Las 8 Amenazas de Seguridad más Comunes en Tu Cuenta de Hosting – Bien Explicadas

Según WeLiveSecurity, durante los primeros 4 meses de 2022 se registró un aumento 20%, con respecto al mismo período del año anterior, en la actividad de las amenazas informáticas.

Estas amenazas son de diferentes tipos y no distinguen entre sitios grandes o pequeños. Puedes pensar que tu sitio, por pequeño, no tiene un atractivo real para los ciberdelincuentes y la verdad es que te estarías equivocando.

Las web pequeñas suelen ser usadas con múltiples propósitos, desde la inyección de enlaces en el caso de que tu sitio tenga un buen posicionamiento SEO, pasando por el alojamiento de código para minería de criptomonedas o simplemente para cambiar su apariencia, en el más inocente de los casos.

A continuación, encontrarás las 8 amenazas más comunes que puedes sufrir en tu cuenta de hosting.

1.- Contraseñas Inseguras

Sobre todo, para personas que administran un buen número de cuentas digitales, en ocasiones puede resultar fastidioso el establecimiento de contraseñas seguras por lo difíciles que son de recordar, incluso con el uso de algunos métodos para fijación en la memoria.

Muchas personas utilizan la misma clave para acceder a distintas cuentas, otras permanecen fijas por mucho tiempo y otras simplemente son demasiado fáciles de descubrir.

Las contraseñas más seguras deben cumplir algunos requisitos, tales como:

  • Incluir letras y números.
  • Combinar letras mayúsculas y minúsculas.
  • Incluir caracteres especiales.
  • La longitud debe ser igual o superior a 16 caracteres.
  • No debe tener espacios en blanco.

Por lo tanto, aplica estos criterios cuanto antes y cambia tus contraseñas con determinada frecuencia.

2.- No Cambiar el Nombre de Usuario de Administración

Tanto WordPress como cPanel establecen como nombre de usuario por defecto el popular  admin. Esto es no solo conocido, sino muy explotado por atacantes cibernéticos a quienes solo les queda como reto encontrar la contraseña para acceder a tu sitio web.

Entre las técnicas más empleadas para conocer la contraseña se encuentran el uso de ingeniería social a través de correos electrónicos, así como los ataques de fuerza bruta con los cuales intentarán por la vía de ensayo y error.

Así que, cambiar el nombre del usuario de administración, tanto del cPanel como de WordPress, te ayudará a hacerles el trabajo más difícil a los atacantes.

3.- Sitios sin Certificados HTTPS

Al ingresar la dirección electrónica de un sitio en un navegador, es posible incluir el protocolo HTTP, aunque no es necesario. Este protocolo está siempre presente y es el encargado de servir las páginas web, pero, cuando incluye al final la letra S indica que el protocolo está trabajando con una capa de seguridad.

La S proviene de un certificado SSL o Secure Sockets Layer, el cual es el encargado de encriptar los datos que viajan por la red para que no puedan ser comprendidos por los atacantes, aunque logren interceptarlos.

El uso de certificados SSL está muy extendido por la red y es un agente de confianza para el usuario, tanto conocedores como los que no, ya que algunos navegadores etiquetarán sitios sin este certificado como no seguros.

Por lo tanto, si todavía no tienes un certificado SSL, puedes consultar al equipo de soporte de tu cuenta de hosting para instalarlo urgente.

4.- No Escanear Tu Sitio Web en Búsqueda de Código Malicioso

Algunos tipos de backdoor son códigos inyectados que permiten al delincuente controlar el sitio web que ha sufrido el ataque. Son de alta peligrosidad porque:

  1. No requieren comúnmente de mucho espacio para cumplir con el objetivo.
  2. Tampoco se ubican en un lugar específico del almacenamiento del sitio.
  3. El código puede ser una simple línea que no llega a llamar la atención.

Puedes encontrarlos con frecuencia en archivos de configuración, funciones de plugins o incluso en complementos que no se encuentran activos, pero si alojados en tu cuenta de hosting y en cualquier rincón dentro de ella.

Se usan con frecuencia para robar datos, revisar archivos y acceder a las cuentas digitales de los usuarios vulnerados.

Existen una serie de herramientas en línea que puedes utilizar para detectar malware en tu sitio web.

Con ello puedes realizar una primera limpieza, pero en ocasiones algunos códigos son resistentes por lo que tendrás que ser mucho más minucioso en la búsqueda de este código.

Así que es importante combinar esta acción con el uso de firewalls o WAF.

5.- Ausencia de una Política de Respaldo

Las políticas de respaldo sirven para definir con cuánta frecuencia y bajo qué condiciones se realizará una copia de seguridad del sitio, capaz de restablecer el servicio en caso de haber recibido un ataque.

La mayoría de los servidores de hosting cuentan con herramientas automatizadas para la gestión de copias. Pero, no solo es importante que las conozcas, sino que sepas cómo puedes acceder a ellas y también cómo puedes hacerlas tú mismo.

6.- Omitir las Peticiones de Actualización

Algunas herramientas como WordPress y sus complementos, con frecuencia requieren la instalación de actualizaciones para reparar huecos de seguridad que han sido detectados por su comunidad.

Si omites estas actualizaciones, estarías dejando puertas abiertas para que los atacantes puedan aprovechar la vulnerabilidad y usar tu sitio con un objetivo poco claro para ti.

Las consecuencias serían las repercusiones que podría tener para tu empresa, no solo en términos económicos sino además de confianza e imagen que afectarían las ventas futuras.

7.- Propiedad de Edición de Archivos Activa

Es necesario asegurarte que solo las personas autorizadas puedan modificar el contenido de tu sitio, para ello es necesario desactivar la edición de archivos. En WordPress puedes desactivar esta edición ubicando el archivo wp-config.php en public_html.

Abre este archivo con el editor y agrega las siguientes líneas de código:

//disallow file edit

‘DISALLOW_FILE_EDIT’, true

Con esto evitarás que los atacantes cambien tus archivos.

8.- Tener Habilitada la Navegación en el Directorio

Con esta propiedad activa, cualquier persona podrá conocer la estructura de tu sitio web. Esta es una información importante para el atacante ya que podrá elegir en qué lugar almacenar el código malicioso para que tenga menor probabilidad de ser encontrado o simplemente dónde hacerlo.

Para evitar proporcionar mayores datos ubica el archivo .htaccess de tu hosting, con ayuda del Administrador de archivos de tu cPanel, e incluye en la primera línea el código:

Options -Indexes

guarda y cierra.

Así aumentarás la seguridad de tu sitio web y disminuirás el riesgo de ser atacado por ciberdelincuentes.

Conclusiones

Los sitios web han sufrido más ataques en este año que en anteriores oportunidades y tanto sitios grandes como pequeños han sido objeto de este flagelo. Existen 8 amenazas comunes que pueden ayudar a que tu sitio se ubique en el foco de los atacantes:

  1. Contraseñas inseguras.
  2. No cambiar nombre de usuario de administración.
  3. Sitios sin certificados HTTPS.
  4. No escanear tu sitio en búsqueda de código malicioso.
  5. Ausencia de una política de respaldo.
  6. Hacer caso omiso a las peticiones de actualización.
  7. Propiedad de edición de archivos activa.
  8. Tener habilitada la navegación en el directorio.

Pon estas sugerencias en práctica en tu cuenta de hosting y lograrás evitar un mal rato. Si éste contenido ha sido de tu ayuda, me lo harías saber?. Gracias por tu tiempo

Abrir chat
💬 ¿Necesitas ayuda?
Powered by SYP
Hola 👋
¿En que podemos ayudarte?