Cómo evaluar y mejorar la seguridad de su sitio web

Cómo evaluar y mejorar la seguridad de su sitio web

Hubo un tiempo en el que la gente y las empresas abandonaban totalmente los sitios web, simplemente esperando que nadie pirateara los contenidos o instalara malware en el sitio.

Esos días han quedado atrás, ya que el número y la frecuencia de los ataques significan que hay una amenaza constante, y cuanto más éxito tiene un sitio web, mayor es el peligro.

Entonces, ¿cuáles son las formas en que usted puede proteger su sitio web, y cómo puede reducir la posibilidad de que el sitio sea pirateado y alterado de manera nefasta?

Antes de llegar a eso, sin embargo, necesitamos entender el nivel más básico de seguridad que es responsable de muchos sitios pirateados, incluso aquellos alojados en servidores seguros.

Aunque algunas empresas insisten en alojar sus propios sitios web, la mayoría de los dominios empresariales se encuentran en servidores seguros contratados a tal efecto.

Cuando usted elige el hosting, puede definir qué sistema operativo está ejecutando ese sistema (Windows Server, Linux o Unix) y eso dicta los protocolos de seguridad que se requieren.

La persona o personas con la responsabilidad de administrar el sitio tienen derechos de administración para alterar las estructuras de archivos en él, y nadie más.

Donde esto puede salir mal desde el principio es si demasiada gente conoce los detalles de la cuenta de administrador, y la contraseña no se cambia regularmente. Y sólo se necesita un keylogger para ser instalado en una de las máquinas usadas para hacer el admin, y la contraseña es revelada exactamente a la clase de personas que menos le gustaría tenerla.

Pero siendo honesto, ¿cuántas personas trabajan en una oficina donde las contraseñas se recuerdan regularmente con notas post-it? Unas cuantas manos subieron allí, sin duda.

Asegurar estas contraseñas es la primera línea de defensa, y sin eso, cualquier otra cosa que haga puede deshacerse fácilmente.

Por lo tanto, hay dos lecciones iniciales que aprender sobre la seguridad de los sitios web, a saber, que:

Realizar una auditoría de seguridad en un sitio es un ejercicio relativamente simple que puede ser realizado por el personal de TI utilizando una selección de herramientas de software. O alternativamente, puede contratar a un tercero para que le realice el análisis y le proporcione una lista de posibles puntos débiles a reforzar.

Si usted está comprando un servicio de alojamiento web, el proveedor también puede incluir una herramienta de seguridad para asegurarse de que usted está razonablemente seguro desde el principio, pero por lo general no de forma continua.

Más allá de eso, muchos proveedores también ofrecen un paquete de seguridad de sitios web, donde prometen una respuesta rápida a las amenazas y la mitigación de los ataques de denegación de servicio. A menos que tengas un pequeño blog personal, es una buena inversión.

El precio de estos servicios no es mucho si se tiene en cuenta lo costoso que puede ser tener un sitio fuera de línea por cualquier período de tiempo, especialmente para aquellos que ofrecen comercio electrónico.

Independientemente del enfoque que adopte, es importante que los análisis de seguridad se realicen de forma regular, para identificar posibles nuevas amenazas a medida que surjan y abordarlas de inmediato.

Las formas más comunes de ataque a las que se enfrentan los sitios web son estas:

Aunque muchos sitios operan con las siguientes características activas, son la fuente de muchos problemas de seguridad por numerosas razones:

Obviamente, eliminar todas estas funciones de un sitio web lo convertiría en un lugar mucho menos atractivo para los visitantes. Es necesario hacer un juicio acerca de los elementos que usted está dispuesto a utilizar, y cómo pretende mitigar los posibles problemas de seguridad asociados con ellos.

Sólo hay una forma de garantizar que su sitio web nunca sea pirateado, y es no tener uno. En última instancia, la seguridad del sitio web es un ejercicio de mitigación en el que se hace lo suficiente para que valga mucho menos la pena intentar piratear el sitio, y también para garantizar que se recupere más rápidamente de cualquier incidente.

El nivel exacto de esfuerzo de seguridad es una elección con la que todas las empresas deben luchar, pero para los que participan en la venta en línea, el compromiso debe ser del 100% para asegurar los datos personales y financieros de aquellos que comercian con usted.

Numerosas empresas y organizaciones han visto cómo se robaban todos sus datos de clientes y luego se utilizaban para estafas de robo de identidad, con consecuencias costosas.

Cualquiera que sea el nivel de protección y monitoreo que elija, debe ser adecuado para su propósito. Por último, tenga en cuenta que tener mejor seguridad de la que necesita tiene una implicación de coste mínima, pero tener menos puede tener enormes ramificaciones legales y comerciales.