Seguridad

Conceptos básicos de seguridad web para pequeñas empresas

9 min de lectura
Web Workmen
Conceptos básicos de seguridad web para pequeñas empresas

Cierras tu camioneta por la noche. Cierras tu taller. Cierras el remolque del sitio de trabajo. ¿Pero qué hay de tu sitio web? La mayoría de los contratistas nunca piensan en la seguridad del sitio web hasta que algo sale mal, y para entonces, es costoso, vergonzoso y lleva mucho tiempo arreglarlo.

La seguridad de un sitio web no tiene por qué ser complicada. Aquí están los elementos esenciales que todo sitio web de pequeña empresa necesita, explicados en español sencillo.

¿Por qué los Hackers Atacan los Sitios Web de Pequeñas Empresas?

Podrías pensar: "¿Por qué alguien hackearía mi sitio web de plomería? No soy un banco." Pregunta justa. Pero los hackers no atacan tu sitio web por lo que tienes, lo atacan por lo que puede hacer por ellos.

Según el Informe de Investigaciones de Brechas de Datos 2023 de Verizon, el 43% de los ciberataques tienen como objetivo a las pequeñas empresas. Los sitios web hackeados se utilizan para:

  • Distribuir malware a tus visitantes (tus clientes se infectan)
  • Enviar correos electrónicos no deseados desde su dominio (su reputación de correo electrónico queda destruida)
  • Redirigir visitantes a sitios de estafas, páginas de apuestas o peores
  • Alojar páginas de phishing que roban números de tarjetas de crédito
  • Minar criptomonedas usando los recursos de su servidor (y los navegadores de sus visitantes)

Los sitios web de pequeñas empresas son blancos fáciles porque suelen tener software desactualizado, contraseñas débiles y nadie los monitorea. Un hacker con herramientas automatizadas puede escanear miles de sitios web por hora buscando vulnerabilidades conocidas.

Lo Indispensable: Esenciales de Seguridad

1. Certificado SSL (HTTPS)

Si la URL de su sitio web comienza con "http://" en lugar de "https://", tiene un problema. La "S" significa "seguro" y significa que la conexión entre el navegador de su visitante y su sitio web está cifrada.

Por qué es importante:

  • Google Chrome (utilizado por el 65% de los usuarios web) marca los sitios HTTP como "No Seguro" con una advertencia visible. Esa advertencia por sí sola ahuyentará a los clientes.
  • Google ha confirmado que HTTPS es un factor de clasificación. Los sitios HTTP son penalizados en los resultados de búsqueda.
  • Si tiene un formulario de contacto en un sitio HTTP, la información del cliente (nombre, teléfono, correo electrónico) se transmite en texto plano que cualquiera en la misma red puede leer.

La solución: Los certificados SSL son gratuitos a través de servicios como Let's Encrypt, y la mayoría de los proveedores de alojamiento modernos los incluyen automáticamente. Si su proveedor le cobra extra por SSL, eso es una señal de alerta sobre su proveedor. Pida a su desarrollador web que lo configure, toma unos 15 minutos.

2. Mantenga el Software Actualizado

Si su sitio web funciona con WordPress (aproximadamente el 43% de todos los sitios web lo hacen, según W3Techs), mantenerlo actualizado es fundamental. El núcleo de WordPress, los temas y los plugins reciben parches de seguridad regularmente. Ejecutar versiones desactualizadas es como dejar la puerta principal sin llave.

La investigación de Sucuri encontró que el 39% de los sitios de WordPress hackeados estaban ejecutando software desactualizado en el momento de la infracción. Las actualizaciones existen específicamente porque se descubrieron vulnerabilidades de seguridad; no actualizar significa que está ejecutando software con agujeros conocidos a sabiendas.

La solución: Inicie sesión en su panel de WordPress al menos mensualmente e instale todas las actualizaciones disponibles. O mejor aún, habilite las actualizaciones automáticas para los parches de seguridad. Si no se siente cómodo haciéndolo usted mismo, asegúrese de que quien administre su sitio lo haga regularmente.

3. Contraseñas Fuertes

Esto suena básico porque lo es, y sin embargo "password123" y "admin" siguen siendo algunas de las contraseñas más comunes encontradas en sitios web hackeados. Si la contraseña de inicio de sesión de su WordPress es el nombre de su negocio, el nombre de su perro o cualquier cosa que un humano pueda adivinar en cinco intentos, cámbiela hoy mismo.

La solución: Use una contraseña de al menos 12 caracteres con una mezcla de letras, números y símbolos. Mejor aún, use un administrador de contraseñas como Bitwarden (gratuito) o 1Password para generar y almacenar contraseñas complejas. Y nunca use la misma contraseña para su sitio web que para su correo electrónico o banco.

4. Copias de Seguridad Regulares

Si su sitio web es hackeado o se corrompe, una copia de seguridad reciente es la diferencia entre una solución de 30 minutos y reconstruir todo desde cero.

La solución: Asegúrese de que su sitio web se respalde al menos semanalmente. Muchos proveedores de alojamiento incluyen copias de seguridad automáticas. Si el suyo no lo hace, los plugins de WordPress como UpdraftPlus (gratuito) pueden respaldar su sitio en Google Drive o Dropbox automáticamente. Verifique que sus copias de seguridad realmente funcionen restaurando una en un entorno de prueba al menos una vez al año.

5. Elimine Plugins y Temas No Utilizados

Cada plugin y tema de WordPress instalado en su sitio, incluso si no está activo, es un punto de entrada potencial para los hackers. Los plugins que no han sido actualizados por sus desarrolladores en más de un año son particularmente riesgosos.

La solución: Vaya a su panel de WordPress, revise sus plugins y temas instalados. Elimine todo lo que no esté usando activamente. Si tiene 20 plugins y solo usa 8, esos otros 12 solo están añadiendo riesgo sin ningún beneficio.

Señales de que su sitio ha sido hackeado

A veces los hackeos son obvios: su página de inicio es reemplazada por un mensaje en un idioma que no entiende. Pero a menudo, los hackeos son sutiles y es posible que no los note durante semanas. Esté atento a:

  • Advertencia de búsqueda de Google: Su listado muestra "Este sitio puede haber sido hackeado" o "Este sitio puede dañar su computadora"
  • Redirecciones extrañas: Los visitantes que hacen clic en sus enlaces terminan en un sitio web diferente
  • Nuevos usuarios administradores: Ve cuentas de usuario en su panel de WordPress que no creó
  • Rendimiento lento: Una desaceleración repentina e inexplicable puede indicar que su servidor está siendo utilizado para minería de criptomonedas o envío de spam
  • Quejas de clientes: La gente le dice que su sitio "se ve raro" o que su antivirus lo marcó
  • Correos electrónicos de spam desde su dominio: Empieza a recibir notificaciones de rebote por correos electrónicos que no envió

Si sospecha que su sitio ha sido hackeado, actúe de inmediato. Desconecte el sitio, contacte a su proveedor de alojamiento y busque la ayuda de un profesional de seguridad. Cuanto más tiempo permanezca activo un sitio hackeado, más daño hará a su reputación y a su posicionamiento en Google.

La Ventaja del Sitio Estático

Esto es algo que la mayoría de la gente no sabe: el sitio web más seguro es uno sin ningún código del lado del servidor. Los sitios web estáticos —sitios construidos con herramientas modernas que generan archivos HTML simples— prácticamente no tienen superficie de ataque. No hay base de datos que hackear, ni página de inicio de sesión para forzar, ni plugins que explotar.

Un sitio estático servido desde una CDN como Cloudflare es esencialmente imposible de hackear mediante métodos tradicionales. Es el mismo enfoque utilizado por grandes empresas para sus sitios de marketing, y funciona de maravilla para sitios web de negocios de servicios. Sin vulnerabilidades de WordPress, sin actualizaciones de plugins, sin parches de seguridad de los que preocuparse.

Esta es una de las razones por las que construimos sitios estáticos para nuestros clientes: no solo son más rápidos, sino que son drásticamente más seguros que WordPress. Conozca más sobre cómo construimos sitios web que son rápidos y seguros por diseño.

Su Lista de Verificación de Seguridad

Esto es lo mínimo que todo sitio web de pequeña empresa debería tener:

  1. Certificado SSL (HTTPS) — gratuito e innegociable
  2. Todo el software actualizado a la última versión
  3. Contraseñas fuertes y únicas para cada cuenta
  4. Copias de seguridad regulares almacenadas fuera del sitio
  5. Plugins y temas no utilizados eliminados
  6. Autenticación de dos factores en su inicio de sesión de administrador
  7. Un servicio de monitoreo que le alerta sobre tiempos de inactividad o cambios

Nada de esto es caro. Nada es complicado. Pero omitirlo es una apuesta que se vuelve más arriesgada cada año. Proteja su sitio web de la misma manera que protege sus herramientas y su camioneta. Contáctanos si desea un sitio web construido con la seguridad como base, no como una ocurrencia tardía.

¿Necesita un sitio web que realmente funcione para su oficio?

Deje de perder clientes por un mal sitio web. Obtenga una cotización gratuita y sin compromiso y vea lo que un sitio moderno podría hacer por su negocio.

Obtenga Su Cotización Gratuita