De todos los tipos de alojamiento web disponibles, el alojamiento compartido es el más común y el más vulnerable a los problemas de seguridad.
Aprenda a salvaguardar el suyo.
Afrontémoslo: cuando se trata del tema de la seguridad web, la mayoría de nosotros preferimos vivir en la negación. «Soy demasiado pequeño para que me pirateen», «Sé que no tengo tan mala suerte», «Ya lo veremos cuando tenga más tiempo»… no hay fin a las excusas que podemos inventar para eludir el pesado y tedioso trabajo de reforzar la seguridad de su sitio web.
Sí, incluso la idea de crear copias de seguridad es suficiente para mandarnos a dormir.
Entonces, ¿qué puede motivarnos para tomarnos la seguridad más en serio?
¿Quizá pegar en nuestras paredes los detalles de los hackeos más devastadores del mundo? Pero entonces, los pensamientos soy-demasiado-pequeño-para-ser-hackeado se apoderarán de nosotros. Una idea que creo que puede funcionar como un contador colocado en algún sitio: un contador que muestre el número total de horas que ha dedicado a este negocio o sitio web suyo. Si han pasado cinco años (supongamos que dedica una media de 15 horas al día al negocio), serán 15 x 30 x 12 x 5 = ¡27.000 horas de esfuerzo que se irán por el desagüe en un instante si su sitio web fuera pirateado y todos los datos destruidos!
Aunque este post no trata sobre los hábitos y la motivación, pensé que era oportuno hacer un rápido debate. Si eso no le asusta y le motiva, no sé qué lo hará 🙂
De todos modos, para aquellos que se asustaron lo suficiente, o están preocupados por su seguridad en general, pasemos a lo que puede hacer para que su cuenta de alojamiento compartido sea más segura.
Tenga en cuenta que estamos hablando de una cuenta de alojamiento compartido , no de un servidor virtual o físico (ni siquiera de una colección de ellos). Los servidores independientes son un juego de pelota totalmente diferente, mientras que en este post me dirijo a la mayoría, gente no tan técnica cuyos ingresos dependen de las propiedades digitales.
Cree (garantice) copias de seguridad periódicas
Es difícil creer que las copias de seguridad puedan estar relacionadas con la seguridad, pero lo están.
A menudo, los hackeos son tan graves que acaban con sus datos; otras veces, el código malicioso se entierra en lo más profundo de los cimientos y sigue reapareciendo (¡no puedo ni empezar a explicar cuántas veces me ha pasado en el sitio de WordPress de clientes!) a pesar de la mejor limpieza profesional.
En tales ocasiones, no hay nada mejor que darle al botón de restaurar: vaya a una copia de seguridad que solía funcionarle, haga borrón y cuenta nueva, configúrelo todo de nuevo e importe los datos de nuevo. ¿Qué pierde? Los datos recopilados desde la copia de seguridad. ¿Qué gana? Toda la empresa
Dicho esto, hay que tener en cuenta algunas cosas sobre las copias de seguridad.
Restauración
Las copias de seguridad no significan nada si no está prevista una restauración rápida y predecible. Es probable que su proveedor de alojamiento compartido tenga una opción de restauración, pero ¿está seguro de que funciona?
Y si no hay botón de restauración, ¿sabe cómo volver a configurarlo todo?
Seguro que se lleva alguna sorpresa, ya que con el tiempo recopila enormes cantidades de datos, lo que puede ser un engorro a la hora de restaurar. Y luego hay otras cosas a tener en cuenta: la versión de la base de datos, la versión del software, la versión de PHP (si tiene un sitio web en PHP, claro), la compatibilidad de estas versiones, etc. Lo más probable es que no tenga las habilidades o la energía para meterse en todo esto.
Si no es así, le recomiendo encarecidamente que opte por un servicio de gestión que se ocupe de todo por usted, aunque le parezca caro. Por otro lado, si se siente seguro de poder llevarlo a cabo, debo pedirle que haga ensayos regulares (digamos, cada seis meses) — créame, por muy experto que uno sea, siempre hay algo en lo que tropezar.
Si usted está buscando un alojamiento compartido fiable para construir WordPress, Joomla, Magento sitio, que ofrecen copia de seguridad diaria a continuación, dar una oportunidad a SiteGround.
Frecuencia
¿Con qué frecuencia debe hacer copias de seguridad? Hay dos cosas a considerar aquí: el tamaño de sus datos recogidos, y la criticidad de su negocio.
Digamos que tiene un total de 40 GB de datos necesarios para el funcionamiento del negocio. Si programa copias de seguridad diarias, utilizará 40 x 30 = 1200 GB o 1,2 TB de datos en el primer mes.
Al final del primer trimestre, habría crecido hasta los 3,6 TB: no importa dónde elija almacenar esta cantidad de datos, un agujero en su bolsillo está garantizado.
¿La solución?
Descartar los datos más antiguos de una duración determinada. Ahora bien, cuál sea esta duración depende totalmente de su negocio, aunque en la mayoría de los casos realizar copias de seguridad dos veces por semana de los últimos uno o dos meses es más que suficiente.
Incluso entonces, las facturas de las copias de seguridad no serán triviales, y tendrá que asegurarse de que son los datos útiles los que se guardan, y además en una forma reutilizable. De lo contrario, bueno, ya conoce los riesgos… 🙂
Adopte la autenticación de dos factores
Para los que no conozcan la idea, la autenticación de dos factores significa utilizar un proceso de dos pasos para verificar a los usuarios antes de registrarlos y entregarles las riendas (más detalles aquí).
¿Por qué?
Únicamente porque si alguien adivina o roba su contraseña e intenta iniciar sesión desde su ordenador, se le pedirá que demuestre su identidad.
El sistema podría pedirles que respondan a una pregunta secreta, que tecleen una OTP enviada por SMS o correo electrónico, pedirles que seleccionen una imagen favorita o utilizar algún otro método para reforzar la identidad. Sinceramente, teniendo en cuenta lo mal que algunas personas eligen las contraseñas (no, s1mpled00d no es una contraseña segura), y lo fácil que es para los piratas informáticos basados en navegadores recuperar sus contraseñas, lo mejor es poner en marcha una autenticación de dos factores.
Para los sitios web de WordPress, hay varios plugins que puede elegir, lo que hace que la tarea sea muy fácil y rápida.
Evite las fuentes no fiables
Este es otro punto que debería ser tan obvio como el color del cielo ( es obvio, ¿no?), pero como ocurre en el mundo humano, las emociones se apoderan de usted con bastante rapidez.
Usted quiere desplegar una función rápidamente y se topa con una fuente que le ofrece exactamente lo que necesita, quizá incluso gratis. Las demos son increíbles, la UX alucinante — ¡¿qué más necesita?!
¡No tan rápido, pequeño! Las fuentes de terceros pueden ser fuente de varios problemas desagradables (y la mayoría de las veces, lo son): pueden contener código malicioso que robe sus contraseñas guardadas o la información de su tarjeta de crédito (en una aplicación móvil, ¡el daño que puede hacer el código malicioso da miedo!), o pueden estar mal codificadas, convirtiéndose así en un eslabón débil de la seguridad de su sitio web una vez incrustadas.
Y por favor, no haga caso a su desarrollador si le dice que ha revisado el código y lo ha aprobado — el mundo de la seguridad es extremadamente retorcido, con ataques increíblemente astutos que se revelan cada día (aquí tiene un ejemplo de cómo las humildes funciones serialize() y unserialize() en PHP pueden ser manipuladas para permitir la ejecución remota de código).
Siempre, siempre, adquiera plugins, temas, bibliotecas, etc., de fuentes de confianza. Para los usuarios de WordPress, esto significa ceñirse a los plugins disponibles oficialmente (porque son brutales, se comprueba estrictamente la calidad del código y la seguridad), y lo mismo vale para otras plataformas que existen.
Una vez más, antes de sentir el impulso incontrolable de coger ese plugin y salir corriendo, piense en el número total de horas que está poniendo en riesgo.
Contraseñas más fuertes
El problema con las contraseñas «fuertes» que se nos ocurren es que son cualquier cosa menos seguras.
Con un poco de conocimiento de su vida personal y la ayuda de un ataque de diccionario, las posibilidades de descifrarlas son muy altas.
¿La solución?
Le recomiendo que utilice un servicio gratuito y fiable como el generador de contr aseñas de LastPass, que le permite elegir lo complicada y larga que debe ser la contraseña. No se lo ponga fácil a la herramienta: haga que estire sus músculos al máximo.
Olvídese de tener una contraseña que pueda recordar — no, esos días ya pasaron. Las contraseñas que se pueden recordar son fáciles de descifrar. En su lugar, dele unas cuantas vueltas al generador de contraseñas y decídase por algo que le revuelva el estómago.
He aquí algunas sugerencias que he recibido (con la longitud de la contraseña fijada en 20 caracteres):
- rfg$t^cvwBg@Z0lj0Oxu
- 1sNYhBXrYJ2IW^J$f@Sq
- Plg6#YicW%bh&UzVpp#Z
- f95^*sMm592OwQcg&QZi
¿Feo? Muy ¿Seguro? Muy
Por último, si tiene un sitio web en el que se permite a otras personas crear una cuenta, asegúrese de hacer cumplir la validación de contraseñas y rechace cualquier cosa que no sea horrible de ver. Sí, el nuevo contribuyente tiene buenas intenciones, pero como se suele decir, el camino al infierno está empedrado de buenas intenciones. ??
Actualice el software con regularidad
Si su cuenta de alojamiento compartido le ofrece un panel de administración que le permite actualizar el software instalado, le recomiendo encarecidamente que lo haga.
¿Por qué? No porque le parezca elitista hacerlo, sino porque el nuevo software se lanza para parchear en gran medida las lagunas de seguridad descubiertas en las versiones anteriores (¡Ajá! Ahora ya sabe por qué su Windows quiere tan desesperadamente que siga actualizando).
Por favor, no se tome esto a la ligera (o en realidad, cualquier sugerencia de este artículo :D). No se sabe cuántas instalaciones, aplicaciones, servidores y dispositivos son bombas de relojería porque están ejecutando software antiguo.
Si está poniendo los ojos en blanco ante esto, estoy con usted: no hay nada más doloroso que tener que comprobar, probar, actualizar y descartar constantemente cosas que no funcionan. Pero este es el «impuesto» que pagamos por la infraestructura digital — nuestras propiedades digitales son mucho más sensibles y mucho más potentes que el resto de cosas a las que estamos acostumbrados, y por eso exigen una atención especial.
Una vez más, si puede permitírselo, opte por una oferta gestionada.
Elija un proveedor de alojamiento más seguro
No todos los proveedores de alojamiento son iguales, y en este mundo de publicidad agresiva y marketing de afiliación, puede ser difícil distinguir los buenos de los malos.
Entonces, ¿cómo decidir qué proveedor de alojamiento es «mejor»?
Bueno, ojalá tuviera una vara de medir mágica, pero no la tengo.
Las infraestructuras de alojamiento son bestias complejas, y no hay forma de que las calificaciones, las reseñas, el diseño del sitio web o la amabilidad con el cliente puedan proporcionar un buen indicador. Pero le diré lo siguiente: si tiene problemas, no tenga reparos en probar algo nuevo. Si acaso, le aconsejaría que se mantuviera alejado de las empresas muy antiguas y muy grandes que venden dominios y alojamiento (ya sabe a quién estoy señalando, ¿verdad? ;-)) y que, en su lugar, diera una oportunidad a algunas empresas más jóvenes y con más hambre.
No puedo exagerarlo lo suficiente.
Cambiar a un proveedor de servicios más seguro y con mejor rendimiento puede ahorrarle horas de quebraderos de cabeza y noches de insomnio cada mes.
Tengo varios amigos que dirigen sitios de WordPress basados en contenidos, cuyos problemas con el sitio web desaparecieron en cuanto dieron el audaz (y doloroso) paso de cambiar, y no ha habido ni un solo problema en años. Dicen que cosas insignificantes como la lentitud del sitio web y los tiempos de inactividad no merecen su tiempo, y creo que tienen razón 🙂
Utilice protección DDoS
Lo que pasa con la Web es que es la «World Wide» Web. Cualquiera desde cualquier lugar puede acceder a su sitio web, o intentar entrar.
Incluso los bots.
Ahora bien, si de los varios miles de visitas que recibe su sitio web cada hora, el 99% son bots que intentan encontrar una forma de entrar, tiene un problema entre manos: estas peticiones inútiles no sólo se comerán los recursos del sistema, sino que también consumirán ancho de banda de su cuota.
Sé que los sitios web de alojamiento compartido afirman tener un ancho de banda «ilimitado», pero créame, nada es ilimitado.
Aunque supongamos por un segundo que ofrecen una transferencia de datos ilimitada cada mes, no olvidemos que las redes físicas que lo conectan todo tienen una capacidad limitada. En otras palabras, el número de usuarios a los que su sitio web puede dar servicio al mismo tiempo es limitado, por lo que aunque pueda tener un uso mensual infinito, su sitio siempre será muy lento o estará inactivo para los usuarios.
Y quién quiere visitar un sitio web así, ¿verdad?
La mayoría de las veces, un atacante orquesta un ataque de este tipo controlando varios ordenadores y haciendo que visiten el sitio web objetivo (por lo que usted sabe, su ordenador ya es un participante involuntario en un ataque de este tipo).
El escenario que acabo de describir es lo que técnicamente se conoce como ataque de denegación de servicio distribuido (DDoS) (más detalles aquí), y sigue siendo una de las formas de ataque más frustrantes, ya que es prácticamente indistinguible de un gran número de usuarios haciendo peticiones a su sitio web.
Dicho esto, ciertas empresas como Cloudflare, SUCURI han construido excelentes sistemas de defensa en torno a ello, que pueden analizar de forma inteligente y bloquear los ataques DDoS basándose en patrones pasados de tráfico.
Una vez más, esto resultará caro para muchos, pero entonces, usted tiene que decidir por sí mismo si arriesgarse a perder todo su negocio merece la pena.
Cortafuegos en la nube
Para los que no lo sepan, un cortafuegos no es más que una pieza de software que se ejecuta en su ordenador y en su red y que bloquea o permite el tráfico basándose en reglas específicas. Ahora debería ser obvio lo que es un cortafuegos «en la nube», pero aquí tiene una imagen que definitivamente vale más que mil palabras 🙂
En mi opinión, un cortafuegos correctamente configurado hace más por proteger sus propiedades digitales que todas las demás medidas juntas. Si las redes de los gigantes tecnológicos son impenetrables, el mérito es de sus temibles cortafuegos que filtran agresivamente todo el tráfico entrante y saliente. Si un atacante intenta siquiera sondear en busca de aperturas, el resultado es la inclusión instantánea en una lista negra, lo que hace muy, muy difícil colarse o derribar la red.
He aquí nuestra recomendación de los mejores cortafuegos que existen. De nuevo, si cree que es caro, ¡recuerde el contador!
Hay muchas otras cosas que puede hacer para que las cosas sean «más seguras», pero creo que si se toma en serio este artículo, se salvará del 99,9% de los ataques y hackeos potencialmente embarazosos.
Esto va especialmente para los usuarios de WordPress, ya que no es una plataforma muy segura por diseño. Incluso si tiene un sitio web HTML sencillo, recuerde que los ataques DDoS pueden estropear el sabor a sus usuarios, a su proveedor de alojamiento y a usted al mismo tiempo.
En otras palabras, ¡sólo los paranoicos sobreviven (también hay un libro precioso con ese nombre, por si le interesa)! 🙂
| Vista previa | Producto | Valoración | |
|---|---|---|---|
|
Only the Paranoid Survive: How to Exploit the Crisis Points That Challenge Every Company | Buy on Amazon |