Da igual si tienes un site sencillo, una web informativa, un e-commerce o un mega-sistema de gestión para tu negocio. La realidad es que tu plataforma está publicada en Internet y al alcance de cualquiera. Debes ser consciente de que el crecimiento de los hackeos a webs ha ascendido en un 83% (respecto al año anterior) debido a sistemas de seguridad débiles. A continuación te damos unos consejos para reforzar los escudos de tu web:

1.Mantén tu site actualizado

Seguramente no es la primera vez que lo escuchas, pero sí, lo vamos a repetir porque es muy importante que mantengas tu site actualizado. Si utilizas un CMS (WordPress, Joomla, Magento, Drupal, Prestashop, etc.), debes tener en cuenta que son sistemas mantenidos por comunidades enormes de desarrolladores y por lo tanto, todas las tripas del sistema, código, estructura de base de datos, etc. son conocidos de sobra. Si alguien detecta una vulnerabilidad en uno de estos CMSs, este bug estará activo en cualquier site que utilice dicho CMS y aquí es donde entran las actualizaciones.

Muchas actualizaciones, aunque parezca que no añadan nada nuevo a la funcionalidad, por debajo corrigen muchos agujeros de seguridad y ahí está la clave.

Lo mismo se aplica a plugins, módulos o librerías de terceros que instales en tu plataforma. Recuerda siempre: las actualizaciones son buenas, no las dejes olvidadas.

2.Cambia la URL por defecto del backend

Si utilizas un CMS conocido, entonces cualquier desarrollador o usuario avispado conocerá la ruta de entrada a tu backend:
– WordPress: xxx/wp-admin.php
– Joomla: xxx/administator
– Drupal: xxx/user/login
– Etc…

Pensarás que el atacante conocerá la URL pero no conoce tu usuario y password. Las probabilidades indican que el nombre de usuario será “admin” o similar y la password… un pequeño ataque de fuerza bruta o mediante ingeniería social y listo.

En algunas versiones más recientes de algunos CMSs como Prestashop o Magento la URL del backend se genera de forma aleatoria para tu site. Sin duda esto ayuda mucho, pero lo que te aconsejamos es que generes una URL elegida por ti y solo por ti.

Para hacerlo, dependerá del CMS que utilices, pero basta con buscar en Google “cambiar url backend defecto de XXX” (siendo XXX tu CMS) y verás como dispones de varios mecanismos para conseguirlo.

3.Cambia las nomenclaturas por defecto

Este es otro punto que afecta a los CMSs conocidos. La estructura de la base de datos se conoce a la perfección por lo que un ataque por inyección de SQL o similar será mucho más sencillo en estos casos. Para evitarlo te aconsejamos que añadas un prefijo totalmente aleatorio al nombre de tus tablas.

Estos CMSs disponen de un archivo de configuración donde indicar el prefijo que has establecido para así mantener la funcionalidad de la conexión sobre una estructura de base de datos algo más segura.

4.Utiliza firewalls o servicios expertos

Este punto afecta a todo tipo de sites, ya sean por CMS o desarrollos a medida. Muchas veces nos empeñamos en aumentar la seguridad totalmente localizada en nuestro site (que es lo correcto), pero nos olvidamos de que podemos poner una capa de seguridad extra y externa a nuestro site y a nuestro servidor.

Actualmente existen muchos servicios que actúan de capa de seguridad haciendo de firewall en las entradas a tu site y enviando alertas de seguridad en tiempo real. Uno de los servicios más conocidos y que mejor funcionan es Sucuri. Entre todos los servicios que ofrece, cabe destacar la monitorización constante del tráfico a tu web, detección de ataques DoS y el sistema de alertas y detección de malware.

5.No te conformes, desarrolla mecanismos de seguridad

Casi siempre implantamos mecanismos que han sido creados por otros, totalmente entendible si funcionan y además nos ahorran tiempo y dinero. Pero no te conformes, piensa en cualquier mecanismo que ayude a proteger tu web. ¿Quién mejor que tú para conocer tus vulnerabilidades y corregirlas con mecanismos propios?

No te conformes, la seguridad al 100% no existe y las técnicas de ataque están en constante evolución. ¿Te hemos convencido y necesitas ayuda para proteger tu web? Pues desde The Black Box Lab estaremos encantados de ayudarte. Y es muy fácil, envíanos tu solicitud a adrian@theblackboxlab.com y en unos días tendrás tu web más protegida de lo que está ahora 🙂