¿Cómo puedo proteger mi sitio web?
En los últimos años, se ha ampliado la facilidad para crear sitios web. Gracias a los sistemas de administración de contenido (CMS), como WordPress, Joomla y otros. los dueños de negocios ahora son los webmasters.
La responsabilidad de la seguridad del sitio web ahora está en sus manos, sin embargo, muchos propietarios no saben cómo hacer que su sitio web sea seguro.
Cuando los clientes usan un medios de pagos con tarjeta de crédito en línea, necesitan saber que sus datos están seguros. Los visitantes no quieren que su información personal caiga en manos equivocadas.
Ya sea que administre una Pyme o empresa, los usuarios esperan una experiencia en línea segura.
Un informe de 2019 de Google Registry y The Harris Poll mostró que, aunque más personas están creando sitios web, la mayoría de los usuarios tienen una debilidad de conocimiento significativa con respecto a la seguridad en línea.
La seguridad del sitio web puede ser un tema complejo (o incluso confuso) en un panorama en constante evolución. Esta guía está destinada a proporcionar un marco claro para los propietarios de sitios web que buscan mitigar el riesgo y aplicar principios de seguridad a sus propiedades web.
Antes de comenzar, es importante tener en cuenta que la seguridad nunca es una solución que se configura y se falsifica. En cambio, lo alentamos a pensar en ello como un proceso continuo que requiere una evaluación constante para reducir el riesgo general.
Al aplicar un enfoque sistemático a la seguridad del sitio web, podemos pensar en ella como una cebolla, con muchas capas de defensa que se unen para formar una sola pieza. Necesitamos ver la seguridad del sitio web de manera integral y abordarla con una estrategia de defensa en profundidad
Mantenga el software y los complementos actualizados
Todos los días, hay innumerables sitios web comprometidos debido a un software obsoleto. Los posibles piratas informáticos y bots están escaneando sitios para atacar.
Las actualizaciones son vitales para la salud y la seguridad de su sitio web. Si el software o las aplicaciones de su sitio no están actualizados, su sitio no es seguro.
Tome en serio todas las solicitudes de actualización de software y complementos.
Las actualizaciones suelen contener mejoras de seguridad y reparaciones de vulnerabilidades.
No use Programas pirateados, y pague por el Software Original.
Agregue HTTPS y un certificado SSL
HTTPS (protocolo de Transferencia de Hiper-Texto) es un protocolo que permite establecer una conexión segura entre el servidor y el cliente, que no puede ser interceptada por personas no autorizadas. En resumidas cuentas, es la versión segura de el http (Hyper Text Transfer Protocol)
Para cambiar a tu sitio web a HTTPS, necesitas un certificado SSL/TLS. Desde su aparición en 2015, los certificados que otorga la organización sin ánimo de lucro Let’s Encrypt representan una alternativa sin costo y fácil de instalar.
Confidencialidad
La confidencialidad se refiere al control de acceso a la información para garantizar que aquellos que no deberían tener acceso se mantengan fuera. Esto se puede hacer con contraseñas, nombres de usuario y otros componentes de control de acceso.
Ocupe Contraseñas Robustas
Inyeccion SQL
Los ataques de inyección SQL se realizan mediante la inyección de código malicioso en una consulta SQL vulnerable. Dependen de que un atacante agregue una solicitud especialmente diseñada dentro del mensaje enviado por el sitio web a la base de datos.
Un ataque exitoso alterará la consulta de la base de datos de tal manera que devolverá la información deseada por el atacante, en lugar de la información que esperaba el sitio web. Las inyecciones de SQL pueden incluso modificar o agregar información maliciosa a la base de datos.
Secuencias de comandos entre sitios (XSS)
Los ataques de secuencias de comandos entre sitios consisten en inyectar secuencias de comandos maliciosas del lado del cliente en un sitio web y utilizar el sitio web como método de propagación.
El peligro detrás de XSS es que permite que un atacante inyecte contenido en un sitio web y modifique la forma en que se muestra, obligando al navegador de la víctima a ejecutar el código proporcionado por el atacante al cargar la página. Si un administrador del sitio conectado carga el código, la secuencia de comandos se ejecutará con su nivel de privilegio, lo que podría conducir a la toma de control del sitio.
Ataques de fuerza bruta de credenciales
Obtener acceso al área de administración de un sitio web, al panel de control o incluso al servidor SFTP es uno de los vectores más comunes utilizados para comprometer los sitios web. El proceso es muy simple; los atacantes básicamente programan un script para probar múltiples combinaciones de nombres de usuario y contraseñas hasta que encuentre una que funcione.
Una vez que se otorga el acceso, los atacantes pueden lanzar una variedad de actividades maliciosas, desde campañas de spam hasta mineros de monedas y ladrones de tarjetas de crédito.
Qué es mod_security
mod_security es un módulo de seguridad de Apache, actúa como firewall de aplicaciones web (WAF) y su trabajo es filtrar y bloquear las solicitudes HTTP sospechosas, pudiendo bloquear ataques de fuerza bruta, vulnerabilidades de cross scripting (XSS), ataques por inyección SQL (SQLi), etc.
mod_security está activo en todos nuestros servidores Linux por defecto.
Ataques DoS/DDoS
Un ataque de denegación de servicio distribuido (DDoS) es un ataque de Internet no intrusivo. Está hecho para eliminar el sitio web objetivo o ralentizarlo al inundar la red, el servidor o la aplicación con tráfico falso.
Los ataques DDoS son amenazas con las que los propietarios de sitios web deben familiarizarse, ya que son una pieza fundamental del panorama de seguridad. Cuando un ataque DDoS se dirige a un punto final vulnerable que consume muchos recursos, incluso una pequeña cantidad de tráfico es suficiente para que el ataque tenga éxito.
¿Qué es un Firewall de aplicaciones web (WAF)?
Un WAF es un sistema de protección de hardware o basado en la nube que incluye prevención de intrusiones y redes de entrega de contenido para garantizar la integridad, confidencialidad y disponibilidad de los sitios web. La activación de un WAF protege a los visitantes y a las empresas de filtraciones de datos, ataques e infecciones de malware.
Dado que los piratas informáticos pondrán en peligro los sitios web al inyectar spam de SEO, descargas ocultas, desfiguraciones y redireccionamientos maliciosos, el uso de un WAF puede mantener seguros a los visitantes y el contenido web al evitar la explotación de vulnerabilidades, la fuerza bruta (adivinación de contraseñas) y los ataques DDoS.
CloudFlare Una solución basada en la nube que se puede combinar con la protección DDoS para mitigar las amenazas de seguridad