Nueve amenazas comunes a la seguridad de los sitios web (y cómo contrarrestarlas)

Lamento decírtelo, pero tu sitio web no es seguro. Esto no se debe necesariamente a algo que hayas hecho, sino simplemente a que nada en Internet es completamente seguro. Todos los sitios web enfrentan amenazas de seguridad que pueden derribarlos, dañarlos o algo peor.

Ésa es la mala noticia. El lado positivo es que hay muchas cosas que puedes hacer para abordar estas amenazas y el primer paso es ser consciente de que existen. Después de todo, sólo puedes protegerte de algo que sabes que podría suponer un riesgo.

Para ayudarle a hacer exactamente eso, este artículo repasará las amenazas comunes a la seguridad de sitios web para WordPress y más. Hablaremos sobre cuáles son las amenazas, cómo funcionan y qué puedes hacer para evitar que sucedan. Cuando haya terminado de leer, queremos que se sienta capaz de mantener su sitio web de WordPress seguro y fuera de peligro, para que pueda concentrarse en lo que realmente importa.

¿Por qué preocuparse por las amenazas a la seguridad de los sitios web?

La primera reacción que podría tener es preguntarse si esto es relevante para usted. Claro, a menudo oyes hablar de estas grandes filtraciones y hackeos de datos, pero ¿no suele suceder este tipo de cosas sólo a las grandes empresas? Ya sabes, tus Facebooks, Twitters, Equifaxes y Yahoos, empresas que tienen información que vale la pena robar.

Lamento hacer estallar su burbuja, pero solo porque no es una empresa de un millón de dólares, todavía hay muchas personas interesadas en derribar o violar su sitio web.

Los ciberataques globales aumentaron un 38 % solo en 2022 y, según un informe de Verizon de 2019, las pequeñas empresas fueron el objetivo número uno, representando el 43 % de todas las filtraciones de datos. Cuando son víctimas de un ciberataque, a estas empresas les cuesta, en promedio, 25.000 dólares. De hecho, en 2022, los daños por delitos cibernéticos ascendieron a 10.200 millones de dólares sólo en Estados Unidos, según el FBI.

Sin embargo, no se trata sólo de los costos directos de enfrentar y limpiar un ataque. También paga por la pérdida de clientes, el tiempo de inactividad, las interrupciones en el trabajo, la pérdida de confianza entre los clientes, el bloqueo de los motores de búsqueda y más.

Entonces, incluso si eres un sitio web pequeño, puedes ser un objetivo. Esto se debe particularmente a que la mayoría de los ataques son lanzados automáticamente por programas que escanean la web en busca de vulnerabilidades hasta que encuentran algo. Entonces, si les dejas una oportunidad, alguien intentará aprovecharla.

¿Quieres saber cómo protegerte? Repasemos algunas de las amenazas a la seguridad más comunes que existen.

Amenaza a la seguridad del sitio web n.° 1: phishing

_{Fuente: Andrew Levine}

El phishing se produce cuando los piratas informáticos intentan que usted visite un sitio web malicioso, haga clic en un enlace peligroso, descargue un archivo adjunto contaminado o proporcione información confidencial, como el inicio de sesión de su sitio web. La mayor parte ocurre en forma de correos electrónicos que pretenden ser de fuentes legítimas; sin embargo, también puedes recibir mensajes de phishing a través de mensajes de texto, aplicaciones de mensajería o páginas de inicio de sesión sociales falsas.

Peligros potenciales del phishing

Obtener su información de inicio de sesión mediante phishing les ahorra a los atacantes mucho tiempo. En lugar de tener que intentar adivinar minuciosamente y forzar la entrada a su sitio, pueden simplemente usar las credenciales que definitivamente están funcionando.

Con eso en la mano, tienen rienda suelta en su sitio web, especialmente si las credenciales vienen con altos privilegios de usuario. Pueden crear nuevos usuarios, agregar contenido y enlaces, manipular archivos, crear puertas traseras e incluso ejecutar código. Además, si tiene información confidencial guardada en su sitio, como datos de clientes en una tienda en línea, un pirata informático también tendrá acceso a ella.

Por supuesto, si esto sucede y se hace público, será un verdadero golpe para tu reputación. Además, dependiendo de las leyes de privacidad bajo las que esté operando, puede conllevar multas adicionales.

Como lidiar con

La mejor manera de prevenir los ataques de phishing es crear conciencia sobre ellos. Si recibe algún mensaje pidiéndole información confidencial, debería hacerle reflexionar inmediatamente. No devuelva nada, no haga clic en ningún enlace ni descargue y ejecute los archivos adjuntos. Como mínimo, verifique que la dirección de correo electrónico del remitente sea legítima. Además, infórmese sobre las tácticas de phishing y haga lo mismo con otras personas de su empresa.

_{Fuente: Techinfo}

Amenaza a la seguridad del sitio web n.° 2: ataques (D)DoS

DoS significa "denegación de servicio", que ocurre cuando alguien intenta cerrar su sitio web inundándolo con tráfico ilegítimo. El objetivo es saturar su servidor con solicitudes para que ya no pueda dar abasto y deje de funcionar.

Los ataques DoS a menudo se llevan a cabo a través de botnets, es decir, computadoras que han sido infiltradas por un virus o un caballo de Troya y que los piratas informáticos pueden controlar de forma remota. En ese caso, también se habla de “denegación de servicio distribuida” o DDoS.

_{Fuente: Everaldo Coelho y YellowIcon / LGPL}

Los ataques de este tipo tienen como objetivo dañar una empresa o un sitio web o chantajearlos para obtener dinero. También se llevan a cabo por motivos ideológicos porque el atacante no está de acuerdo con lo que representa el sitio web en cuestión o por una declaración pública realizada por una empresa. Sin embargo, en otros casos, los ataques DDoS también pueden usarse como una distracción para distraerlo mientras los piratas informáticos intentan ingresar a su sitio.

¿Cuáles son los resultados?

El efecto de un ataque DDoS es que el sitio web en cuestión deja de responder y es inaccesible para clientes y visitantes reales. El servidor tiene mucho que hacer para procesar adecuadamente las visitas y se carga muy lentamente o no se carga en absoluto para los visitantes legítimos.

Por supuesto, para la mayoría de las empresas, el sitio web es uno de sus principales activos. Cuando se vuelve inalcanzable, se produce una pérdida de negocios e ingresos. Los ataques DDoS también pueden dañar su reputación porque algunos visitantes pensarán que la calidad de su sitio web simplemente no es buena.

Cómo prevenir ataques DDoS

Una de las mejores formas de contrarrestar amenazas de este tipo a sitios web es agregar otra capa de seguridad en forma de firewall o firewall de aplicaciones web. Están diseñados para filtrar el tráfico malicioso antes de que llegue a su sitio. De esa manera, el ataque ni siquiera llega a su sitio web y no puede causar daño. Además, si el ataque DDoS es sólo una distracción para entrar, los cortafuegos también ofrecen protección para eso. Buenos proveedores aquí son Sucuri y Cloudflare.

_{Fuente: Cloudflare}

Otra buena inversión para protegerse de esta amenaza a la seguridad del sitio web es una red de entrega de contenido o CDN. Coloca copias de su sitio en diferentes servidores, lo que hace que sea más difícil eliminarlo por completo de la web. También puede mantener el ataque alejado de su servidor principal. Muchas CDN incluyen protección DDoS.

Si aloja su sitio web en WP Engine, puede aprovechar ambos métodos a la vez utilizando Global Edge Security. Es un complemento de seguridad y rendimiento de nivel empresarial que incluye un firewall de aplicaciones web administrado, protección DDoS avanzada y una CDN global. En resumen, todo lo que necesitas para mantener a raya las amenazas externas a la seguridad.

Además, es bastante sencillo. Simplemente agréguelo a su plan, apunte sus registros DNS al servidor correcto y el resto estará a cargo de usted. Pan comido. Finalmente, es una buena idea configurar el monitoreo del tiempo de actividad, por ejemplo con UptimeRobot. De esa manera, recibirá una alerta rápidamente cuando ya no se pueda acceder a su sitio para que pueda tomar medidas de inmediato.

Amenaza a la seguridad del sitio web n.° 3: ataques de fuerza bruta y relleno de credenciales

Los ataques de fuerza bruta son algo similares a los ataques DDoS en el sentido de que atacan automáticamente una parte de su sitio. Sin embargo, en lugar de bloquear el tráfico, se dirigen a su página de inicio de sesión e intentan acceder al sitio web adivinando su información de inicio de sesión. Los programas de este tipo prueban muchas combinaciones diferentes de contraseñas y nombres de usuarios comunes por segundo hasta que logran ingresar.

Una variedad un poco más sofisticada es el llamado relleno de credenciales. Aquí, en lugar de información de inicio de sesión aleatoria, los atacantes utilizan combinaciones de correo electrónico y contraseña que ya conocen de otras violaciones de datos. Estos ataques se basan en el hecho de que muchas personas reutilizan su información de inicio de sesión.

Si un atacante adivina con éxito sus credenciales de inicio de sesión, el resultado es prácticamente el mismo que el que se analiza en la sección "phishing".

Disuasión de ataques de inicio de sesión

Hay varias formas de protegerse de ataques en su página de inicio de sesión:

• Limite los intentos de inicio de sesión y bloquee a los usuarios que fallan con demasiada frecuencia, por ejemplo, mediante Limitar intentos de inicio de sesión recargados.
• No reutilice sus credenciales, tenga contraseñas individuales para cada cuenta que posea
• Limite la cantidad de usuarios en su sitio de WordPress y solo bríndeles tantas capacidades como necesiten para su trabajo.
• Forzar contraseñas seguras, por ejemplo, a través del Administrador de políticas de contraseñas
• Mejor aún, utilice la autenticación multifactor
• Desactive el editor de temas y complementos para que los atacantes no puedan manipular sus archivos desde el panel de WordPress.

Amenaza a la seguridad del sitio web n.° 4: secuencias de comandos entre sitios (XSS)

En las secuencias de comandos entre sitios, un pirata informático engaña a un sitio web para que envíe secuencias de comandos maliciosas al navegador de la víctima. Debido a la fuente, el navegador confía y ejecuta el script. Esto suele suceder a través de campos de entrada, como en un formulario de contacto. Sin embargo, el ataque también puede provenir de la base de datos de un sitio web comprometido.

Posibles resultados

Cuando tiene éxito, un atacante puede utilizar secuencias de comandos entre sitios para robar datos de inicio de sesión, instalar malware, redirigir al usuario a otro sitio e incluso manipular la página que está viendo. También podrá acceder al sitio web en cuestión como un usuario más y leer sus datos. Además, es posible que puedan instalar software en la computadora de la víctima.

_{Crédito: Michel Bakni}

En general, las secuencias de comandos entre sitios son más peligrosas para los visitantes que el sitio en sí. Sin embargo, si se origina en su presencia en la web, naturalmente, esto no le arrojará una buena luz. Por lo tanto, usted se debe a usted mismo y a sus visitantes hacer que su sitio sea seguro.

Cómo prevenir ataques XSS

A nivel técnico, el paso más importante para evitar secuencias de comandos entre sitios es desinfectar y validar sus entradas de datos. Eso significa negar caracteres y símbolos especiales para evitar la inyección de código, por ejemplo, asegurarse de que la entrada no pueda contener elementos como script, objeto o enlace. Los lenguajes de programación como PHP y JavaScript ofrecen funciones estándar para esto y WordPress también tiene su propio marcado para este propósito.

Si no es desarrollador, su función es utilizar el buen criterio para mantener alejado de su sitio el código que no cumpla con estas reglas. Eso significa que obtenga temas y complementos de fuentes confiables y asegúrese de que tengan un buen soporte y mantenimiento. Además, no instale fragmentos de código en su sitio que no comprenda.

Amenaza a la seguridad del sitio web n.° 5: inyecciones SQL

Las inyecciones de SQL son similares a las secuencias de comandos entre sitios. También funcionan mediante el uso de campos de entrada para ejecutar código SQL malicioso en su sitio web y obtener acceso a la base de datos.

Si su sitio web es vulnerable a inyecciones SQL, un atacante puede utilizar esta técnica para dañarlo de varias maneras:

• Cree nuevas identidades con derechos de administrador y obtenga acceso a su sitio
• Acceda directamente a todos los datos del servidor
• Destruir/modificar la base de datos para dejarla inutilizable

Por supuesto, nada de eso es una buena noticia.

Frustrar las inyecciones SQL

Esta amenaza a la seguridad del sitio web requiere una vigilancia similar a la de los scripts entre sitios. Desinfecte, filtre, escape y valide la entrada de datos y asegúrese de cifrar la información confidencial. Muchos frameworks web hacen esto automáticamente.

Como no desarrollador, mantenga WordPress y sus componentes actualizados y utilice un complemento de seguridad de WordPress. Muchos de ellos vienen con funciones para evitar inyecciones de SQL. Puede encontrar información más detallada sobre este tema en un artículo dedicado a WP Engine.

Amenaza a la seguridad del sitio web n.º 6: ransomware/deformación

El ransomware es un tipo de software que bloquea el acceso a su sitio web u otros activos comerciales y solo lo desbloquea nuevamente si le paga dinero al atacante y, a veces, ni siquiera entonces.

La desfiguración es similar en el sentido de que estropea el diseño o el contenido de su sitio web o deja un mensaje de un hack exitoso.

En cada caso, alguien de alguna manera obtuvo acceso a su sitio, lo que puede tener una serie de resultados negativos:

• El coste del rescate (si lo pagas, que puede resultar caro)
• Honorarios por la limpieza.
• Pérdida de ventas y pérdida de reputación.
• Pérdidas de productividad del personal por no poder realizar su trabajo.
• Posicionamiento reducido en los motores de búsqueda debido a estar en la lista bloqueada

Cómo protegerse

La forma de prevenir ataques de ransomware y desfiguración es seguir otras prácticas recomendadas mencionadas en esta guía para bloquear el acceso a su sitio web y servidor. Mantenga segura su información de inicio de sesión, su sitio actualizado e implemente una solución de respaldo para que pueda volver a una versión anterior de su sitio.

Amenaza a la seguridad del sitio web n.° 7: malware y spyware

Esto no es tanto un peligro para los sitios web en sí, sino algo que le puede pasar a su sitio. Cuando un atacante obtiene acceso a él, puede instalar malware y spyware que infectan las computadoras de sus visitantes. Su sitio web comprometido termina actuando como un vehículo para promover la agenda del hacker.

¿Que puede pasar?

El malware es un gran peligro para su reputación. Cuando un navegador o programa antivirus lo detecte, impedirán que los visitantes accedan a su sitio.

Es más, los motores de búsqueda pueden incluirlo en una lista bloqueada y eliminarlo de su índice, ya que no quieren enviar a sus usuarios a sitios web que los perjudiquen.

Por supuesto, ambos pueden provocar una pérdida masiva de tráfico y, a veces, es difícil salir de las listas de bloqueo incluso cuando haya solucionado el problema. Sin tráfico, no hay ingresos, ni clientes potenciales, ni negocios.

Prevención de infecciones de malware

Nuevamente, siga las prácticas mencionadas en esta guía para mantener otras amenazas a la seguridad del sitio web fuera de su sitio. En particular, emplee credenciales sólidas y autenticación multifactor, mantenga actualizados los componentes del sitio web y esté atento a lo que instala en su sitio.

Además, mantenga limpia su computadora utilizando software antivirus y analice periódicamente su sitio web en busca de malware, por ejemplo a través de Sucuri Sitecheck.

Amenaza a la seguridad del sitio web n.º 8: ataque de intermediario

Este tipo de ataques son comunes en sitios web que no utilizan cifrado para su tráfico. Aquí, el atacante intercepta datos desprotegidos y, por lo tanto, puede obtener acceso a inicios de sesión, pagos u otra información confidencial. Los ataques de intermediario también ocurren en redes wifi no seguras.

Cómo protegerse

En los sitios web, el método número uno para contrarrestar esta amenaza es utilizar cifrado. Instale un protocolo TLS/SSL en su sitio y cámbielo a HTTPS. Esto cifra automáticamente toda la información enviada entre su sitio y los navegadores de los visitantes, evitando que los ataques de intermediario tengan éxito.

Además, proteja el wifi de su trabajo y de su hogar con una contraseña segura y cambiando las credenciales predeterminadas. Además, tenga especial cuidado al utilizar wifi público. Utilice una VPN para proteger su tráfico y sólo inicie sesión en su sitio desde una wifi pública cuando sea absolutamente necesario.

Amenaza a la seguridad del sitio web n.º 9: ataques a la cadena de suministro

Un ataque a la cadena de suministro se produce cuando un atacante se infiltra en un sitio web a través de software de terceros. Por ejemplo, cuando alguien piratea un producto SaaS que se integra con muchos sitios web y luego obtiene acceso a esos sitios en el proceso.

Hemos visto ataques a la cadena de suministro en WordPress en los últimos años. En un caso, los atacantes agregaron intencionalmente complementos con código malicioso. En otra ocasión, irrumpieron en el servidor de distribución de una extensión de WordPress para hacer lo mismo.

En la mayoría de los casos, estos ataques se descubrieron rápidamente y los complementos en cuestión fueron prohibidos o parcheados. Pero todavía es algo a tener en cuenta.

Cómo prevenirlo

La mejor receta para prevenir ataques a la cadena de suministro es seguir las mejores prácticas para el uso de complementos y código de terceros en su sitio web:

• Utilice únicamente fuentes confiables para extensiones como complementos y temas.
• Mantenga sus integraciones al mínimo, instale solo lo que realmente necesita
• Audite periódicamente su sitio si todo el material de terceros sigue siendo relevante
• Utilice un registro de actividad para detectar comportamientos sospechosos en su sitio

Mantenga a raya las amenazas del sitio web

Las amenazas a la seguridad son algo a lo que todo propietario de un sitio web debe enfrentarse. Son una desafortunada realidad al operar en Internet. Afortunadamente, muchos de ellos se pueden prevenir implementando algunas prácticas recomendadas de sentido común:

• Esté atento a los mensajes que recibe, los enlaces en los que hace clic y los archivos adjuntos que descarga
• Invierta en un firewall, CDN y monitoreo del tiempo de actividad
• Utilice contraseñas seguras, limite las capacidades del usuario y los intentos de inicio de sesión y configure la autenticación multifactor
• Minimiza la cantidad de complementos y temas en tu sitio y asegúrate de obtenerlos de fuentes legítimas.
• Como desarrollador, desinfecte y valide sus datos
• Mantenga actualizado su sitio web y todo lo que le pertenece
• Utilice HTTPS para cifrar el tráfico de su sitio web
• Tenga una solución de respaldo en caso de que algo salga mal
• No ingrese información confidencial en redes no seguras

Seguirlos debería ser suficiente para protegerse de la mayoría de las amenazas comunes a la seguridad de los sitios web. ¡Manténgase alerta!

¿Qué otras formas de proteger su sitio web de amenazas a la seguridad recomienda? ¡Comparte tus pensamientos en los comentarios a continuación!