Hubo un momento en que las personas y las empresas abandonaron los sitios web con total abandono, simplemente con la esperanza de que nadie pirateara el contenido o instalara malware en el sitio.
Esos días quedaron atrás, ya que el número y la frecuencia de los ataques significan que existe una amenaza constante, y cuanto más exitoso es un sitio web, mayor es el peligro.
Entonces, ¿cuáles son las formas en que puede proteger su sitio web (a través de su proveedor de alojamiento web) y cómo puede reducir la posibilidad de que el sitio sea pirateado y alterado de manera nefasta?
Sin embargo, antes de llegar a eso, debemos comprender el nivel más básico de seguridad que es responsable de muchos sitios pirateados, incluso aquellos alojados en servidores seguros.
- Hemos elegido los mejores servicios de alojamiento web aquí.
- Estas son las mejores empresas de alojamiento web gratuito que existen
- Y esos son actualmente los mejores creadores de sitios web
La primera línea de defensa
Aunque algunas empresas insisten en alojar sus propios sitios web, la mayoría de los dominios comerciales se encuentran en servidores seguros contratados para tal fin.
Cuando elige el alojamiento, puede definir qué sistema operativo está ejecutando ese sistema (Windows Server, Linux o Unix) y eso dicta los protocolos de seguridad que se requieren.
La persona o personas con la responsabilidad de administrar el sitio tienen derechos de administrador para alterar las estructuras de archivos en él, y nadie más.
Donde esto puede salir mal desde el principio es si demasiadas personas conocen los detalles de la cuenta de administrador y la contraseña no se cambia de forma regular. Y solo se necesita un registrador de teclas para ser instalado en una de las máquinas utilizadas para hacer el administrador, y la contraseña se revela exactamente a la clase de personas que menos desearía tenerla.
Pero siendo honesto, ¿cuántas personas trabajan en una oficina donde las contraseñas se recuerdan regularmente con notas adhesivas? Algunas manos subieron allí, sin duda.
Asegurar estas contraseñas es la primera línea de defensa, y sin eso, cualquier otra cosa que haga se puede deshacer fácilmente.
Por lo tanto, hay dos lecciones iniciales que aprender sobre la seguridad del sitio web, a saber:
- Solo es tan bueno como la red donde se construyó el sitio web
- La seguridad rara vez se mejora escribiendo las contraseñas y colocándolas en una ubicación muy visible.
Auditoria de seguridad
Realizar una auditoría de seguridad en un sitio es un ejercicio relativamente simple que puede realizar el personal de TI utilizando una selección de herramientas de software. O, alternativamente, puede contratar a un tercero para que realice el escaneo por usted y proporcionar una lista de posibles debilidades para apuntalar.
Si está comprando un servicio de alojamiento web, el proveedor también puede incluir una herramienta de seguridad para asegurarse de que está razonablemente seguro desde el principio, pero no generalmente de manera continua.
Más allá de eso, muchos proveedores también ofrecen un paquete de seguridad de sitios web, donde prometen una respuesta rápida a las amenazas y la mitigación de los ataques por denegación de servicio. A menos que tenga un pequeño blog personal, esta es una buena inversión.
El precio de estos servicios no es mucho si se considera lo costoso que puede resultar tener un sitio fuera de línea durante cualquier período de tiempo, especialmente para quienes ofrecen comercio electrónico.
Independientemente del enfoque que adopte, es importante que se realicen análisis de seguridad de forma regular para identificar posibles nuevas amenazas a medida que surgen y abordarlas de inmediato.
Preocupaciones comunes
Las formas más comunes de ataque que encuentran los sitios web son las siguientes:
- Denegación de servicio distribuida (DDoS) - Muchas computadoras remotas, generalmente infectadas con un troyano, actúan al unísono exigiendo páginas web repetidamente hasta el punto en que los servidores no pueden manejar la cantidad de solicitudes.
- Infección de malware - De alguna manera, los archivos que contienen algún código infame se colocan en el sitio con la intención de subirlo a cualquiera que lo visite.
- inyección SQL - Código malicioso insertado en un formulario o entrada que luego es ejecutado por la base de datos SQL en el servidor. Este código podría permitir el acceso a los datos del cliente o abrir la máquina a un acceso externo.
- Fuerza bruta - A menudo, una falla en el sistema operativo permite que un ataque repetido cause un reinicio que abre un puerto brevemente para un asalto secundario. Dada la complejidad de los sistemas operativos modernos, periódicamente se encuentran nuevas vulnerabilidades.
- Secuencias de comandos entre sitios - Un método de piratería en el que se puede redirigir un navegador a otro sitio o reemplazar el contenido del sitio de la víctima sin que el visitante se dé cuenta.
- El truco del "día cero" - Estos son ataques nuevos y difíciles de detener que utilizan una debilidad que no es de conocimiento público. El tiempo entre el descubrimiento de la vulnerabilidad y el parche es crítico y puede requerir que algunas funciones del servidor se deshabiliten temporalmente hasta que se encuentre una solución.
Debilidades por diseño
Si bien muchos sitios operan con las siguientes funciones activas, son la fuente de muchos problemas de seguridad por numerosas razones:
- Formularios - Todo lo que procesa la entrada en el servidor es un punto de entrada potencial para código malicioso, y también puede explotarse para extraer datos del usuario.
- Foros - La colocación de scripts y la redirección de usuarios a sitios web que distribuyen malware son solo algunos de los problemas potenciales con los foros generados por usuarios.
- Inicio de sesión en redes sociales - Usar su cuenta de Facebook o Google para iniciar sesión en un sitio es rápido y fácil, pero también podría ser una forma de piratear estas cuentas.
- Comercio electrónico - El crimen sigue al dinero y los piratas informáticos dedicarán mucho más esfuerzo a piratear un sitio de comercio electrónico.
- Contenido no regulado - Si obtiene noticias y artículos de otros sitios, dependerá de sus medidas de seguridad, sean las que sean.
Obviamente, eliminar todas estas funciones de un sitio web lo convertiría en un lugar mucho menos atractivo para los visitantes. Se debe tomar una decisión sobre qué elementos está preparado para usar y cómo pretende mitigar los posibles problemas de seguridad asociados con ellos.
Protección adecuada
Solo hay una forma de garantizar que su sitio web nunca sea pirateado, y es no tener una. En última instancia, la seguridad del sitio web es un ejercicio de mitigación en el que hace lo suficiente para que sea mucho menos valioso intentar piratear su sitio, y también para asegurarse de que sea más rápido para recuperarse de cualquier incidente.
El nivel exacto de esfuerzo de seguridad realizado es una elección con la que todas las empresas deben luchar, pero para aquellos involucrados en la venta en línea, el compromiso debe ser del 100% para asegurar los datos personales y financieros de quienes comercian con usted.
A numerosas empresas y organizaciones les han robado todos los datos de sus clientes y luego los han utilizado para estafas de robo de identidad, con costosas consecuencias.
Cualquiera que sea el nivel de protección y monitoreo que elija, debe ser adecuado para su propósito. Finalmente, considere que tener una seguridad mejor de la que necesita tiene una implicación de costo mínima, pero tener menos podría tener enormes ramificaciones legales y comerciales.
