wdffpress.info

wdffpress.info

7 cosas comprobadas que debes hacer en 2022

Cuando la gente me pregunta cómo asegurar un sitio web con 100% de certeza, les digo que es simple: simplemente manténgalo fuera de línea.

Una vez que dejan de gritarme, generalmente cambiarán la conversación hacia los creadores de sitios web y los sistemas de administración de contenido (CMS) para averiguar qué opción tiene la mejor seguridad.

Lo que no entienden es que no importa si usa un creador de sitios web para su blog o un CMS para impulsar su negocio; siempre habrá un elemento de riesgo.

El problema real con eso es que la responsabilidad de administrar ese riesgo es suya. Si eso no fuera lo suficientemente malo, las cosas podrían salir mal si tratas de hacerlo todo tú mismo. Realmente rápido.

Por eso, en este artículo, comparto mis mejores consejos para mantener un sitio web seguro. No te preocupes; estos no son el tipo de consejos que necesita un doctorado. para implementar.

Son estrategias simples y valiosas que puede implementar en el transcurso de una tarde. Mejor aún, funcionan. Independientemente del enfoque que adopte, cada opción ya se ha ganado sus galones en batallas del mundo real contra piratas informáticos y bots.

¡Empecemos!

Cómo asegurar un sitio web: Principales estrategias de minimización de riesgos

No hay muchas garantías cuando se trata de proteger un sitio web. Sin una solución simple para mantenerlo a salvo de los piratas informáticos para siempre, su mejor opción es implementar estas estrategias para reducir las vulnerabilidades y aumentar sus posibilidades de una recuperación rápida.

  1. Instalar un certificado SSL
  2. Implementar seguridad de inicio de sesión de varios niveles
  3. Mantenga un programa de copia de seguridad regular
  4. Mantenga todo el software actualizado
  5. Usar un firewall de aplicaciones web (WAF)
  6. Sea un administrador de sitio efectivo
  7. Manténgase alerta

1. Instale un certificado SSL y use HTTPS en todas partes

Si está en el proceso de crear su primer sitio web, podría pensar que el cifrado de datos es algo 007 que solo necesitan las grandes empresas o los periodistas de investigación.

Pero, si planea obtener tráfico de Google, también necesitará un certificado SSL para obtener una clasificación decente. Diablos, incluso necesitará uno para recopilar correos electrónicos para un boletín informativo.

Si todo esto parece demasiado, tenga en cuenta que hay buenas razones para todo el misterio. En el pasado, cualquier información confidencial que sus usuarios enviaran a su servidor estaba en texto sin formato. Si alguien recogiera esa información, sería capaz de leer todo. Eso significa contraseñas, datos bancarios, direcciones de correo electrónico, todo.

Un certificado SSL envuelve toda esa información confidencial en una capa de cifrado para que sea imposible de leer. Usar un certificado SSL es el punto de partida por tener un sitio web seguro. De lo contrario, sus visitantes verán esta advertencia:

Advertencia para los usuarios que ingresan a un sitio web que no está protegido por un certificado SSL

Es por eso que todos los principales creadores de sitios web, como Wix y Squarespace, habilitan HTTPS de manera predeterminada para cada sitio web en su red.

Para el resto de nosotros, obtener un certificado SSL es fácil.

La mayoría de los servidores web en la actualidad ofrecen herramientas simples que le permiten instalar un certificado SSL con solo unos pocos clics. Si es así, pregúnteles cómo configurarlo. Estoy seguro de que es sencillo. Bluehost, por ejemplo, ofrece certificados Let’s Encrypt disponibles directamente en el panel de control.

Habilitación de la certificación SSL con Bluehost.

Si su host no ofrece una herramienta simple por alguna razón, también puede generar un certificado de validación de dominio gratuito desde Vamos a cifrar siguiendo a sus guías. Una vez que haya terminado, diríjase a cPanel o al panel personalizado de su host para instalarlo.

Instalar un certificado SSL en el cPanel

Si está en WordPress, puede usar el complemento Really Simple SSL para configurar correctamente su sitio para usar el certificado SSL una vez que lo haya instalado:

2. Asegure su página y proceso de inicio de sesión

Cuando se trata de seguridad de inicio de sesión, hay mucho terreno por recorrer. Pero puede recorrer un largo camino con solo dos implementaciones simples: contraseñas seguras y autenticación de múltiples factores.

Esto se debe a que la sólida seguridad de inicio de sesión se basa en al menos dos capas. Para nosotros, será algo que sepa (contraseña segura) y algo que tenga (código enviado por correo electrónico, teléfono o llamada).

Las contraseñas seguras son fantásticas; efectivamente imposible de fuerza bruta y casi imposible de adivinar.

Pero primero, hágase un favor y tome un administrador de contraseñas. Durante los últimos tres años, he estado usando 1 Contraseña, y ha sido un cambio de juego. ¿Por qué? Dos razones:

  • El generador de contraseñas y frases de contraseña facilita la creación (y cambia regularmente) contraseñas
  • Con una base de datos de contraseñas, pude detenerme con todas las “recordar esta contraseña” y negocio de inicio de sesión automático.

Si bien todo lo anterior es excelente para cuidar tus contraseñas, ¿qué pasa con sus usuarios? recomiendo usar Administrador de políticas de contraseñas para WordPress para crear políticas de contraseñas seguras que se puedan hacer cumplir en los sitios de WordPress.

Una vez que tenga una contraseña segura, configure autenticación multifactor inicios de sesión Todo esto significa que alguien necesitará ingresar un código, generalmente enviado a un dispositivo, cada vez que quiera iniciar sesión en su sitio web.

Tanto Google Authenticator como Authy son fáciles de configurar en la mayoría de los creadores de sitios web. Por ejemplo, con Squarespace, puedes encontrar la opción en la Configuración.

Activar 2FA para proteger un sitio web de Squarespace

Para WordPress, puedo recomendar valla de palabras, pero también podrías usar Autenticador de Google de miniOrange enchufar.

También tenemos una guía sobre autenticación de dos factores para WordPress.

Si construiste algo desde cero, puedes usar Plataforma de identidad de Google para integrar Google Authenticator con su sitio web.

3. Haz una copia de seguridad de tu sitio regularmente

Aprender a proteger un sitio web puede ser tan simple como crear un programa de copia de seguridad.

Probablemente pienses que ningún hacker se ha asustado nunca por una copia de seguridad. Y, tendrías razón; Las copias de seguridad son una medida de precaución. Sin embargo, también le brindan un lugar seguro para recuperarse en una crisis. Cada uno de los creadores de sitios web populares tiene un enfoque diferente:

  • Wix proporciona copias de seguridad semanales automáticas de tu sitio
  • Popular de Shopify aplicación de rebobinado es una de las pocas aplicaciones de copia de seguridad.
  • Squarespace tiene opciones de respaldo limitadas que van desde crear un sitio duplicado hasta exportar el archivo XML.
  • Los usuarios de WordPress pueden aprovechar cualquier cantidad de complementos diseñados para crear copias de seguridad seguras.

Para los usuarios de WordPress, recomiendo (y uso) UpdraftPlus. Con la versión gratuita, puede realizar copias de seguridad directamente en la nube, incluidos Google Drive, Dropbox, Amazon S3 y más, sin limitaciones. UpdraftPlus puede incluso ayudarlo a restaurar su sitio en una crisis.

4. Mantenga todo el software actualizado

Seré honesto; Me encantan las herramientas como WordPress porque los temas y los complementos facilitan todo. ¿Quieres mostrar recetas en tu sitio web? Probablemente haya unos pocos cientos de complementos creados específicamente para ese propósito. No es solo WordPress; en Wix y Shopify, las aplicaciones te ayudan a lograr mucho sin escribir una sola línea de código. Suena genial, ¿verdad? Un poco.

También dificultan la protección de su código. Un solo producto de terceros mal codificado puede aumentar la superficie de ataque de su sitio web. Y, si no está actualizando regularmente, está creando muchas vulnerabilidades.

Pero puede reducir las vulnerabilidades si:

  • Elimina los programas que no uses.
  • Actualice continuamente los programas que utiliza.
  • Solo use programas, complementos y temas de desarrolladores que hayan demostrado que pueden mantener sus productos.
  • Investigue las redes con las que planea integrarse.

Si usa WordPress, recibirá notificaciones en el tablero cuando haya una actualización para el software en sí y cualquier tema y complemento que use. También puede aprovechar la función de actualización automática, que cubre todo lo anterior.

Para la opción más segura, consulte un plan de alojamiento administrado. No solo disfrutará de una seguridad reforzada, sino que también tendrá a alguien que se encargue de las actualizaciones de todo su sitio de WordPress. Puede obtener más información sobre el alojamiento administrado de WordPress en cualquier momento que esté listo para el salto.

5. Use un firewall de aplicaciones web (WAF) para una protección proactiva

Si desea proteger un sitio web con el poder de Arnold Schwarzenegger, obtenga un firewall de aplicaciones web (WAF).

Si ha usado Internet en los últimos 25 años, entonces está familiarizado con los firewalls. Un firewall de aplicaciones web es similar al firewall de su computadora porque usa reglas predefinidas para identificar y bloquear ataques. Esto los hace particularmente buenos para erradicar ataques comunes como cross-site-scripting (XSS), falsificación entre sitios e inyecciones de SQL, entre otros.

Incluso con el horizonte de amenazas en constante cambio, un WAF es una herramienta esencial. Una cosa que notará es que la mayoría de los WAF modernos pueden modificar e implementar reglas rápidamente a medida que se descubren nuevas vulnerabilidades.

Como primera línea de defensa, los WAF se presentan en tres formas principales:

  • Basado en red respaldado por un firewall de hardware – Fácilmente el cortafuegos más fuerte que obtienes de hosts de élite como Kinsta y creadores de sitios web como Squarespace.
  • basado en host – Cubre cualquier WAF que esté integrado en la propia aplicación a través de un complemento o una aplicación.
  • basado en la nube – la opción de seguridad más popular y fácil de integrar.

Para los usuarios de WordPress, Wordfence, nuevamente, es probablemente la mejor solución.

6. Sea un administrador eficaz del sitio

Como administrador de un sitio web, hay muchas cosas complicadas para rastrear, pero mantenerse al tanto de ellas tendrá un impacto significativo en la seguridad de un sitio web.

Echemos un vistazo rápido a través de todos ellos:

  • Roles del usuario: Realice un seguimiento de las funciones de los usuarios para saber quién tiene acceso a los datos, quién puede realizar cambios y qué otros privilegios tienen. Solo proporcione a los usuarios los roles que necesitan para completar sus tareas. Cualquier cosa más que eso es una vulnerabilidad.
  • Supervise lo que hacen los usuarios y elimine a los usuarios inactivos: WP Activity Log puede ayudarlo a rastrear el comportamiento de sus usuarios para protegerse contra actividades maliciosas.

  • Moderar todos los comentarios manualmente eliminando las aprobaciones automáticas.
  • Rechazar cualquier comentario que incluya un enlace o código. Si bien ya no es común, el código malicioso en las secciones de comentarios alguna vez existió.
  • Restringir los tipos de archivos que se pueden cargar ya sea en comentarios o formularios.
  • Implemente el escaneo y la verificación de cualquier carga. Sucuri es la mejor opción para esto.

7. Mantente alerta

Si has implementado…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *