Lo que debes saber para tener sitios web seguros
Aquí te voy a contar brevemente lo que Lo que debes saber para tener sitios web seguros y lo que necesitas saber para tener una página segura, así como también, por qué es importante la seguridad en nuestros sitios web.
La seguridad es proteger nuestra web para:
• Evitar pérdida de servicio: de visitas y de ventas por Hackeos, Infecciones y vulnerabilidades (sobre todo las que no se notan), pero que nos hacen perder posicionamiento SEO porque Google avisa a los usuarios que nuestra web es una web peligrosa.
• Evitar pérdidas en nuestro negocio. Pérdidas o robo de datos: personales, de clientes, usuarios, facturación y con los datos de clientes multas por incumplimiento de las RGPD.
¿Cómo puedes proteger tu sitio web y evitar sitio no seguro?
Siguiendo buenas prácticas: como por ejemplo:
• Tener todos los plugins actualizados y tener solo los plugins activos, borrar el resto (para evitar que por medio de ellos, aunque no estén activos, entren vulnerabilidades).
• Tener solo activo el theme en uso.
Tienes dos formas:
Con Plugins:
Puedes usar algunos plugins de forma puntual y luego desactivarlos para evitar sobrecargar la web ya que los plugins completos de firewall y scanner analizan todos los días.
A continuación te presento una rutina que sugiero seguir para mantener tu sitio seguro.
1) Plugin “Anti malware security and brute force firewall”. Es sencillo, ligero, no invasivo con publicidad.
En las opciones te sugiero eliminar los archivos .exe.zip,7z,gz,.rar para que si te los escanee que son los más susceptibles de vulnerabilidad. Con esto escaneas tu sitio web completo y te arrojará en qué archivos o carpetas tienes algún tipo de problema para que lo revises.
Luego puedes quitar este plugin, y ya te sirvió para analizar cualquier vulnerabilidad en caso que la tuvieses. Pero ten en cuenta que si no tienes un plugin de seguridad al eliminar el plugin se elimina de tu archivo htaccess toda la protección que te generaba dicho plugin.
2) Otro plugin muy completo es “ithemes security” al instalar y activar te desplegará en el menú seguridad “Tools” una serie de parámetros a configurar, los cuales te describo brevemente a continuación:
Comprobación de seguridad
a. Comprobación de seguridad
i. Activar Redirección http a https. Certificado de seguridad SSL.
ii. Guardar ajustes.
b. Ajustes globales donde puedes permitir:
i. A ithemes security acceso al htaccess y wp-config.php para que dé solo mensaje error sin mucho detalle para despistar a los bots.
ii. Añadir tu IP a la lista blanca de servidores para que no te aplique a ti las restricciones y no te autobloquees.
iii. Todo lo demás lo puedes dejar por defecto.
iv. Guardar ajustes.
c. Centro de avisos:
i. Colocar el correo del administrador.
ii. Bloqueo del sitio desactivado.
iii. Guardar ajustes.
d. Grupos de usuarios:
i. Activar contraseñas fuertes para todos los grupos de usuarios.
e. Error 404:
i. Activar
ii. Colocar ajustes por defectos.
f. Usuario administrador:
i. Activar. Cambiar Administrador ID=1 te sacará de sesión y tendrás que volver a iniciar. Como el administrador por lo general es ID=1 Esto lo que hace es cambiarlo para evitar hackeos por parte de los bots.
g. Modo de reposo: No sugiero activar porque si se usa, hay que parametrizar periodo de tiempo en el que trabajarás en la web, y si necesitas entrar a realizar cualquier cambio a cualquier hora no lo podrás hacer.
h. Usuarios bloqueados:
i. Activa la lista de funcionalidad lista de bloqueo.
ii. Lo demás lo puedes dejar por defecto.
iii. Guardar ajustes.
i. Cambiar directorio del contenido.
i. No recomiendo activar porque podría dar problemas para sitios ya iniciados debido a que cambiarán las rutas. Esto se recomienda para sitios nuevos donde estos cambios quedarán así para siempre en dichos sitios.
j. Cambiar el prefijo de la base de datos:
i. Activarlo.
ii. Esto se recomienda ya que por defecto el prefijo de las bases de datos de wordpress es wp_XXXX entonces al cambiarlo se le dificulta más a los bots realizar cualquier vulnerabilidad, ya que colocará una nomenclatura de letras y números en lugar de wp_XXX.
iii. Guardar ajustes.
k. Copias de seguridad de bases de datos:
i. No se recomienda activar ya que una buena práctica es realizar una copia de seguridad por fuera “antes” de hacer cualquier cambio de estos.
l. Detección de cambios de archivos:
i. Lo que trae por defecto está bien.
ii. Guardar cambios.
m. Permisos de archivos:
i. Colocar lo que sugiere como por ejemplo, 444 a wp-config.php. Esto se hace por el administrador de archivos del cpanel del hosting, sobre el archivo wp-config.php botón derecho, change permission y colocar tilde solo a la línea de leer.
ii. Guardar cambios.
n. Ocultar escritorio:
i. Activar la función. Esto lo que hace es cambiar el wp-admin por alguna otra expresión. Con esto se protege un poco más de los bots.
o. Fuerza bruta:
i. Dejar por defecto.
ii. Guardar cambios.
p. Fuerza bruta red:
i. Activar.
ii. Dejar todo por defecto.
iii. Guardar cambios.
q. Requisitos de contraseña:
i. Activar.
ii. Dejar todo por defecto.
iii. Guardar cambios.
r. Ajustes de sistemas:
i. Activar todo excepto Filtrar por cadenas largas para evitar que bloquee si son cadenas muy largas las que tenemos.
ii. Dejar todo por defecto.
iii. Guardar cambios.
s. Cambiar Salts de wordpress:
i. Activar.
ii. Guardar cambios.
t. Ajustes de wordpress:
i. Activar.
ii. En API REST dejar acceso por defecto ya que podría causar problemas en caso de integraciones o por ejemplo si se usa el editor de Gutenberg.
iii. Guardar cambios.
u. Reglas de configuración: Todas estas reglas las colocará en el htaccess.
Con esto último se puede copiar todo este código que agregó en el htaccess, luego desactivar y borrar el plugin y pegar todo ese código al final de nuestro archivo htaccess. Y tienes garantizado un sitio web seguro sin el plugin.
Sin Plugins:
Se tiene que tocar algunos ficheros de configuración (como htaccess, wp-config.php), porque es a nivel de servidor por lo que no impactará wordpress, en consecuencia, no afectará la optimización del mismo.
En este escenario sin plugins tendrás un sitio seguro y sin afectar la velocidad y rendimiento de tu sitio web.
Solo se necesitarían para complementar un par de plugins bien sencillos y ligeros que son:
• Child theme generator
• Login Lock Down
• Antispam Bee
Otros consejos:
Si usas servidores compartidos y detectas alguna amenaza, puede ser la IP de los usuarios con los que compartes, contacta a tu hosting para que lo resuelvan.
Todos estos temas de seguridad lo debería hacer el hosting para no penalizar el rendimiento y velocidad de la web. De allí la importancia que les comentaba en otro post sobre la importancia de contratar un buen hosting.
Es un mundo fascinante este de llevar un negocio de lo físico al internet, donde se amplía la exposición, la visibilidad, la posibilidad de llegar y de impactar a miles de personas para llevarles nuestra ayuda con nuestros productos y/o servicios. Pero hacerlo como debe ser, considerando todos los aspectos críticos como es la seguridad.
Si quieres ahorrar un poco de tiempo, me pongo a tu disposición para ayudarte a introducir tu negocio a internet de forma profesional y segura. Te dejo el link por si deseas visitar mi web www.marygallego.com apartado de servicios donde te muestro todo en lo que te puedo ayudar.
Espero te haya servido de guía esta breve información y estoy a la orden para lo que necesites.