- ¿Cómo elegir un hosting seguro?
- Construya su sitio web con la seguridad como idea fundacional
- Instale un certificado SSL desde el principio
- Otorgue y exija contraseñas seguras antes de crear usuarios (solo para sitios con múltiples usuarios)
- Cree un sistema de verificación en dos pasos para los usuarios con más derechos
- Cree copias de seguridad diarias, de los últimos 30 días. No las almacene en el mismo servidor.
- Otorgue solo los privilegios necesarios (solo para sitios con múltiples usuarios)
- Use solo software de fuentes de confianza y use solo lo imprescindible
- Escanee su sitio automáticamente
- Esté alerta a las técnicas de phishing
- A modo de conclusión
¿Cuándo implementar las medidas de seguridad para su sitio? Hemos encontrado demasiados casos de sitios desarrollados sin tener en cuenta la seguridad y solo una vez casi terminados se les “anexan” medidas de seguridad. Esta estrategia parece confiar en que un complemento haga magia y asegure completamente el sitio. Entonces ¿Cuándo implementar las medidas de seguridad para su sitio?
Evidentemente, vamos a argumentar en contra de la idea de postergar la consideración de la seguridad en el desarrollo, es más, vamos a argumentar que la seguridad debe tenerse en cuenta antes de empezar el sitio web.
Ya vimos, en este blog, algunos consejos básicos de seguridad para WordPress
¿Cómo elegir un hosting seguro?

Si el alojamiento no es seguro, nada lo será, no se pueden obrar milagros, un sitio es, en el peor de los casos, una brecha extra al hospedaje, nunca una línea de defensa. Pero elegir en el océano de ofertas no es sencillo. Muchos ni siquiera son “reales”, son simplemente revendedores. Entonces ¿Cómo elegir un hosting que nos dé seguridad?
1 Busque recomendaciones de sitios con autoridad
Tenga en cuenta que aún en estos casos seguramente estamos hablando de publicidad, publicidad por parte de entidades responsables, pero publicidad al fin.
2 Pruebe la atención al cliente, especialmente el soporte técnico
Si se puede registrar para una prueba gratuita, hágalo y ponga a prueba su servicio técnico. Evalúe cuanto tardan en responder, que tan bien entendieron sus consultas y que tan satisfactorias fueron sus respuestas.
3 Verifique las funciones de seguridad
Luego verifique que cumplan en ofrecer las características básicas de seguridad, certificado SSL para cifrar y proteger los datos de mi sitio web, privacidad del dominio, autenticación de 2 factores y copias de seguridad distribuidas.
También es de desear que el hospedaje provea un WAF. Es decir, un firewall de aplicaciones web, para mantener el alojamiento a salvo de exploits y DDOS.
Construya su sitio web con la seguridad como idea fundacional
Ya eligió una empresa de hosting que se ocupa de darle la posibilidad de que su sitio sea seguro, ahora es el momento de empezar a desarrollar el sitio. Veremos por qué ya debe hacerlo con la seguridad en mente. ¿Cuándo implementar las medidas de seguridad para su sitio? Desde ahora.
Instale un certificado SSL desde el principio
Instalar el certificado SSL es trivial si se lo hace desde el principio, no hay razones para postergarlo, eso solo complica (un poco) las cosas. Asegúrese que todo el tráfico de su sitio corre bajo HTTPS.
Otorgue y exija contraseñas seguras antes de crear usuarios (solo para sitios con múltiples usuarios)
Defina una política de contraseñas seguras, ya que estas son la llave de entrada a su sitio. Con contraseñas débiles, no hay plug-in de seguridad que valga.
Cree un sistema de verificación en dos pasos para los usuarios con más derechos
Estos usuarios tienen acceso a la información más sensible, administran otros usuarios o pueden, incluso, acceder a información financiera. Este sistema lo que hace es, además de pedir usuario y contraseña, solicita un token al cual se accede mediante el teléfono. Este token dura unos treinta segundos.
Cree copias de seguridad diarias, de los últimos 30 días. No las almacene en el mismo servidor.
Si su servidor tiene una falla catastrófica, o su sitio es hackeado, de nada valen las copias de respaldo almacenadas en el mismo servidor. También tenga en cuenta que, si sitio es hackeado, la amenaza posiblemente no se muestre desde un principio, puede quedar latente esperando ser activada, en todo caso es muy probable que usted tarde un tiempo en detectar el hackeo.
Además, claro, es necesario hacer una copia de seguridad antes de cualquier cambio importante, o ante una actualización mayor. También es buena idea hacer una antes de instalar una nueva extensión. Nunca viene mal una copia de seguridad fresquita.
Otorgue solo los privilegios necesarios (solo para sitios con múltiples usuarios)
Cada usuario representa una puerta de acceso a su sitio, entonces además de exigirle una contraseña segura, otórguele solo los privilegios necesarios para la tarea que va a desempeñar. ¿Va a manejar todo su contenido? Pues bien, dele el rol de editor, podrá hacer todo con su contenido, y nada relativo a la cuestión técnica de su sitio.
Cada rol determina un conjunto de cosas que el usuario puede y no puede hacer. Otorgue solo los privilegios necesarios. Piense siempre que cada cuenta puede ser violentada.
Los roles predeterminados de WordPress están muy bien y se ajustan perfectamente para la inmensa mayoría de los sitios. Pero si usted necesita algo especial, la verdad es que existen numerosos y muy buenos editores de roles para WordPress y en ese caso instale el que mejor se adapte a sus necesidades.
Aquí podemos ver un plug-in para crear nuevos roles, además de los predeterminados, y como configurarlo.
También debe eliminar usuarios que ya no estén activos, quitar los privilegios que ya no son necesarios. No acumule “puertas de entrada”.
Use solo software de fuentes de confianza y use solo lo imprescindible
Otra puerta de entrada son los plug-ins.
Plug-ins Gratuitos
No instale plug-ins piratas. No instale plug-ins piratas. No instale plug-ins piratas. No se puede decir demasiadas veces: no instale plug-ins piratas. Plug-ins gratuitos de confianza solo en WordPress.org, y, aun así, necesita verificar periódicamente que el complemento continúa en desarrollo. También fíjese que efectivamente responden ante errores o consultas.
Plug-ins Pagos
Solo cómpreselos a su desarrollador, comprarlo en sitios de descarga que se amparan en la licencia GPL implica un riesgo similar a instalar un complemento pirata. Por supuesto, haga una rápida investigación en internet sobre la confianza del desarrollador.
La mayoría de los quiebres de seguridad se dan por complementos obsoletos o descargados de fuentes que no son de confianza.
Escanee su sitio automáticamente
Instale un complemento de seguridad para que revise su sitio en busca de virus y vulnerabilidades conocidas. Esto nunca es perfecto ni mandatario, pero sin dudas es un plus.
Esté alerta a las técnicas de phishing
Nunca, pero nunca jamás haga clic en un enlace de un correo electrónico que diga venir de su sitio. Usted debe conocer cada mensaje que su sitio puede llegar a mandarle, siempre mire detenidamente la URL de los enlaces, ante la menor discrepancia póngalo en cuarentena con su software de virus. Si usted usa Linux, en vez de Windows (lo cual es una excelente práctica), es posible que no use antivirus (lo cual no es tan buena idea); entonces bórrelo.
Estos ataques pueden ser muy sofisticados, pueden replicar la imagen de su sitio a la perfección, pero son solo una treta para robar los datos de acceso. Seguramente publiquemos en el futuro un artículo explicando que es y cómo prevenir el phishing. Por ahora simplemente no haga clic en ningún enlace.
Estos ataques provienen de servidores que no están bajo su control, por lo que no puede detenerlos. Sin embargo, puede tener en cuenta que cuando los reciba, los elimine. En casi todos los casos, si no hace clic, el correo electrónico en sí no puede hacer ningún daño.
A modo de conclusión
Todos estos pasos en la fase inicial del desarrollo parecen tediosos… bueno, son realmente tediosos. Pero resulta evidente que más tedioso, difícil e inefectivo, es volver un sitio inseguro en un sitio seguro.
También debe pensar que ningún sitio es seguro, un cien por cien. Un plan de contingencia es necesario y para esto es imprescindible contar con copias de seguridad distribuidas.
¿Cuándo implementar las medidas de seguridad para su sitio? Ya.
Nosotros desarrollamos “nuestros” sitios con la seguridad concebida desde el planteo inicial, nuestra experiencia nos demostró que no solo es más seguro hacerlo así, no solo brinda mayor tranquilidad, sino que es mucho menos trabajo.
Pero como sabemos que cualquier sitio puede resultar vulnerado, contamos siempre con copias de seguridad diaria y distribuidas. Haga como nosotros y duerma tranquilo por las noches.