Los consejos que aquí aportamos son consejos de seguridad transversales a prácticamente cualquier sitio web, pero además, muchos de ellos pueden ser aplicables al uso cotidiano de tu navegación. No obstante, vamos a utilizar al gestor web WordPress como principal referencia.
1- No es aconsejable tener demasiados usuarios que administren el contenido de tu web
Cuando existen demasiados gestores, los puntos débiles de nuestro sitio web se multiplican exponencialmente. La intervención humana es la que más compromete la seguridad, por este motivo, es necesario llevar un control riguroso de las personas que pueden entrar a gestionar el contenido de nuestro WordPress.
Además, es mejor evitar usuarios genéricos. Si en un momento puntual necesitamos dar acceso a alguien, es preferible crearle un usuario específico y borrarlo al finalizar sus tareas.
2- No uses tu usuario admin para acceder habitualmente a tu gestor
En ningún caso debería usarse un usuario con permisos de administrador para realizar cambios menores o de consulta. Es importante tener en cuenta que cuando más riesgo de ataque corremos, es cada vez que hacemos login, o como veremos más adelante, si usamos una red no segura.
Es por esta razón que, para minimizar el alcance de un ataque, es bueno disponer de nuestro usuario administrador para operar sobre los usuarios atacados.
3- Usa aplicaciones para generar contraseñas inquebrantables
Además del Phishing, otro de los ataques más frecuentes es el conocido como ataque de “fuerza bruta”. Consiste en un programa que prueba a gran velocidad combinaciones de contraseñas, priorizando por aquellas más frecuentes.
Si usas una contraseña de las más comunes, este tipo de ataques te romperán el acceso en menos de medio segundo. Por el contrario, para que estos programas puedan descifrar una contraseña muy fuerte, necesitarán cientos o miles de años en intentos.
Te dejamos un generador de contraseñas fiable aquí.
A modo de curiosidad, aquí tienes una tabla con las contraseñas más frecuentes entre usuarios:
4 – Establece un límite de intentos por login
Parece algo evidente, pero es sorprendente la cantidad de gestores y dispositivos en general que por defecto cuentan con intentos infinitos.
Explicado en el punto anterior, es importantísimo contar con un máximo de intentos razonable (por ejemplo, tres intentos).
5- Autenticación de doble factor
Supongamos que tienes una contraseña fuerte, pero la has dejado apuntada en un sitio que no deberías (por ejemplo, en una página de tu agenda personal). Teniendo una autenticación de doble factor estarás a salvo.
Esto consiste, básicamente, en vincular el acceso a un dispositivo externo en el que nos vayamos a logear (habitualmente será tu teléfono móvil). La idea es que cada vez que queramos acceder al gestor, nos salte una notificación a este dispositivo vinculado para dar el Ok. Así, si se ha introducido correctamente la contraseña, pero no se hace la autenticación de doble factor (double check) en el segundo dispositivo, no se podrá entrar.
Para WordPress puedes usar Authenticator, pero encontrarás diferentes opciones para la mayoría de gestores web. Si el desarrollo lo has generado de manera externa a un gestor de contenidos, deberás plantearte añadir el autenticador igualmente.
6- Cuidado dónde te conectas a internet
El ejemplo más paradigmático de estafa, es la red wifi gratuita en aeropuertos, donde lo único que tienes que hacer es logearte con un correo y aceptar los términos y condiciones.
La recomendación evidente, ya sea para securizar tu web o directamente para proteger tus datos personales, es que jamás te conectes a una red de la que no conozcas el origen. Incluso aun conociéndola, debes tener mucho cuidado con lo que aceptas.
7- Usa SSL
Muy de la mano del punto anterior, el certificado SSL es la tecnología estándar para mantener segura una conexión a internet. Protege cualquier información confidencial que se envía entre dos sistemas, además de impedir que un delincuente informático lea o modifique cualquier tipo de dato que se esté transfiriendo.
Se trata de un cifrado basado en la seguridad de textos SSL/TLS.
8- Actualizaciones periódicas, pero no primeras versiones
Este punto vuelve a ser aplicable a la seguridad de tu web y a la seguridad de prácticamente cualquier dispositivo. Las actualizaciones suelen ser mejoras que resuelven problemas antiguos, muchos de ellos están directamente relacionados con la seguridad.
En el caso de que la última actualización solvente algún problema de seguridad, puede ser debido a que otros usuarios han reportado problemas de ataques. Si no mantenemos actualizada la última versión, contamos con una puerta que ha demostrado ser ineficaz.
No obstante, a modo de recomendación, es mejor que dejes pasar unos días desde que se publicó la última versión, ya que muchas veces la nueva actualización, que reparaba errores antiguos, provoca fallos no esperados. Si dejamos pasar unos días, nos aseguraremos que sean otros usuarios los que reporten los potenciales errores de la nueva actualización.
9- Usa plugins, pero solo del que tengas referencia
Existen extensiones para prácticamente cualquier cosa, son muy útiles y facilitan mucho el trabajo. No obstante, muchas veces son un coladero en lo que a seguridad se refiere.
Para mantener una buena seguridad, no hagas experimentos con plugins que no conozcas o sepas por una fuente fiable que no han representado ningún problema para otros usuarios.
10- No está todo perdido si has sido previsor, la importancia de hacer backups
Sea por el motivo que sea, si ya te han atacado, tener un backup de tu código, de tu contenido y de tus cambios, es un seguro de vida.
Si ya has sido atacado, no es tan sencillo como restaurar la copia de seguridad y ya está, hay que analizar el problema y hay que tomar medidas, pero si contamos con una copia de seguridad reciente, no cabe duda de que nos facilitaremos muchísimo el trabajo.
Este seguro de vida se consigue haciendo copias de seguridad periódicas o utilizando sistemas de control de versiones.
Todos podemos ser víctimas de un ataque, pero si aplicamos estas precauciones básicas tendremos más posibilidades de salir indemnes. Aunque como se suele decir, si te quieren robar, te acabarán robando. Por lo que, lamentablemente, estas y otras medidas pueden no servir de freno para un profesional de la delincuencia informática que desee entrar en nuestro sistema. Así que, no hay que obsesionarse, pero podemos afirmar que será importante ponérselo difícil a “los malos”.
Aquí te dejamos otro artículo que podría ser de tu interés ¿Sabías lo que es el Phishing?