¿Por qué falla la seguridad de una página web?

seguridad-net4cms

Cuando pensamos en un sitio web, por lo general nos ocupamos de 3 factores:

1.- Que sea moderna, atractiva, intuitiva.

2.- Muestre la información de nuestros productos y servicios.

3.- Que puedan contactarnos fácimente.

Y luego de terminado nuestro sitio web, redirijimos todos nuestros esfuerzos en conseguir nuevos clientes y se nos escapa de vista, los factores de seguridad.

¿Cuáles son las posibles consecuencias si nuestro sitio web es Hackeado?

hackear sitio web

  • Que el hacker pueda capturar información de tarjetas de crédito.
  • Envíe correos masivos / SPAM a través del sitio web (haciendose pasar por la empresa)
  • Infecte virus a los visitantes y a través de correos a los usuarios registrados en el sitio web.
  • Dañe el sitio web.
  • Desactive el acceso de los administradores.
  • Solicite rescate en bitcoins por la información o acceso al sitio web.
  • Lo que represente en pérdidas para la empresa, la cantidad de ventas que no se realicen por el sitio web, mientras está desactivado.

¿Cómo se hackea un sitio web?

como-hackear-pagina-web

1.- A través de Fuerza bruta. ¿Pero qué significa fuerza bruta?. Es el intento de acceder a un sitio web con claves aleatorias hasta lograr descubrir un usuario y contraseña que funcionen.

2.- Por software malicioso (malware) instalado en computadores que permiten obtener todas las combinaciones de teclas presionadas y así pueden explotar sitios web. Esto se denomina Keylogger.

3.- Por phishing, esta práctica es cuando recibe un correo haciéndose pasar por algún sitio de su confianza, con todo el aspecto y logos, pero realmente es un hacker y al ingresar en los enlaces, le solicita su usuario y contraseña para ingresar, una vez los digita, su clave ha sido obtenida por el hacker.

4.- Por algún módulo utilizado por su sitio web que tenga una vulnerabilidad o un agujero no resuelto por el desarrollador.

5.- Los archivos de configuración de su sitio web, tienen permisos demasiado amplios, que permiten a otros usuarios que se registren obtener información confidencial del sitio web.

6.- Cuando no se usan certificados de Seguridad SSL, la información entre el computador del usuario que visita su página web y el servidor viaja sin ninguna encriptación, lo que hace más sencillo para el hacker ver la información que se intercambia entre el servidor y sus visitantes.

¿Cómo puedo proteger mi Sitio Web?

seguridad anti hacker

La primera recomendación es buscar un equipo experto en Seguridad que le permita:

1.- Colocar en el inicio de sesión un recaptcha para evitar que robots o software malicioso intente acceder al área de administración del sitio web.

2.- Usar two factor authenticator «2FA», esto es un segundo código, que se genera en su teléfono y para poder iniciar sesión, le solicita adicional a su usuario y contraseña el segundo código de autenticación. Si alguien conociera su usuario y contraseña, necesitaría también su teléfono para generar la clave temporal. Lo cual hace más difícil el ingreso de los hackers.

3.- Bloquear los intentos de acceso por Fuerza Bruta, esto se traduce en bloquear la ip del hacker una vez que ha hecho 5 o más intentos fallidos. Aún teniendo el hacker la combinación correcta de usuario y contraseña, estaría bloqueada su entrada, por el número de intentos.

4.- Bloquear ataques de DDos, esto consiste en hacer miles de consultas al sitio web, desde sitios diferentes para ofuscar al servidor y hacer que colapse el sitio web de esta forma hacer que no funcione.

4.- Detectar cambios en los archivos internos de su sitio web de forma automática y enviar alertas a los administradores.

5.- Escaneo del sitio web de forma automática para detectar Malware (software malicioso).

6.- Validación automática de contraseñas débiles y advierte a los administradores para realizar los cambios por contraseñas más robustas.

7.- Validación automática de permisos amplios en los archivos de configuración.

8.- Copias de seguridad del sitio web automáticamente y con frecuencia no mayor  a una semana.

9.- Monitoreo del sitio web al menos cada 5 minutos, para detectar alguna falla o cambio y envío de alertas automáticas a los administradores.

10.- Usar certificado de Seguridad SSL en la página web.

11.- Actualizar al menos 1 vez por semana los módulos que estén siendo utilizados en su sitio web.

12.- No dejar un sitio web a la deriva sin un administración semanal. Para que un sitio web esté al día en seguridad, debe tener un equipo de expertos en seguridad que velen por proteger su sitio web y a sus clientes.

Net4CMS es la solución para el mantenimiento y protección de su sitio web. Puede obtener más información en net4cms.com

¿Ha sido hackeado alguna vez?. ¿Logró recuperar su información?. Déjenos sus comentarios.