Mantenga los guiones, temas y complementos actualizados
Una de las cosas más fáciles y también las más importantes es mantener todo actualizado, incluidos los CMS, los temas y los complementos.
Hoy en día, es una moda construir sitios web con software de terceros como WordPress y Joomla. Estas aplicaciones ofrecen una gran facilidad de uso, pero es completamente su tarea asegurarse de que estén actualizadas. Las actualizaciones se lanzan de vez en cuando, y usted debe estar bien informado. La reparación de las vulnerabilidades conocidas en la versión anterior reduce la posibilidad de piratería.
- ¿Cuáles son las ventajas de usar las herramientas de desarrollo de Google?
- ¿Qué famosas empresas de desarrollo web diseñan sitios web en japonés?
- ¿Cómo hago regex para hacer esto (string = # one # two; todo después de # poner en la etiqueta li para la lista y antes del nuevo # o final de la cadena cerrar la etiqueta li y así sucesivamente) por JavaScript?
- ¿La gente odia el propio JavaScript o los marcos?
- ¿Qué es mejor jQuery, MooTools o Prototype?
En cuanto a los temas y complementos utilizados en su sitio, asegúrese de poder realizar un seguimiento de sus actualizaciones. Para aquellos que no han recibido actualizaciones durante mucho tiempo, 1 año, por ejemplo, deje de usarlas y busque una alternativa. Además, debe eliminar los temas y complementos no utilizados en lugar de dejarlos solo desactivados y no actualizados.
Utilice credenciales de inicio de sesión impredecibles
Debe utilizar un nombre de usuario impredecible y una contraseña complicada para acceder tanto al servidor como al sitio web. Nunca use “admin” o su nombre como nombre de usuario, y no use “admin”, “contraseña” o “1234567” como contraseña. Estas credenciales débiles dan una puerta abierta a los piratas informáticos.
Además, es mejor aplicar contraseñas seguras y cambios regulares para todos los usuarios. Por ejemplo, la longitud no debe ser inferior a ocho caracteres y se deben incluir letras mayúsculas y caracteres especiales. Si su sitio está construido con WordPress, esto se puede hacer fácilmente mediante el uso de un complemento de seguridad.
Otra tarea, que es un poco avanzada, es que debe asegurarse de que todas las contraseñas estén almacenadas de forma segura en la base de datos. Aquí hay dos sugerencias si desea aplicar seguridad adicional a las contraseñas.
- use un algoritmo de hashing unidireccional como sha para almacenar contraseñas. En este caso, los hackers no pueden descifrar la información cifrada.
- sal las contraseñas. Agregar sales al hash de una contraseña es eficaz para luchar contra los ataques de diccionario. Al usar una sal diferente para cada contraseña, la seguridad se puede mejorar aún más.
Asegure el área de administración de su sitio web
El área de administración es el cerebro de su sitio, por lo que debe hacer todo lo posible para evitar el acceso malicioso. El ataque de fuerza bruta es el método más frecuente para que los piratas informáticos entren en el área de administración de su sitio. Para deshacerse del riesgo, además de garantizar la seguridad del nombre de usuario y la contraseña, puede:
Limite los intentos fallidos de inicio de sesión
Puede limitar la frecuencia de las pruebas de acceso fallidas en un determinado período de tiempo. Si el error de inicio de sesión alcanza la limitación, el usuario quedará bloqueado, lo que dificulta el éxito de los ataques de fuerza bruta.
Use los mensajes de error apropiados
Cuando falla un intento de inicio de sesión, algunos scripts devuelven mensajes de error que le dicen al usuario que el nombre de usuario / contraseña es incorrecto, lo que de hecho ayuda a los hackers. Por lo tanto, debe cambiar los mensajes de error para que sean más vagos como “El nombre de usuario o la contraseña ingresados son incorrectos”. Si no sabe cómo hacerlo, lea este tutorial personalizado de la página de inicio de sesión.
Limitar la IP
Si su sitio web solo tiene varios contribuyentes, simplemente puede permitir que sus IP accedan al área de administración y luego prohibir todas las demás IP. Este es un método de seguridad bastante efectivo. Pero no es una opción adecuada para sitios con una gran cantidad de autores.
Asegure el correo electrónico del administrador
Solo para evitar posibles problemas, no use los correos electrónicos que figuran en la página “contáctenos” ni ninguna otra sección obvia de su sitio como correo electrónico de administrador.
Mejora la seguridad de la base de datos
Hoy en día, muchos atacantes desearían apuntar a bases de datos porque incluyen la información más valiosa de su sitio. A continuación se presentan las mejores prácticas de seguridad de la base de datos.
Ejecute bases de datos en un servidor separado
Si es posible, debe mantener el servidor de la base de datos independiente, sin compartir el mismo servidor con el servidor web, por lo que incluso si el servidor web se ve comprometido, sus bases de datos siguen siendo seguras. Usted no controla esto a menos que esté utilizando servidores dedicados, pero puede preguntarle al proveedor de alojamiento antes de realizar una compra.
Cambiar el prefijo de la tabla de la base de datos
Cuando utiliza instaladores de 1 clic para instalar scripts de terceros como WordPress, se crea automáticamente una base de datos con un prefijo de tabla predeterminado que es altamente predecible. Si no ha realizado ningún cambio en el proceso de instalación, debe ingresar a su base de datos y dar a las tablas un prefijo más seguro.
Evite usar un servidor compartido
En el caso de que esté ejecutando un sitio web con mucha información sensible o valiosa, no use hosting compartido. Como se sabe, el alojamiento compartido es barato pero no lo suficientemente seguro. Debe considerar el alojamiento de VPS al menos para sitios de negocios.
Archivos seguros
Hay algunas cosas que puede hacer para proteger los archivos, pero se debe prestar mucha atención a las dos tareas enumeradas a continuación.
Eliminar la carpeta de instalación de scripts
Después de instalar correctamente los scripts, debe eliminar la carpeta de instalación lo antes posible. La carpeta no sirve para su sitio, pero deja archivos ejecutables y otra información que los atacantes pueden usar para dañar su sitio.
Cambiar permisos de archivo
Los permisos de archivo determinan quién puede ejecutar, leer o escribir los archivos. Debe asegurarse de que ningún archivo en su servidor esté configurado con permisos peligrosos “777” que permitan a cualquiera leer, escribir y ejecutar el archivo. En términos generales, las siguientes reglas son adecuadas para la mayoría de los sitios web.
- establecer permisos “755” para directorios y carpetas.
- establecer permisos “644” a archivos individuales.
Puede cambiar el permiso de archivo mediante el Administrador de archivos en cPanel o un cliente FTP como FileZilla.
Asegure las cargas de archivos
Permitir la carga de archivos puede ser un problema grave de seguridad del sitio web porque algunos archivos pueden contener un script indetectable que abre la puerta de su sitio al pirata informático cuando se ejecuta. ¿Entonces qué deberías hacer?
Por supuesto, puede no permitir completamente la carga de archivos, pero esta no es la solución para la mayoría de los sitios web que necesitan imágenes por cualquier motivo. Hay algunos trucos mejores que puedes probar.
Limitar el tipo de archivo de carga
Es un paso básico para evitar que los usuarios carguen archivos ejecutables. Solo debe permitir la carga de imágenes limitando los tipos de archivo a “jpg”, “jpeg”, “png” y “gif”. En este caso, los archivos con extensiones como .html no podrán cargarse.
Cambie los permisos de archivo de la carpeta de carga a “666”
Al hacerlo, no se pueden ejecutar todos los archivos de la carpeta, por lo que incluso si hay un script oculto, no puede dañar su sitio web. Este método generalmente se ignora, pero es mejor que lo tome en serio.
Almacenar archivos cargados en una carpeta privada
Esta es una solución avanzada que requiere habilidades de codificación. Puede almacenar todos los archivos cargados en una carpeta que no se encuentra en la raíz de su sitio web para que no todos tengan acceso directo. Pero deberá crear un script para llevar los archivos de la carpeta privada a los navegadores de los visitantes. No estamos discutiendo cómo hacerlo aquí, y puede buscar en Google un tutorial detallado si está interesado.
Utilice las herramientas y tecnologías de seguridad del sitio web
Las herramientas de seguridad adicionales pueden mantenerlo bien informado sobre el peligro de su sitio y ayudarlo a eliminar los problemas.
Registrarse Herramientas para webmasters de Google
Google Webmaster Tools es una gran ayuda para mejorar la seguridad del sitio web. Le enviará notificaciones cuando su sitio esté infectado por malware, para que pueda responder de inmediato y limpiar el malware.
Usar SSL
Un certificado SSL es importante para todos los sitios web que hacen negocios en línea. Asegura la transferencia de información confidencial entre el servidor web y el sitio web, lo que hace que sea menos posible que la información sea robada. Después de instalar un certificado SSL, notará que el HTTP se ha transformado en HTTPS, junto con un símbolo de bloqueo en la barra de direcciones.
Considere SiteLock
Ya sea que esté ejecutando un sitio web basado en CMS o un sitio HTML, SiteLock puede ayudarlo con la seguridad. Es una solución paga que proporciona monitoreo diario de malware y vulnerabilidad. Los escaneos se realizan automáticamente. SiteLock también incluye un firewall de aplicación web.
Use un firewall de aplicaciones web
Los firewalls de aplicaciones web se usan para controlar todo el tráfico a su sitio web y filtrar el tráfico según la política configurada. Pueden bloquear la mayoría de los ataques conocidos y el tráfico de varias listas negras. Y también pueden reducir los riesgos de seguridad causados por las secuencias de comandos entre sitios (XSS) y la inyección de SQL.
Use un complemento / extensión de seguridad
Las aplicaciones de código abierto como WordPress y Joomla vienen con una gran cantidad de complementos fáciles de usar y con muchas funciones que brindan protección integral a los sitios web. Puede leer los comentarios y luego seleccionar el que mejor se adapte a sus necesidades. Pero recuerde no usar más de un complemento de seguridad a la vez.
Manténgase informado de las nuevas tecnologías y nunca deje de aprender
Internet es un lugar en constante cambio donde los piratas informáticos siguen actualizando las habilidades y técnicas. Por lo tanto, también debe aprender cosas nuevas y aplicar las últimas tecnologías para asegurar su sitio.
Si ha encontrado algunos blogs excelentes sobre la mejora de la seguridad del sitio web, suscríbase al boletín. Entonces podrá conocer los últimos virus y errores en Internet y mantenerse a la vanguardia en la lucha contra los piratas informáticos.