; asegúrate de que cualquier persona de la empresa que tenga acceso al sitio web haga lo mismo.
Y luego hazlo nuevamente en seis meses. Establece un recordatorio en tu calendario que te recuerde actualizar tu contraseña con cierta frecuencia.
Existen herramientas para generar contraseñas en línea como la herramienta de Norton Identity Safe, que te ayudarán a generar contraseñas seguras con la combinación de números, letras y caracteres especiales necesaria.
3. Realiza backups regularmente
En el caso de que algo suceda, no querrás estar atascado construyendo tu sitio web de nuevo desde cero. Asegúrate de realizar un backup regularmente, al igual que haces con tu propia computadora (haces un backup de tu equipo con regularidad, ¿verdad?).
4. Invierte en un detector de malware
Un malware es muy común, y no sólo en el sitio web que esperarías. Los hackers tienen interés en infectar cualquier sitio web que la gente pueda visitar. Eso significa que tu sitio web podría ser derribado por malware, o (posiblemente) peor, podría ser el medio por el cual el malware infecta las computadoras de tus clientes.
Tu mejor movimiento para evitar ambos escenarios es un fuerte detector de malware. Los programas antimalware pueden detectar rápidamente el malware y ayudarte a deshacerte de él antes de que tenga la oportunidad de causar mucho daño. Son relativamente baratos cuando se consideran los riesgos que presenta el malware, y no son tan difíciles de implementar.
5. Ten cuidado con tus permisos
¿Cuántas personas tienen acceso a tu sitio web? La mayoría de las empresas, incluso muchas pequeñas, necesitan proporcionar al menos a un par de personas los medios para acceder al sitio web para realizar cambios. Las empresas medianas y grandes a menudo tendrán mucha más gente accediendo al sitio web de forma regular.
Cuanta más gente tienes para hacer cambios en el sitio web, más vulnerabilidades tendrás. Lo más probable es que no todas las personas que utilicen tu sitio web necesiten el mismo nivel de acceso. Mediante el uso prudente de tus permisos, puedes limitar el daño potencial que puede tener un acto imprudente o malicioso de un empleado o contratista.
6. Configura un certificado SSL
Si tienes un sitio web de comercio electrónico, la compra de un certificado SSL no es opcional. Tus clientes necesitan saber que tienes un sitio web seguro antes de entregar información confidencial. Un certificado SSL es la forma de proporcionarles esa seguridad.
Un certificado SSL no es muy caro; y asegura que tus sitios web muestren un HTTPS verde en la barra del navegador; esto es los que los consumidores buscan para ver si pueden confiar en un sitio web. Añade un nivel adicional de protección para garantizar que los detalles compartidos contigo estén cifrados y no puedan ser fácilmente arrebatados por ladrones cibernéticos.
7. Utiliza AVS y CVV
Cuando agregas un campo de sistema de verificación de la dirección; (AVS, del inglés Address Verification System) y un campo de Valor de Verificación de Tarjeta (CVV, del inglés Credit Card Verification Value) para todas las salidas de tarjetas de crédito. Los intentos de fraude son mucho menos propensos a suceder. Tienes la oportunidad de comprobar la información que un cliente proporciona en contra de la información de su compañía de tarjetas de crédito. Esto para que las personas que han robado los números de la tarjeta de crédito no pasen por tu proceso de confirmación.
8. Reduce vulnerabilidades XSS
Este paso es realmente técnico; es posible que desees consultar con tu webmaster en lugar de tratar de manejar esto por tu cuenta. Las vulnerabilidades de XSS (cross site scripting) son debilidades en el código que escribes que permiten a los hackers agregar código a tu sitio web que infecta los dispositivos de tus visitantes.
Para reducir las vulnerabilidades de XSS, debes validar y desinfectar tus datos. También puedes insertar esta cadena en tus páginas web para reducir su vulnerabilidad:
echo htmlentities($string, ENT_QUOTES | ENT_HTML5, ‘UTF-8’);
Pero esto sólo funcionará para ti si no estás usando HTML. Si estás utilizando HTML, ejecutar tu código a través del purificador de HTML es tu mejor alternativa.
9. Reduce las vulnerabilidades de inyección de SQL
Al igual que el paso 8, este paso es probablemente más el trabajo de un webmaster que de un dueño de negocio; así que pide ayuda si encuentras las sugerencias confusas.
Las vulnerabilidades de inyección de SQL no son tan comunes como las vulnerabilidades de XSS, pero siguen siendo motivo de preocupación. Permiten a los piratas informáticos obtener los datos confidenciales almacenados en tu base de datos; que a menudo incluye información como los números de tarjetas de crédito de tus clientes.
Todos los mejores métodos para la prevención aquí son bastante técnicos y puedes comprobar la hoja de referencia de inyección de SQL para más detalles sobre lo que significa cada defensa. Las cinco principales defensas contra las inyecciones de SQL son:
- Utilizar consultas parametrizadas para ayudar a tu base de datos a distinguir la diferencia entre el código y los datos.
- Usar procedimientos almacenados que están claramente definidos en la base de datos y proporcionados a los usuarios; en lugar de dejarlos entrar por sí mismos.
- Escapar de todas las entradas suministradas por el usuario (que sólo se recomienda en algunos casos); para que la base de datos pueda reconocer cualquier información que los usuarios suministran como diferente del código SQL escrito por el desarrollador.
- La promulgación de privilegios mínimos, que se relaciona con el paso 5; para asegurarte de que los usuarios sólo tienen el permiso que necesitan y no más.
- Utilizar la validación de entrada de lista blanca. Esta permite a la base de datos detectar cualquier entrada no autorizada antes de procesarla.
10. Utiliza un servicio de mitigación de DDoS
Los ataques distribuidos de denegación de servicio; (DDoS, del inglés Distributed denial of service) ocurren cuando un hacker establece un gran número de sistemas comprometidos para inundar el ancho de banda de un sitio web de una sola vez. El servidor se abruma y empieza a rechazar a todos los visitantes.
Tener un proveedor de alojamiento web que ha puesto las medidas de protección en su lugar es la primera línea de defensa. Sin embargo, con lo común que se han convertido los ataques DDoS; hacer una inversión adicional en un servicio de mitigación DDoS puede reducir aún más su riesgo.
Los hackers están trabajando constantemente para crear nuevos métodos para evitar estas protecciones. Además de poner en práctica estos diez consejos; toma algo de tiempo durante todo el año para leer sobre las nuevas amenazas de seguridad y las mejores prácticas.
Las apuestas aquí son altas; necesitas que tus clientes confíen en tu sitio web seguro para hacer tu trabajo consistentemente. Asegúrate de tratar la seguridad del sitio web como la prioridad que debería ser.
Traducido por María Fernanda P. Jiménez. Texto original disponible aquí