Cómo hacer que su sitio web sea más difícil de hackear

Cuando se piratea un sitio web grande como el de Lenovo, es una noticia. Pero la mayoría de estos ataques ocurren bajo el radar, en sitios más pequeños que carecen de las habilidades o el tiempo para protegerse. Tome las legiones de sitios basados ​​en Wordpress, que tuvieron un rudo despertar el año pasado cuando muchos miles de ellos fueron pirateados.

No seas uno de esos sitios. Incluso si no usas Wordpress, puedes aprender lecciones importantes de lo que han pasado esos pobres blighters.

La bala no mágica: mantenimiento del sitio

Hacer girar rápidamente un sitio de Wordpress en un servidor alojado es más simple que alguna vez, pero los usuarios deben entender que los sitios requieren una administración regular. Los ciberdelincuentes y los piratas informáticos buscan continuamente sitios cuyos administradores utilicen contraseñas fáciles de adivinar, configuren incorrectamente el sitio de forma inadvertida o no apliquen el último parche.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

A principios de este año, por ejemplo, la empresa de seguridad Zscaler descubrió que los sitios web comprometidos de WordPress estaban reenviando las credenciales de inicio de sesión de los visitantes a un sitio controlado por un atacante. El año pasado, en uno de los peores casos de compromiso en serie, un programa malicioso, conocido como SoakSoak, infectó a más de 100.000 sitios de Wordpress usando una vulnerabilidad en un popular plugin. "Lo bonito de estas aplicaciones es que son fáciles de usar y facilitan la creación de un sitio web en línea", afirma Tony Pérez, director ejecutivo de Sucuri. "Pero es un arma de doble filo: no podemos depender de que los usuarios puedan administrar los sitios de manera segura".

W3Techs

Wordpress representa aproximadamente una cuarta parte de todos los sitios web y 60 por ciento de todos los CMS. Sitios web.

Los expertos en seguridad no culpan a los sistemas de administración de contenido, que generalmente toman en serio la seguridad. Pero los sitios de Wordpress representan el 24 por ciento de todos los sitios web, y Joomla y Drupal representan otro 5 por ciento, según la firma de tecnología web W3Techs. El software está bajo intenso escrutinio de los atacantes. Históricamente, los atacantes han intentado adivinar las contraseñas de fuerza bruta como el primer asalto a los sistemas de administración de contenido, seguido de intentar rápidamente aprovechar las vulnerabilidades recién publicadas.

Las contraseñas son un problema fácil de resolver para los usuarios, pero mantenerse al día Un flujo constante de vulnerabilidades y parches requiere diligencia, dice Mark Maunder, CEO de la firma de seguridad Wordpress Wordfence. Estas tres mejores prácticas te ayudarán a defenderse de los atacantes.

1. Actualice lo antes posible

Cualquier persona que administre su propio sitio debe usar un servicio de hospedaje que administre las actualizaciones del sistema de administración de contenido central (CMS) o crear un proceso para mantenerse al día con información sobre vulnerabilidades que podrían afectar su instalación.

Tenga cuidado, es un trabajo difícil. La suscripción a cualquier fuente de vulnerabilidad para su software y complementos es una necesidad para parchear rápidamente las vulnerabilidades en el CMS o sus complementos. Sin embargo, es fácil verse inundado, dice Pérez de Sucuri.

"Es casi imposible para los desarrolladores mantenerse al día con las vulnerabilidades", dice. "Están tratando de ejecutar su sitio y es difícil hacer un seguimiento de todos los parches y aplicarlos".

Los servicios de seguridad web como Sucuri, Cloudflare e Incapsula pueden comprar más tiempo a los administradores para parchar sus sitios, bloqueando ataques conocidos.

2. No olvides los complementos y temas

Si bien mantener el sistema de administración de contenido principal actualizado es un desafío, aplicarle un parche a cada complemento puede ser una carga más onerosa, ya que los atacantes tienen cada vez más vulnerabilidades en complementos y temas para comprometer sitios web. .

"En general, los atacantes intentan apropiar tantos sitios de WordPress como sea posible usando vulnerabilidades de cero días o divulgadas recientemente, y luego usar ese sitio para otros ataques", dice Maunder de Wordfence.

Una variedad de complementos de Wordpress brindan seguridad. Wordfence, BulletProof Security y iThemes Security realizan una variedad de tareas relacionadas con la seguridad, desde escanear sitios web en busca de concesiones hasta establecer controles de seguridad en un sitio de WordPress para endurecer el software contra los ataques más comunes.

3. Mantenga regularmente su sitio web

Tener un sitio web alojado es una responsabilidad y requiere mantenimiento frecuente. Los administradores deben realizar una copia de seguridad del sitio y asegurarse de que la copia de seguridad se copie del servidor web: muchos administradores inexpertos pasan por alto ese paso, dice Maunder.

Si no tiene tiempo para hacerlo, vaya a un sitio completamente administrado. Wordpress.com tiene una amplia variedad de plantillas y más flexibilidad que nunca. Para otros sistemas de administración de contenido, como Joomla y Drupal, un proveedor de servicios alojado puede administrar el CMS en ese servidor y ayudar a mantener el sitio web parchado.