Una página web nueva es como nuestra casa recién entregada, no pasa nada y no hay una preocupación inmediata si no nos han intentado robar. Al igual que el ejemplo surgen interrogantes como ¿es responsabilidad de la empresa contratada o del freelancer la seguridad de nuestro sitio?, ¿Qué debemos tomar en consideración para estar más protegidos? ¿Es una necesidad realmente para el tipo de empresa o negocio que tengo o son cuentos de camino?
Debemos de comenzar señalando que la forma de crear sitios web ha cambiado y esto se debe tanto a una necesidad de actualizar de forma constante contenido para generar valor a nuestros visitantes y posibles clientes como al hecho de entregar páginas de forma ágil y económica; esta necesidad ha dado popularizado el uso de Gestores de Contenido o CMS siendo los más conocidos: WordPress, Joomla o Drupal.
Actualmente existen un poco más de 1 billón de sitios Web, de los cuales se han creado más de 74 millones con WordPress, 1.5 con Joomla y 1.1 con Drupal. Aquí un enlace para ver algunas estadísticas: http://www.internetlivestats.com/total-number-of-websites/
De acuerdo al sitio alexa.com (subsidiaria de la compañía Amazon y dedicada a proveer información estadística de visitas a sitios web), 14,75% de 1 millón de mejores sitios web está basado en WordPress.
Dado al amplio uso de CMS, estas plataformas son objetivos de ataques o hacktivismo, por lo tanto, debemos de tomar ciertas medidas que nos garanticen la continuidad del negocio y la seguridad que nuestra información y la de nuestros clientes para que no sea robada, modificada o borrada, así como evitar cobros por información sustraída, sustitución de imágenes para hacer parodia o por protesta o simplemente un redireccionamiento de nuestro sitio a un lugar no deseado.
Estas son algunas buenas prácticas que debemos de tomar en cuenta:
- Limitar los intentos de inicio de sesión: la cantidad veces que personas no deseadas intenten dar con el nombre usuario y contraseña del sitio.
- Cambiar URL o ruta de acceso al Panel de Control: evitar el fácil acceso al portal de administración.
tupaginaweb/wp-admin en caso de WordPress
tupaginaweb/administrator para Joomla
tupaginaweb/admin en Drupal.
- Nombres de usuarios y contraseñas: evita usar nombres de usuario de fácil de predecir, entre estos están admin, administrador o nombres comunes, podemos usar una combinación de letras y números para crear un nombre de usuario que no sea deducible. Para las contraseñas debemos de seguir consejos de buenas prácticas para creación de las mismas, entre estas están:
- Letras, mayúsculas y minúsculas.
- Números.
- Algún caracteres Especial tipo: @$-!”·%&/()=?^*.
- Una longitud mínima de 8-10 caracteres.
- Orden aleatorio, no usar ningún patrón.
- No tengas la misma contraseña para otras cuentas.
- Monitorear actividad de usuarios registrados y habilitar alertas: esta opción es posible con la activación de los llamados “plugin” (extensiones) que se instalan en los CMS
- Establecer niveles de permiso para los usuarios registrados
Suscriptor – No puede ni escribir ni publicar post. Son usuarios ideales para las páginas que sólo permitan el acceso a usuarios registrados.
Colaborador – Es un usuario que puede escribir y modificar sus propios post o entradas. No puede publicarlos por lo que necesitará la supervisión de un editor o administrador que se los apruebe (publicar).
Autor – Puede escribir y publicar post, también podrá editarlos, pero solamente los suyos.
Editor – Puede escribir y publicar post y páginas y también editar, modificar y publicar los post de otros usuarios. Sería como el redactor Jefe.
Administrador – Es el que puede hacer de todo, desde publicar post hasta cambiar el aspecto de la página.
- Caducidad de contraseña: Podemos establecernos un tiempo 3 meses para cambiar la contraseña o bien apoyarnos de la instalación de una extensión para ayudarnos a programar esta característica.
- Respaldos periódicos: Las empresas de alojamiento Web en la nube como Godaddy, HostGator, 1and1 entre otros ofrecen respaldos periódicos de la base de datos como de los archivos, sin embargo, si nuestra página web fue creada por un freelancer debemos de asegurarnos que contemos con los accesos del portal donde aloja nuestra página para poder hacer uso de estos en caso de ser necesario. En el caso de ser un proveedor de servicio debemos de solicitar que se nos brinden respaldos semanales preferiblemente.
- Mantener gestor de contenido actualizado con la última versión liberada así como tema y extensiones: El panel de control nos dará notificaciones de nuevas actualizaciones disponibles.
- Eliminar temas y extensiones que no uses.
Es posible que no tengamos la experiencia o el control para realizar todas las recomendaciones aquí mencionadas pero estamos seguro que esto les será de ayuda para solicitar que sean aplicadas estas buenas prácticas y recibir el sitio Web con confianza. Para finalizar les dejamos un enlace para evaluar detectar vulnerabilidades https://hackertarget.com/wordpress-security-scan/