Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Principales formas en las que los generadores de spam hackean sitios

Para proteger tu sitio de futuros ataques, es importante comprender cómo se vulneró. En este documento, se explican algunas de las vulnerabilidades de seguridad que pueden provocar que tu sitio se vea comprometido.

En el siguiente video, se describen los tipos de hackeos y cómo los hackers toman el control de tu sitio.

Contraseñas hackeadas

Los atacantes pueden obtener tu contraseña probando diferentes contraseñas hasta que adivinen la correcta. Los ataques de adivinación de contraseñas usan métodos, por ejemplo, probar contraseñas comunes o analizar combinaciones aleatorias de letras y números. Para evitar esto, crea una contraseña segura y difícil de adivinar. Puedes encontrar sugerencias para crear una contraseña segura en el artículo del Centro de ayuda de Google.

Recuerda estos dos puntos:

Evita reutilizar contraseñas en diferentes servicios. Una vez que los atacantes identifican una combinación de nombre de usuario y contraseña que funciona, prueban las credenciales en la mayor cantidad de servicios posible. Usa una contraseña única para evitar que se vulneren otras cuentas.
Usa la autenticación de dos factores (2FA), como la Verificación en 2 pasos de Google. La 2FA agrega una segunda capa de credenciales, a través de un código de mensaje de texto o un PIN generado de forma dinámica, para evitar que los atacantes accedan a tu cuenta. Algunos proveedores de CMS tienen instrucciones para configurar la 2FA:
- Joomla!
- WordPress
- Drupal

Actualizaciones de seguridad faltantes

Las versiones anteriores del software pueden tener vulnerabilidades de seguridad de alto riesgo que permiten a los atacantes vulnerar un sitio completo. Los atacantes buscan activamente software antiguo con vulnerabilidades. Ignorar las vulnerabilidades aumenta el riesgo de ataque.

Por ejemplo:

Software del servidor web (si alojas tus propios servidores)
Tu sistema de administración de contenido (CMS) (por ejemplo, las versiones de seguridad de Wordpress, Drupal, y Joomla!)
Todos los complementos y las extensiones que usas en tu sitio

Temas y complementos no seguros

Los temas y complementos de CMS agregan funciones valiosas. Sin embargo, los temas y complementos desactualizados o sin parches son una fuente importante de vulnerabilidades. Mantén actualizados los temas y complementos. Quita los temas o complementos que ya no se mantengan.

Ten mucho cuidado con los temas o complementos gratuitos de sitios que no sean de confianza. Es una táctica común para los atacantes agregar código malicioso a las versiones gratuitas de temas o complementos pagados. Cuando quites un complemento, asegúrate de quitar todos sus archivos del servidor en lugar de solo inhabilitarlo.

Ingeniería social

La ingeniería social explota la naturaleza humana para eludir la seguridad. Estos ataques engañan a los usuarios para que proporcionen información confidencial, como contraseñas. Una forma común de ingeniería social es el phishing. En un intento de phishing, un atacante envía un correo electrónico haciéndose pasar por una organización legítima para solicitar información confidencial.

Nunca compartas información sensible (por ejemplo, contraseñas, números de tarjetas de crédito, información bancaria o incluso tu fecha de nacimiento) a menos que estés seguro de la identidad del solicitante. Si varias personas administran tu sitio, brinda capacitación para aumentar la concientización sobre la ingeniería social. Para obtener sugerencias básicas de protección contra el phishing, consulta el Centro de ayuda de Gmail.

Vacíos en la política de seguridad

Si eres administrador del sistema o alojas tu propio sitio, las políticas de seguridad deficientes pueden permitir que los atacantes vulneren tu sitio. Los siguientes son algunos ejemplos:

Permitir que los usuarios creen contraseñas débiles
Otorgar acceso administrativo a usuarios que no lo requieren
No habilitar HTTPS y permitir que los usuarios accedan con HTTP
Permitir cargas de archivos de usuarios no autenticados sin verificación de tipo

Estas son algunas sugerencias para proteger tu sitio:

Configura tu sitio web con controles de seguridad altos inhabilitando los servicios innecesarios.
Prueba los controles de acceso y los privilegios de los usuarios.
Usa encriptación para las páginas que manejan información sensible, como las páginas de acceso.
Revisa tus registros con regularidad para detectar actividad sospechosa.

Filtraciones de datos

Las filtraciones de datos ocurren cuando se suben datos confidenciales y se configuran de forma incorrecta para que estén disponibles públicamente. Por ejemplo, los mensajes de error de las aplicaciones web pueden filtrar información de configuración. Con un método conocido como "dorking", los actores maliciosos pueden aprovechar la funcionalidad del motor de búsqueda para encontrar estos datos.

Asegúrate de que tu sitio no revele información sensible realizando verificaciones periódicas y restringiendo los datos confidenciales. Si descubres información sensible en tu sitio que debe quitarse de la Búsqueda de Google con urgencia, usa la herramienta para quitar URLs.