Comprender cómo se vulneró tu sitio es fundamental para protegerlo de ataques. En esta página, se describen algunas vulnerabilidades de seguridad que pueden provocar que se vulnere tu sitio.
En el siguiente video, se describen los diferentes tipos de hackeos y las formas en que los hackers pueden tomar el control de tu sitio.
Contraseñas hackeadas
Los atacantes pueden probar diferentes contraseñas hasta que adivinen la correcta para usar técnicas de adivinar contraseñas. Los ataques de adivinar contraseñas se pueden llevar a cabo a través de varios métodos, como probar contraseñas comunes o escanear combinaciones aleatorias de letras y números hasta que se descubra la contraseña. Para evitarlo, crea una contraseña segura que sea difícil de adivinar. Puedes encontrar sugerencias para crear una contraseña segura en el artículo del Centro de ayuda de Google.
Hay dos puntos importantes que debes recordar. Primero, es importante evitar reutilizar contraseñas entre servicios. Una vez que los atacantes puedan identificar una combinación de nombre de usuario y contraseña que funcione, intentarán usar esta combinación en tantos servicios como sea posible. Por lo tanto, usar diferentes contraseñas en diferentes servicios puede evitar que se comprometan otras cuentas en otros servicios.
En segundo lugar, aprovecha la autenticación de dos factores (2FA), como la verificación en dos pasos de Google, si la opción está disponible. La 2FA permite agregar una segunda capa de credenciales de acceso, generalmente a través de un código de mensaje de texto o de otro PIN generado de forma dinámica, lo que disminuye la capacidad del atacante de acceder a tu cuenta con solo una contraseña robada. Algunos proveedores de CMS tienen orientación para configurar 2FA: consulta la documentación de Joomla!, WordPress o Drupal.
Actualizaciones de seguridad perdidas
Las versiones anteriores de software pueden verse afectadas por vulnerabilidades de seguridad de alto riesgo que permiten a los atacantes poner en riesgo todo un sitio. Los atacantes buscan activamente software antiguo con vulnerabilidades. Si ignoras una vulnerabilidad de tu sitio, aumentan las probabilidades de que lo ataquen.
Estos son algunos ejemplos de software que querrás mantener actualizado:
- Software del servidor web, si ejecutas tus propios servidores.
- Tu sistema de administración de contenido (CMS) Ejemplo: Actualizaciones de seguridad de Wordpress, Drupal y Joomla!.
- Todos los complementos que usas en tu sitio
Complementos y temas no seguros
Los complementos y los temas de un CMS agregan valiosas funciones mejoradas. Sin embargo, los temas y complementos desactualizados o sin corregir son una fuente importante de vulnerabilidades en los sitios web. Si usas temas o complementos en tu sitio, asegúrate de mantenerlos actualizados. Quita los temas o complementos que sus desarrolladores ya no mantienen.
Ten mucho cuidado con los complementos gratuitos o los temas de sitios que no son de confianza. Es una táctica común que los atacantes agreguen código malicioso a las versiones gratuitas de complementos o temas pagados. Cuando quites un complemento, asegúrate de quitar todos sus archivos del servidor, en lugar de solo inhabilitarlo.
Ingeniería social
La ingeniería social se trata de aprovechar la naturaleza humana para eludir una infraestructura de seguridad sofisticada. Estos tipos de ataques engañan a los usuarios autorizados para que proporcionen información confidencial, como contraseñas. Una forma común de ingeniería social es el phishing. Durante un intento de suplantación de identidad (phishing), un atacante enviará un correo electrónico que se hará pasar por una organización legítima y solicitará información confidencial.
Recuerda que nunca debes divulgar información sensible (por ejemplo, contraseñas, números de tarjetas de crédito, información bancaria o ni siquiera tu fecha de nacimiento), a menos que estés seguro de la identidad del solicitante. Si varias personas administran tu sitio, procura ofrecer capacitación para generar conciencia sobre los ataques de ingeniería social. Si quieres obtener sugerencias básicas para la protección contra la suplantación de identidad (phishing), consulta el Centro de ayuda de Gmail.
Vacíos en la política de seguridad
Si eres administrador del sistema o ejecutas tu propio sitio, recuerda que las políticas de seguridad deficientes pueden permitir que los atacantes comprometan tu sitio. Aquí encontrará algunos ejemplos:
- Permitir que los usuarios creen contraseñas poco seguras
- Otorga acceso de administrador a los usuarios que no lo necesitan.
- No habilitar HTTPS en tu sitio ni permitir que los usuarios accedan a través de HTTP.
- Permitir cargas de archivos de usuarios no autenticados o sin comprobación de tipo
Estas son algunas sugerencias básicas para proteger tu sitio:
- Inhabilita los servicios innecesarios para que tu sitio web esté configurado con controles de alta seguridad.
- Prueba los controles de acceso y los privilegios del usuario.
- Usa la encriptación en las páginas que manejen información sensible, como las páginas de acceso.
- Revisa tus registros con regularidad para detectar actividades sospechosas.
Filtración de datos
Las filtraciones de datos pueden ocurrir cuando se suben datos confidenciales y una configuración incorrecta pone esa información a disposición del público. Por ejemplo, el manejo de errores y la mensajería en una aplicación web pueden filtrar información de configuración en un mensaje de error no controlado. Con un método conocido como "dorking", los actores maliciosos pueden aprovechar la funcionalidad del motor de búsqueda para encontrar estos datos.
Realiza verificaciones periódicas y restringe los datos confidenciales a entidades de confianza a través de políticas de seguridad para asegurarte de que tu sitio no revele información sensible a los usuarios no autorizados. Si descubres que se muestra información sensible en tu sitio que debe quitarse con urgencia de los resultados de la Búsqueda de Google, puedes usar la herramienta Eliminaciones de URL para quitar URLs individuales de la Búsqueda.