H
ace años visité el sitio web de una empresa de tecnología muy conocidas, y para mi sorpresa, apareció un mensaje que decía: “Este sitio ha sido pirateado por los chinos.” Sé que estarás pensando, “eso sólo les pasa a los grandes.” Nada más lejos de la realidad.Los ciberpiratas intervienen cualquier sitio web, grande o pequeño, con tal de obtener información que puedan luego vender. Fortalecer la seguridad de tu sitio web es la diferencia entre su desaparición y su supervivencia.
Por sobre todas las cosas cuida tu corazón, porque de él mana la vida.
Proverbios 4:23
El corazón de tu estrategia digital es tu sitio web, debes cuidarlo y protegerlo con celo, sólo así asegurarás su larga permanencia e inspirarás la confianza de tus seguidores. Te recomiendo que te apresures a implantar estos 6 métodos de seguridad para proteger tu sitio web.
1. Monta una capa de protección cifrada
Secure Socket Layer (SSL por sus siglas en inglés), o su versión más reciente, Transport Layer Security (TLS), son una capa de protección cifrada con certificados de seguridad para disfrazar cualquier transmisión en la red. Impide que intrusos lean la información transmitida ya que les aparecerá codificada e ilegible.
Entidades certificadoras autorizadas emiten los certificados de protección para que, una vez instalados en tu sitio web y configurado tu servidor web, sean provistos a tus usuarios y se establezcan conexiones seguras. La siguiente imagen representa cómo funcionan:
Los certificados tienen un precio anual y tienden a ser costosos, a menos que uses Let’s Encrypt, la primera entidad certificadora autorizada que ofrece certificados renovables cada trimestre de forma gratuita. Revisa las condiciones de tu alojamiento web para instalarlos.
Además del componente de seguridad que los certificados añaden a tu sitio web, también hay un efecto de optimización de los motores de búsqueda que mejora el posicionamiento, el tráfico, y las conversiones de tu sitio web.
2. Instala un plugin especializado de seguridad
Cada vez que quieras añadir funciones a tu sitio web, piensa que necesitas un plugin. Para fortalecer tu seguridad, necesitas un plugin especializado con varias funciones a la vez.
Yo utilizo Shield Security para WordPress. Con este poderoso plugin puedes resguardar las funciones administrativas de tu sitio web, porque:
- Impide que un robot ciberpirata descubra tu contraseña a la fuerza
- Impide que alguien sin tu segunda forma de autenticación ingrese
- Impide que otras computadoras se conecten al área administrativa
El panel de control de Shield Security controla todas las opciones, evitando que terceros no autorizado administren o destruyan tu sitio web. A continuación, explico tres de estas funciones.
3. Garantiza que sólo seres humanos ingresen a tu sitio web
Con certeza has visto en las películas cómo conectan aparatos a un sitio seguro para adivinar la clave o contraseña. Estas cosas existen y son las herramientas favoritas del cibercrimen.
Para impedir que un robot ciberpirata descubra tu contraseña en un ataque de fuerza bruta, te recomiendo que implementes Google reCaptcha.
Sólo dirígete al sitio web de Google reCaptcha, haz clic en el botón para obtenerlo, ingresa con tu cuenta de Google, escoge reCAPTCHA v2, registra el dominio de tu sitio web, y haz clic en “Register.”
Este procedimiento te asignará una clave (Site Key) y un secreto (Secret). Ingrésalos en el panel de control de Shield, bajo Configuration > General > CAPTCHA , como indica la figura de arriba.
Luego habilítalo bajo Configuration > Login Protection > CAPTCHA. Ahora junto con tu usuario y contraseña deberás hacerle clic al reCaptcha antes de ingresar.
4. Implementa autenticación de factores múltiples: Google
La autenticación a sistemas digitales consiste en tres ámbitos: qué sabes, qué tienes, y quién eres. Tu usuario y contraseña pertenecen al ámbito de lo que sabes; tu tarjeta de cajero o tu celular pertenecen al ámbito de lo que tienes; mientras que el iris de tus ojos y tu huella digital pertenecen al ámbito de quien eres.
Para implementar autenticación de factores múltiples (o Multiple-Factor Authentication o MFA) se requieren elementos en más de un ámbito. En tu sitio web, esto significa que no sólo proveas un usuario y una contraseña, sino también algo que tienes. Google Authenticator convierte tu teléfono celular en ese algo.
Google Authenticator es una aplicación para teléfono inteligente o tableta. Una vez instalado, genera códigos de seis dígitos que cambian cada 30 segundos y que confirman que tú posees este aparato autorizado para ingresar a tu sitio web.
Para configurar Google Authenticator con Shield, dirígete a: Configuration > Login Protection > Autenticación de Google, y selecciona la opción apropiada.
Luego capacita al usuario administrativo para usarlo. Eso se hace en tu perfil de usuario de WordPress. Escanea el código QR en tu perfil con la aplicación de Google Authenticator, y así quedará habilitado.
Obtén el código de QR de Google Authenticator provisto por la aplicación en tu móvil:
Ahora cada vez que ingreses tu usuario y contraseña, y hagas clic al reCAPTCHA, deberás tener tu celular a la mano para ingresar el código adicional.
5. Implementa autenticación de factores múltiples: Authy
Una alternativa a Google Authenticator es Authy. Authy reemplaza Google Authenticator con la misma funcionalidad descrita en la sección anterior, pero viaja contigo y no con tu aparato móvil. Con esto quiero decir que te permite crear una cuenta propia para instalar Authy en más de un aparato móvil y guarda todos los códigos de autenticación de factores múltiples que hayas registrado con la applicación.
Esta función contrasta mucho con Google Authenticator, la cual se casa con tu aparato móvil y no se puede migrar con facilidad a otro aparato cuando necesitas cambiarlo o tenerlo en un aparato secundario.
Otra función que aprecio es la habilidad de buscar el código por nombre. Esta es especialmente útil cuando tienes muchos sitios web y aplicaciones registradas con MFA para poder ingresar.
Tendrás que usar el código generado por Authy en vez de Google Authenticator en la sección de Google Authenticator de tu perfil de usuario en WordPress para establecer la conexión.
6. Bloquea ataques maliciosos con un cortafuego
La función de un cortafuego (o firewall, por su nombre en inglés) es impedir que los ataques maliciosos afecten archivos críticos de tu sitio web. El cortafuego es como un filtro de operaciones y de áreas restringidas a donde no se podrá entrar.
Por ejemplo, tus usuarios podrán enviar comentarios, pero no alterar el archivo de software que los controla, o escribir opiniones en vez de código programático.
¿Quieres restringir áreas para definir lo que tus usuarios pueden o no hacer? Shield Security te puede ayudar, con nueve opciones de bloqueo y una lista blanca de sitios que nunca querrás bloquear. Habilítalas bajo Configuraton > Firewall.
7. Establece un calendario regular de respaldos
Crear un respaldo regular de tu sitio web es la protección final. Asegúrate de que puedas recuperar toda la información publicada, todas las funciones, y todos los datos recopilados.
La regularidad y la retención del respaldo dependerán de la frecuencia con la que publicas. Apóyate en tu servicio de alojamiento para crearlos y asegúrate de que corren en un calendario fijo de forma regular y automática. Para explorar las opciones dedicaré otro artículo en un futuro cercano.
Además, utiliza servicios de almacenamiento en la nube como Onedrive o Dropbox para crear tus archivos de trabajo, documentos, fotografías, y vídeos antes de subirlos a tu sitio web. Esto crea un doble nivel de protección para tu propiedad intelectual.
Quiero saber si tu sitio web es seguro y qué cosas impiden que lo sea. Por favor, escríbeme.
Leave a Reply