Checklist para la seguridad de tu web

Hace unos años que vivimos inmersos en internet. Clientes y proveedores, e incluso la Administración, nos empujan a subirnos a ese carro. ¡Y hay que estar con los tiempos! Seguramente, después de meditarlo, habéis optado por tener una página web e incluso estáis en alguna red social.

Para quedarnos más tranquilos en lo que a nuestra página se refiere seguiremos estos diez consejos:

  1. Para alojar la web en un servicio externo, elegiremos un hosting seguro y de buena reputación. Además de otras cuestiones (escalabilidad, ratio de transferencia, panel de administración, servicio técnico, espacio, etc.) nos aseguraremos de que van a garantizar la seguridad de nuestra web, de que harán copias de seguridad, que actualizan con frecuencia el software y de que tomarán medidas en caso de que ocurra algún incidente.En este post de Buenas prácticas para la contratación de servicios TIC te indicamos todo lo que has de tener en cuenta y en este caso exigirlo.

    Es importante que apliquen medidas de seguridad específicas para web pero también medidas de seguridad generales como seguridad física, control de accesos, seguridad perimetral, cifrado de comunicaciones, etc.

  2. Si tenemos un servidor web propio seguiremos los mismos criterios de seguridad que exigiríamos a un proveedor. Entre ellos:
    • Tendremos todo el software necesario actualizado a sus últimas versiones. Los ciberdelincuentes aprovechan los agujeros de seguridad del software que más se usa.
    • Realizaremos regularmente un escaneo de vulnerabilidades y también después de que hagas algún cambio o añadas algún componente. Las vulnerabilidades web más frecuentes están tipificadas (OWASP Top 10 -2013: Los diez riesgos más críticos en aplicaciones web) y hay herramientas para detectarlas y corregirlas. Otra opción es contratar un servicio profesional.
  3. En cualquier caso siempre tendremos una copia de seguridad de los datos y de todo el sitio web. Si nuestro servidor está alojado en un proveedor este hará backup de sus servidores y nosotros tendremos que hacer backup de nuestros datos.
  4. Por si fallan los backups o por si tardamos en recuperarlos y para evitar los efectos de quedarnos sin web por un ataque o un incidente, tendremos un plan B. Una opción es tener un servidor duplicado, actualizado y probado. Estará listo para entrar en acción si el servidor en uso se cae por algún motivo. Esto nos evitará sufrir pérdidas económicas y de imagen.
  5. Borraremos todos los ficheros, bases de datos, aplicaciones y complementos o plugins que no utilicemos. Una buena limpieza y organización del sitio web es esencial para evitar situaciones incómodas.
  6. Para acceder al panel de control de nuestra web utilizaremos conexiones cifradas, tanto para transferir ficheros como para la gestión de los contenidos. Si no lo hacemos los ciberdelincuentes podrían interceptarlas y conocer nuestras credenciales de acceso y con ellas cambiar nuestros contenidos y manejar nuestra web a su antojo. Elije protocolos de cifrado fuerte y multiplataforma (como SSH) para que sean compatibles con tus equipos y con el servidor de tu web.
  7. Nos conectaremos a la web para su mantenimiento desde entornos seguros, evitando conectarnos utilizando redes wifi públicas, como las de aeropuertos y hoteles. Por el mismo motivo mantendremos la seguridad de los equipos desde los que accedemos a gestionar la web, auditando su integridad con frecuencia.
  8. Tendremos una política de contraseñas fuertes y obligaremos a que se cambien regularmente. Es decir las contraseñas han de ser suficientemente complejas para que no puedan ser craqueadas. Con esto se pretende hacer que sea más difícil adivinarlas o calcularlas con software para ello. Esto aplicará tanto a los usuarios con permisos de administrador como al resto de usuarios que puedan hacer login (clientes, proveedores, editores,…).
  9. No compartiremos las contraseñas. Esto aplica tanto al administrador o webmaster como a los editores y al resto de usuarios. Las contraseñas compartidas suelen ser el origen de importantes brechas de seguridad.
  10. Utilizaremos un cifrado SSL para las sesiones de login. De esta forma (utilizando HTTPS) la información sensible como credenciales de acceso, tarjetas de crédito, etc. se transmitirán cifradas garantizando su integridad y confidencialidad. Es importante que el cifrado se realice durante toda la sesión de login, en particular durante la autenticación, es decir, cuando se piden las credenciales y cuando se van a realizar transacciones.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s