[Checklist] Cómo verificar la seguridad de tu web
En el año 2015 asistí a una cumbre sobre seguridad web. Allí los profesionales del sector y el FBI nos explicaron cómo “los malos” pueden colarse en la red de una empresa, robar datos, echar a perde tu negocio o utilizarlo con fines malintencionados. Así que, es muy importante realizar un test para comprobar la seguridad de tu página web.
No fue la mejor manera de pasar una tarde de otoño. Pero en ese momento me di cuenta: “No es una cuestión de si tu sitio va a ser hackeado, es cuestión de cuándo”.
La seguridad de tu página web es fundamental. Préstale la atención que merece.
Nada es más efectivo para asustar a alguien que ponerse en una situación extrema. Tomé medidas para proteger la web de mi empresa. Investigué para saber cómo poder verificar si mi sitio era seguro y aprendí a realizar mi propio test de seguridad con el objetivo de mantener mi sitio y los de mis clientes a salvo de los “malos”, tal y como los llamó el FBI.
10 acciones para comprobar la seguridad de tu página web
Basándome en mis conocimientos e investigaciones, he realizado esta lista de verificación que puedes seguir para realizar un test de seguridad de tu web y reducir las posibilidades de que sea una víctima de algún ataque.
- Habilitar HTTPS.
- Actualizar plugins y demás software.
- Eliminar plugins innecesarios.
- Realizar copias de seguridad.
- Comprobar la integridad de tus archivos.
- Proteger tu sitio frente ataques de fuerza bruta.
- Modificar tu nombre de usuario.
- Generar contraseñas automáticamente.
- Escanear DNS y Whois.
- Ejecutar el test de seguridad
¡Empezamos!
1. Asegúrate de que trabajas con el protocolo https://
Eso es, la S en https. Las siglas SSL se corresponden con los términos en inglés Secure Socket Layer, que se encarga de encriptar la información que se transfieren entre el navegador de un usuario y tu página web. Esto se ha convertido en algo esencial, y además Google lo tiene en cuenta en su fórmula SEO y ha empezado a señalar a los sitios web que no funcionan con el protocolo https y que son potencialmente inseguros. Así que, ponte al día y hazte con un certificado SSL.
2. Actualiza todo el software, plugins incluidos
Si tienes una página web en WordPress.com, Blogger.com o una herramienta de construcción de páginas web como el Creador de sitios web de GoDaddy, no tienes que preocuparte de esto. Pero si tienes tu página alojada en un servidor propio, o incluso en un hosting de terceros, eres el responsable de tener todo actualizado para mantener tu web a salvo.
Esto significa mantener tu gestor de contenido como WordPress siempre actualizado, así como los plugins que utilizas. Muchas actualizaciones de plugins se liberan para corregir vulnerabilidades que los hackers pueden aprovechar, así que utilizando versiones antiguas, estarás exponiendo tu sitio a ataques maliciosos.
3. Elimina los plugins innecesarios
Elimina los plugins que no estás utilizando, especialmente si los desarrolladores llevan meses sin actualizarlos. Puede suponer un riesgo si uno de los malos (vuelve a aparecer el término) compra un plugin obsoleto, lo actualiza y le inyecta código malicioso. Entonces, cuando tú actualizas el plugin, tienes la versión nueva, pero tu sitio está comprometido, dejándole a los hackers la puerta abierta hacia tu servidor. Por eso, si estás tratando de testear la seguridad de tu web, esto puede suponer un gran problema.

4. Ten siempre backups de tu sitio
Conozco algunos casos en los que páginas web han sido destruidas completamente por alguien cuyo objetivo era simplemente tirar por la borda todo el trabajo de una empresa. Años y años de publicaciones y contenidos en el blog pueden perderse si se eliminan datos o tu sitio es infectado con código malicioso. Pero, si realizas copias de seguridad periódicas de tu sitio, puedes evitarlo. Eso sí, no deberías guardar tus backups en el propio servidor, sino que deberías depositarlas en un software de terceros.
Trabajar con un proveedor de servicios de backup independiente te ayuda a mantener todos los datos web, de la empresa y financieros guardados de manera segura, en el caso de que algo salga mal.
Para las grandes empresas puede ser una ventaja tener dos copias de seguridad completamente separadas en dos proveedores diferentes, en el caso de que uno falle.
5. Comprueba la integridad de tus archivos
Fíjate bien en los archivos adicionales que publicas en tu web e inclúyelos en tu test de seguridad. Los archivos de imagen, así como los documentos de Excel, Word e incluso PDF, pueden estar corruptos. Con una herramienta de seguridad web como Seguridad de la página web, con tecnología Sucuri, podrás realizar un análisis inicial para comprobar el estado de tus archivos que luego serán comparados con escáneres de seguridad para comprobar que tu web es segura.
6. Protégete ante ataques de fuerza bruta
Muchas veces, la imagen que tenemos de los hackers es tratando de averiguar nuestros nombres de usuario y contraseñas o utilizando software con el objetivo de probar cientos de combinaciones en el cuadro de inicio de sesión. Pero estos ataques puedes evitarlos de esta manera:
- Primero, utiliza contraseñas complejas, preferiblemente letras y números aleatorios, o incluso mejor, una cadena de palabras aleatorias.
- Luego, si eres un usuario de WordPress, utiliza un plugin como Brute Force Login Protection para bloquear ataques de fuerza bruta y banear sus direcciones IP.
7. Modifica tu nombre de usuario
Cada vez que recibo una alerta de un ataque de fuerza bruta, lo cual ocurre una vez a la semana, los hackers siempre están intentando acceder desde el usuario de la cuenta administrador. Por eso, cada vez que configuro una nueva página web, siempre creo un nombre diferente para dicha cuenta y elimino el usuario admin. De esta manera, si alguien intenta acceder con ese nombre, mi instalación no está en peligro.
8. Genera tus contraseñas automáticamente
Hablando de ataques de fuerza bruta, puedes reducir en gran medida su porcentaje de éxito con el uso de contraseñas extremadamente seguras. No trates de crear tu propia contraseña.
¡Lo tengo! Utilizaré el nombre de mi hijo y su año de nacimiento. Nadie sabrá que es Avery2004.
Hazte con un gestor de contraseñas como 1Password o LastPass y utiliza un software para crear contraseñas seguras que sean casi imposibles de averiguar. Estos programas crean contraseñas que encadenan varias palabras y son casi imposibles de descifrar.
Haystack, una herramienta que calcula la seguridad de tu contraseña, indica que una contraseña que encadena palabras podría tardarse «1,82 mil billones de billones de billones de siglos» para descifrarse, así que creo que es suficiente (no creo que viva mucho más).
9. Escanea DNS y WHOIS
Conozco a un chico al que le robaron su nombre de dominio porque el hacker utilizaba ingeniería inversa en tu dirección de correo electrónico, y posteriormente utilizó la opción Olvidé mi contraseña en su proveedor de dominios. Pasaron tres semanas hasta que se dio cuenta de que le habían robado su dominio y tardó otras dos semanas en recuperarlo.
Puedes monitorizar tus DNS y las listas de Whois manualmente una vez a la semana o utilizar un plugin que lo haga por ti. El plugin de seguridad de Sucuri, por una parte realiza un seguimiento de esta información y te te ayuda a tener dos factores de autenticación, a través de email y redes sociales.
10. Realiza un test online de seguridad web
Existen diferentes herramientas y plugins que escanean tu web en busca de malware. Para esto utilizo Sucuri (aquí están otra vez), pero no son los únicos. Sucuri es gratis y te proporciona un informe básico de la seguridad de tu sirio. También existe una versión de pago con más características y funcionalidades.
Evita utilizar cualquier herramienta aleatoria para escanear tu sitio, es probable que sea malware.
Hay un montón de acciones que necesitas llevar a cabo para proteger tu sitio frente a usuarios malintencionados. Muchas de ellas ya se realizan en el propio hosting o en tu aplicación web, pero si utilizas tu propio servidor y estás construyendo un sitio web desde cero, vas a necesitar un desarrollador web profesional y especialista en seguridad para comprobar que tu página es segura.
Independientemente de esto, hay algunos pasos básicos que debes seguir para comprobar que tu web es segura, sin tener en cuenta el hosting o software que utilices.
En resumen, si tienes una página web tienes posibilidades de que algún hacker intente atacar tu sitio. La probabilidad de que lo logren o no depende de ti, así que sigue estos pasos o trabaja con un especialista en seguridad web para mantener todos tus datos a salvo.
Imagen de U.S. Fish and Wildlife Service - Midwest Region via Visualhunt.com / CC BY