Mi página web con seguridad: las 10 claves

Una página web con seguridad es la parte más importante que debemos tener en cuenta cuando utilizamos este formato para poder dar a conocer mi imagen, ya sea personal o de empresa. Desgraciadamente muy pocas personas se interesan por esta, o simplemente dan por hecho que ya tienen una web con seguridad aplicada. No, no, de eso nada. Lamentablemente no es lo más común. En Indosmedia llevamos 15 años encontrándonos con proyectos web con 0 de seguridad. Si, si, han leído bien, con 0 de seguridad.

Aunque ya adelantábamos varios aspectos en el artículo «10 exigencias al contratar una web y que ninguna agencia te cuenta«, en este artículo queremos indicaros las 10 claves para tener una página web con seguridad. Estas 10 claves van a evitar la gran mayoría de problemas relacionados con la seguridad de cualquier web, independientemente del objetivo o tipo de página web. Estos problemas cada vez son más comunes y se presentan en muchas webs corporativas con el daño de imagen que provocan. Así que vamos a verlas y a evitar tener problemas con nuestra página web.

Certificado SSL.

Esta medida permite que los datos que vayan a ser introducidos por usuarios que accedan a nuestra web se puedan enviar encriptados. Un elemento de seguridad clave para mantener seguros los datos de nuestros clientes. Este certificado de seguridad viene de las siglas en inglés (Secure Socket Layer) que significaría algo así como «Capa de conexión segura».

Realmente lo que utilizamos es una comunicación distinta cuando entramos a visitar a una web, en vez de entrar a través de «HTTP» (Hypertext Transfer Protocol) lo hacemos a través de «HTTPS», algo así como; Protocolo de transferencia de hipertexto seguro.

Además ya hace tiempo que los navegadores principales como Google Chrome o Firefox ya nos están indicando con un mensaje previo a la dirección de «Este sitio no es seguro» cada vez que entramos en una web sin certificado SSL y eso da muy mala imagen.

Si están interesados de conocer todos los beneficios de tener un certificado de seguridad puedes leer este interesante artículo: «10 ventajas por tener mi web con Https«.

Cambiar el acceso administrativo.

Una de las tareas más fáciles de realizar y que evitan muchos problemas es cambiar el acceso administrativo. Todos los sistemas de gestión de contenidos (WordPress, Prestashop, Joomla, etc…) tienen por defecto la misma ruta para acceder al panel administrativo. Ahí es donde se introduce las credenciales administrativas para poder acceder a la gestión de una página web.

¿Por qué es importante cambiar esta ruta que hay por defecto?

Hay muchos robots con intenciones y acciones maliciosas que chequean los tipos de gestión de las web. Cuando detectan un sistema de gestión habitual lo primero que hacen es acceder a la ruta por defecto de acceso administrativo. Sus intenciones es acceder con rol de administrador para poder infectar o inyectar códigos.

Si tenemos cambiado esta ruta todos estos problemas los tenemos resueltos.

Copias de Seguridad.

Las famosas copias de seguridad. Es una de las tareas más importante en el mantenimiento de seguridad de cualquier web. En muchos casos no existe ninguna copia de seguridad de respaldo, pero el cliente no lo sabe hasta que se necesita tirar de una porque la web se ha visto tan afectada que no hay otra forma de volver a funcionar.

En otros muchos casos dónde si existe una copia de seguridad no se puede aplicar porque el problema reside en el servidor dónde se encuentra la web, y sorpresa; la copia de seguridad también se guarda en el mismo servidor. Error más común de lo que parece.

Y en otro tantos casos, qué sí se guarda la copia de seguridad en otro servidor, cuando se va a restaurar hay algún error de volcado, de copiado o la falta de archivos impide restaurar correctamente esa copia.

Lo que tenemos que hacer para tener una buena copia de seguridad lista para utilizar siempre es:

• Guardar la copia en otro servidor situado geográficamente en un lugar distinto del servidor de la web.
• Realizar periódicamente una copia. Y con la periocidad con la que se modifique el contenido de la web.
• Probar que la copia de seguridad se puede restaurar y hacer pruebas de forma periódica.

Protección anti SPAM.

Aunque el SPAM lo conocemos por el uso del correo electrónico, en este caso se trata de evitar que utilicen nuestra web para el envío masivo de emails por terceros. Es una práctica muy extendida y que nos provoca muchos problemas.

Si nuestra web tiene vulnerabilidades que permiten inyección de código externo y tenemos algún sistema de envío de información, por ejemplo un formulario de contacto, nos pueden utilizar nuestro dominio para enviar masivamente emails. De esta forma vamos a ser listados en listas que nos impiden enviar correos electrónicos de forma habitual.

Introducir un sistema anti SPAM de inyección de código es bastante sencillo y muy recomendable en cualquier sistema de gestión de contenidos.

Si quieres conocer más sobre listas de Blacklist y problemas con el email: «Problemas con el email: Blacklist»

Actualizaciones recurrentes.

Es la parte más crítica de cualquier sistema de gestión de contenidos como WordPress, Prestashop, Joomla. Y a día de hoy muy habitual en WordPress, el sistema más utilizado para el desarrollo de páginas web a nivel mundial.

Es una parte crítica ya que requiere tareas de actualizaciones cada mes, ya que si no hay que actualizar el propio WordPress, hay que actualizar plugins utilizados para su funcionamiento, e incluso el tema que se ha utilizado para el desarrollo del diseño.

Estas actualizaciones tienen como único objetivo mejorar y evitar las vulnerabilidades que van apareciendo. Por ello corremos mucho riesgo si no hacemos de forma regular estas actualizaciones.

Protección en formularios.

Otro de los errores más comunes que se encuentran en los formularios de contacto o cualquier formulario que sirva para introducir datos es la de no proteger de recepción de SPAM.

Cuando nos preguntan qué hacer cuando una persona recibe mucho correo basura en la cuenta estándar ya que utiliza en una web, la respuesta es muy sencilla, utilizar una «recaptcha» para evitar que nos envíen a través de estos formularios SPAM.

Es muy fácil y todos nos hemos habituado ya a marcar esa casilla de Google que dice «No soy un robot», y que a veces sospecha y nos pide más información, como marcar las imágenes con coches o semáforos.

Alojamiento Gestionado.

Esta característica que casi nadie sigue, principalmente por la diferencia de precio, evita contagiarse de cualquier problema que tenga otra web que está alojada en el mismo servidor. Esto se debe a que no se comparte el servidor con cientos, incluso con miles de webs. Es bastante habitual que empresas de alojamiento baratas (por debajo de 100€ anuales) nos alojen con miles de otras web, con el riesgo que corremos de podernos infectar con problemas de otras webs.

Además en el caso de Indosmedia, que solo ofrecemos este tipo de alojamiento a nuestros clientes, se incluyen servicios de seguridad que cubren las claves que veíamos anteriormente (Https, copia de seguridad, recaptcha, actualizaciones, anti spam y cambio de acceso administrativo.

La diferencia en precio con un alojamiento no gestionado es menos del doble en la mayaría de los casos y podemos encontrar alojamientos gestionados por debajo de 300€ anuales o incluso por debajo de 200€ anuales.

Protección anti Malware.

Es una de las tareas que nos permite fallar en muchas de las anteriores. Me explico; si no estamos haciendo una actualización adecuada, no cambiamos el acceso administrativo, no tenemos «recaptcha», en definitiva, estamos sin cubrir muchas vulnerabilidades en nuestra web que permiten que nos infecten con «Malware». Pues con esta herramienta lo podemos evitar.

Primero de todo, ¿qué es «Malware»? bueno no deja de ser programas maliciosas, y el sistema de anti Malware no deja de ser como un sistema de anti virus para nuestra web.

Estos servicios de pago, como los antivirus, se renuevan anualmente, y además de protegernos, en caso de que tengamos alguna infección nos permite desinfectar la web de forma fácil y sencilla.

Usuarios avanzados.

El gran dilema para muchas empresas o clientes. Me refiero a que en determinadas ocasiones solicitan un usuario con acceso administrativo a la web y suele convertirse en un problema.

¿Por qué?

Bueno, en todos los casos que hemos visto estos 15 años, los usuarios que acceden no tienen los conocimientos suficientes y nunca la experiencia de aplicar determinados cambios afectando a la seguridad. Y es un problema importante.

Existen muchos roles distintos que podemos utilizar dependiendo de la utilización que se va a hacer dentro de la administración de la web: administrador, autor, editor, anunciante, cliente, etc….

El rol de administrador debería estar solo en manos de la persona especializada en administrar la página web con seguridad, ya que hay muchas tareas que requieren de su pericia, profesionalidad y experiencia.

Aplicación de la LSSICE y la RGPD.

Son las dos normativas más importantes que afectan directamente a una página web. Y si bien no interfiere directamente con la seguridad de la web, son normativas que nos dicen, de forma muy resumida, ¿qué aplicas para salvaguardar los datos? La respuesta puede ser, además de la adecuación que es importante, todas las claves que estás viendo en este artículo.
De todas formas en un artículo de Leasba para Indosmedia lo explica muy fácil: «Cómo la LSSICE y el RGPD afectan a mi negocio online»

Esperamos que toda esta información y las 10 claves os sirvan para tener la página web con seguridad que os gustaría y necesitáis. Si tenéis alguna duda o queréis preguntar cualquier cosa referente a tener una página web con seguridad lo podéis dejar en los comentarios, aquí mismo. Os responderemos!

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.