Características esenciales de seguridad del sitio web que necesitas. ¿Están activadas?.
Construir y mantener una seguridad web sólida es un proceso constante que a menudo es descuidado por los propietarios de sitios web debido a su complejidad, consumo de tiempo y costo. Como proveedor de hosting, lo sabemos bien. Más de 18 años de experiencia en hosting, mantenimiento y seguridad de millones de sitios web nos han enseñado que la seguridad de los sitios web es absolutamente fundamental para todos los negocios online. Hemos visto las consecuencias devastadoras que un hackeo puede tener en un sitio web y, en última instancia, en una empresa, y hemos dedicado serios esfuerzos para prevenir y minimizar los efectos de los intentos de hackeo.
A lo largo de los años, hemos optimizado la seguridad de nuestra plataforma desarrollando sofisticados sistemas de seguridad, introduciendo una variedad de herramientas de seguridad, plugins y características, y analizando y monitoreando constantemente el tráfico y los patrones para reconocer amenazas potenciales. Si bien todo esto nos ha convertido en uno de los proveedores de hosting web más seguros y de confianza del mundo, sabemos que la seguridad de la plataforma por sí sola no es suficiente. La participación de los webmasters y los propietarios del sitio es igualmente importante para asegurar adecuadamente un sitio web. Es por eso que hemos compilado una lista de las características de seguridad más esenciales que puedes habilitar y que pueden marcar la diferencia entre un sitio web hackeado y tu tranquilidad.
Usa SSL
Hoy en día, un SSL es absolutamente esencial para cualquier sitio web. Un certificado SSL cifra la conexión entre los navegadores de tus visitantes y el servidor de tu sitio web para que los datos transmitidos entre los dos, como información personal, datos de tarjetas de crédito, credenciales de inicio de sesión u otros, no puedan ser interceptados por hackers.
Los clientes de SiteGround obtienen certificados SSL estándar y Wildcard gratuitos con todos los planes de hosting, independientemente del número de sitios. Asegúrate de tener tu SSL instalado y el tráfico redirigido correctamente a través de HTTPS desde Site Tools > Seguridad > SSL para garantizar el cifrado de la conexión.
Si tienes un sitio web comercial o estás procesando pagos online, puedes considerar nuestros certificados Wildcard Premium que vienen con una garantía suscrita de $10.000 y un sello de sitio dinámico para crear credibilidad y confianza entre tus visitantes.
Protege tu acceso
Tus credenciales de inicio de sesión son una puerta de entrada a tu cuenta e información personal (y cuando se habla de sitios web, también a tu dominio, sitio y correos electrónicos). Hay varias cosas que puedes hacer para asegurarte de que tus credenciales de inicio de sesión sean seguras, y solo tú o las personas a las que hayas autorizado tengan acceso a tu sitio web:
Endurece tus contraseñas
A pesar de todo el conocimiento disponible hoy en día sobre las contraseñas débiles y la importancia de nunca compartir las credenciales de inicio de sesión con nadie, uno de los hackeos más comunes es el que afecta a las credenciales a través de intentos de adivinar o forzar contraseñas fáciles de descifrar. Tener una contraseña larga, que consta de varios caracteres y una combinación de palabras, letras, números y símbolos es una forma fácil y súper efectiva de mantener tus cuentas seguras. Recuerda usar diferentes contraseñas para diferentes sitios y aplicaciones, y nunca compartas tus contraseñas con nadie, ni las escribas en lugares de acceso público como notas post-it en tu ordenador.
Usa autenticación de 2 factores.
Independientemente de lo difícil que sea tu contraseña, todavía existe la posibilidad de que un hacker acceda a ella a través de un ataque de fuerza bruta, virus, malware u otro. Con la autenticación de 2 factores habilitada, cualquier persona que intente acceder a tus datos debe pasar un paso secundario. 2FA agrega otra capa de autenticación, generalmente a través de un código temporal generado dinámicamente (accesible solo desde tu teléfono o e-mail, dependiendo de la configuración), que no se puede adivinar o piratear y hace que tu defensa de inicio de sesión sea a prueba de balas. Para el Área de Cliente de SiteGround, que es la puerta de entrada a tus dominios y sitios, puedes habilitar fácilmente 2FA desde Área de Cliente > Acceso y perfil.
Para iniciar sesión en la aplicación de WordPress, puedes instalar y activar el plugin SiteGround Security y habilitar la función 2FA. Descarga el plugin aquí, o instálalo directamente a través de tu área de administración de WordPress.
Monitoriza tu sitio web
Escanea en busca de malware con regularidad
Hay muchas formas en que un sitio web puede infectarse con malware: a través de credenciales de inicio de sesión comprometidas, plugins y temas infectados o falsos, software corrupto y más. El malware puede tener un impacto grave en tu sitio y en tu negocio online. La mejor prevención para ello es una plataforma de hosting web segura y una monitorización constante. Si eres cliente de SiteGround, puedes activar Site Scanner: un servicio que rastrea tu sitio web a diario y te notifica de posibles malware y otras amenazas. Recientemente, Site Scanner ayudó a salvar miles de sitios de WordPress de un malware particularmente desagradable.
Bloquea tráfico sospechoso
Hay casos en los que solo la persona que administra un sitio web puede notar patrones específicos o actividad sospechosa. Hemos proporcionado herramientas potentes y fáciles de usar para bloquear direcciones IP específicas o países enteros, lo que permite a nuestros clientes controlar quién accede a su sitio web y evitar visitantes no deseados.
Haz copias de seguridad frecuentes de tu sitio web
Si bien las copias de seguridad no te protegen de los piratas informáticos directamente, te mantienen a salvo de otros eventos inesperados: una actualización del sitio que puede haber salido mal, un sitio infectado que debe revertirse a una versión limpia y cualquier otra situación en la que una copia de seguridad es todo lo que necesitas para poner tu sitio online. Sabemos con qué frecuencia las copias de seguridad pueden salvar una situación que de otro modo sería grave, por lo que hacemos copias de seguridad diarias automatizadas de todos los sitios alojados con nosotros y las guardamos hasta 30 días. Puedes restaurar fácilmente tu sitio web, archivos o bases de datos de forma gratuita con solo unos clics desde Site Tools > Seguridad > Copias de seguridad.
Cuida especialmente de tu WordPress
Siendo el CMS más popular del mundo, WordPress es también uno de los objetivos más populares para los hackers. Si bien todos los consejos anteriores se aplican a WordPress, hay algunas cosas adicionales que puedes hacer para asegurarte de que tu sitio WordPress esté bien protegido contra los ciberdelincuentes y el software malicioso.
Mantén tu WordPress actualizado
Mantener tu WordPress actualizado es esencial para la seguridad de tu sitio web. Si tu sitio está alojado en SiteGround, tenemos esto cubierto por ti. Todos los sitios de WordPress alojados con nosotros se actualizan automáticamente a la última versión estable de WordPress (solo después de haberla probado a fondo). Los plugins gratuitos también se actualizan automáticamente, dependiendo de la configuración del usuario.
Añade una capa de seguridad adicional con un plugin de seguridad de confianza
Hay exploits y vulnerabilidades específicas de WordPress que se gestionan mejor dentro de WordPress. Algunos de nuestros mejores ingenieros de WordPress han desarrollado el plugin SiteGround Security (gratuito para todos) que consiste en una serie de herramientas y características diseñadas para mantener tu WordPress seguro y protegido. Ayuda a los propietarios de sitios a deshabilitar XML-RPC si no lo necesitas, agregar protección XSS, proteger las carpetas del sistema para que no se inyecten con archivos maliciosos con solo 1 clic y mucho más.
Evita nombres de administrador comunes como “Admin”
Tu inicio de sesión consta de dos partes: un nombre de usuario y una contraseña. En muchas ocasiones el nombre de usuario es algo generado automáticamente por la plataforma donde te registras y no tienes control sobre él, pero en otras, como tu aplicación de WordPress, tienes el control total de cuáles deberían ser tus nombres de usuario. Excepto que todas las instalaciones de WP vienen con el usuario “Admin” por defecto. Y los hackers lo saben, lo que significa que están un paso más cerca de acceder a tu sitio. Es por eso que sugerimos que desactives todos los usuarios administradores en tus sitios, y crees usuarios con nombres diferentes pero con permisos de administrador iguales. Puedes desactivar el uso de Admin y otros nombres de usuario comunes con el plugin gratuito SiteGround Security.
Limita los intentos de inicio de sesión
Un comportamiento estándar de los usuarios no autorizados es intentar adivinar tu contraseña (o nombre de usuario y contraseña) en el formulario de inicio de sesión haciendo múltiples intentos consecutivos. Puedes eliminarlos fácilmente limitando el número de intentos de inicio de sesión fallidos consecutivos que pueden realizar. Una vez que alcanzan la cantidad establecida, la IP desde la que inician sesión se bloquea durante 1 hora. Usa el plugin gratuito SiteGround Security para activar esta función en los sitios de WordPress.
Usa un proveedor de hosting web de confianza donde la seguridad sea lo primero
Como mencionamos al principio, proteger tu sitio web es un esfuerzo de equipo y en nuestra plataforma la seguridad de tus sitios web es nuestra prioridad número uno. Aquí queremos recapitular algunas de las cosas que hacemos y en caso de que no seas un cliente de SiteGround, es posible que desees considerar estos elementos esenciales de seguridad para cualquier proveedor de hosting con el que trabajes:
Firewall de aplicaciones web a nivel de servidor
El firewall de la aplicación web monitoriza el tráfico y bloquea la oportunidad de que los piratas informáticos exploten muchos de los agujeros de seguridad más comunes de las aplicaciones. Aunque existen muchas soluciones como plugins de WordPress o servicios de terceros para atender esa necesidad, un WAF a nivel de servidor es de suma importancia ya que funciona con big data y en tiempo real. Es por eso que nuestro equipo de seguridad dedicado monitoriza constantemente varias newsletter de seguridad en busca de exploits y vulnerabilidades, y crea inmediatamente reglas de seguridad personalizadas, que agregan a nuestro firewall inteligente de aplicaciones web y administrado internamente. Protege todos los sitios web alojados con nosotros desde el primer momento.
Prevención de fuerza bruta
SiteGround tiene un sofisticado sistema de prevención de fuerza bruta basado en inteligencia artificial que durante años ha estado deteniendo millones de intentos de fuerza bruta por día (¡incluso por hora!). Y aunque esto por sí solo es impresionante, recientemente lo hemos mejorado aún más. Después de la reciente actualización del sistema, hemos logrado reducir la cantidad de tráfico malicioso que llega a tu sitio en un 95% y, por lo tanto, minimizando significativamente los intentos reales de fuerza bruta. No se requiere ninguna acción por parte de nuestros clientes, ya lo están usando 🙂.
Protección DDOS.
Los ataques DDOS son utilizados con frecuencia por los hackers para tumbar sitios por diferentes razones: peticiones de rescate, competencia económica o comercial, motivos políticos o simple vandalismo. Tenemos un sistema de mecanismos de software y hardware que desvían los ataques DDOS, mitigan su impacto y eventualmente los detienen. Y lo mejor es que no tienes que hacer nada, ¡protegemos todos los sitios alojados en nuestra plataforma!.
PHP administrado.
Mantener PHP actualizado es esencial para mantener tu sitio web seguro. Las versiones anteriores de PHP son a menudo una puerta de entrada de las vulnerabilidades y el malware, y muchos proveedores de hosting web tienden a pasarlo por alto para facilitar la administración de PHP. Hemos desarrollado una solución PHP administrada y segura que ayuda a nuestros clientes a mantener su PHP actualizado a la última versión estable de PHP.
Bloqueo de tráfico bajo demanda (IP y bloqueo geográfico).
Hay casos en los que solo la persona que administra un sitio puede notar patrones específicos o actividad sospechosa. Hemos proporcionado herramientas potentes y fáciles de usar para bloquear direcciones IP específicas o países enteros, lo que permite a nuestros clientes controlar quién accede a su sitio web y evitar visitantes no deseados.
Área de Cliente e inicio de sesión a Site Tools inteligentes.
Todas las cuentas de SiteGround están protegidas detrás de un inicio de sesión inteligente que hemos desarrollado para reconocer comportamientos sospechosos y forzar una verificación adicional del cliente cuando se detecta un patrón irregular. Nuestro sistema de inicio de sesión aprende de tu comportamiento, como los dispositivos que usualmente usas o las ubicaciones desde las que inicias sesión a menudo, por ejemplo, y sabe si un intento de inicio de sesión proviene de ti o de un impostor. En el último caso, se le presenta un desafío: uno que es fácil de pasar para el propietario real de la cuenta y muy difícil para cualquier otra persona.
Informes mensuales de seguridad
Hay una cosa más que a menudo se pasa por alto, pero es importante incluirla en la estrategia de seguridad de tu sitio web. Debes asegurarte de revisar el estado de seguridad de tu sitio regularmente, sin embargo, esto puede llevar mucho tiempo, esfuerzo y dinero. Los clientes de SiteGround reciben informes de seguridad mensuales gratuitos directamente en sus bandejas de entrada.
Realizamos comprobaciones de seguridad automatizadas de los sitios web de nuestros clientes y luego les proporcionamos resultados resumidos en un formato fácil de usar, junto con consejos prácticos sobre cómo reducir el riesgo de ataques maliciosos, si identificamos áreas débiles.