Las webs sufren multitud de ciberataques de hackers que tratan de acceder a los datos, utilizar la página para propagar archivos maliciosos o servir publicidad intrusiva. El estudio de SiteGround sobre seguridad en los servicios de creación de páginas web más utilizados, como WordPress, Joomla, Drupal o Magento, señala que se han detectado y bloqueado más de 3.5 millones de intentos de ciberataques a cada uno de sus servidores, lo que supone una media de 5.000 ciberataques por web alojada.
A partir del análisis de más de 1.000 millones de ataques detectados a páginas corporativas, blogs y tiendas online a nivel mundial en el último mes, se han identificado los siguientes problemas de seguridad:
- Ataques de fuerza bruta, que buscan acceder al panel de administración de la web o su servidor probando millones de combinaciones de contraseñas.
- Vulnerabilidades en plugins o versiones anticuadas del CMS o aplicaciones web.
- Ataques de denegación de servicio (DOS y DDOS) para “tumbar” la página y hacerla inaccesible para el resto de usuarios.
- Instalación de malware para la propagación de archivos maliciosos o publicidad no consentida.
Si bien la mayoría de estos intentos son detenidos por las propias empresas de hosting a nivel de firewall, cortafuegos que previenen la exposición de los clientes a este tipo de ataques, los ciberdelincuentes tratan de aprovechar la falta de preparación de los propietarios de las webs o de la ausencia de su mantenimiento, por lo que es muy importante un proceso de formación mínima para sus responsables.
Por su penetración en el mercado y popularidad, WordPress es el CMS más atacado en cuanto al número de intentos, aunque el resto de aplicaciones es objetivo igualmente de los ciberdelincuentes en sus ataques.
En aras de prevenir este tipo de ataques, SiteGround aconseja:
- Mantener actualizados permanentemente CMS, plugins y plantillas.
- Utilizar nombres de usuarios y contraseñas seguras, evitando utilizar palabras de diccionario o usar la misma para varios servicios o webs. Nunca usar como usuario “admin” ni compartir la contraseña con nadie.
- Disponer de copias de seguridad de tu web (preferiblemente diarias).
- Revisar periódicamente los permisos de los usuarios dados de alta en tu panel de administración y detectar la intrusión de desconocidos.
- Revisar los permisos de acceso a tus carpetas o archivos de tu web.
- Instalar una regla .htaccess y restringir el acceso a tu panel de administración desde sólo algunos sitios, como tu propio ordenador o el de tus colaboradores.
Para los responsables de SiteGround existe de todos modos una máxima: “No hay ninguna web que sea infranqueable”, por lo que será necesario siempre disponer de un “Plan de Recuperación de un Desastre”, que se resume en 7 pasos recogidos en la infografía: