Tu página web segura desde cero

Si tienes un nuevo proyecto o empresa y necesitas una web para mostrarte en internet, si quieres darle un giro de estilo a tu web con un cambio de imagen o si quieres asegurar que tu web es segura, no te puedes perder este artículo. Te mostraremos los consejos y medidas esenciales que debes tener en cuenta a la hora de crear o mantener tu sitio web alineado con la ciberseguridad en aspectos como el desarrollo, hosting o copias de seguridad entre otros.

La mejor opción para alojar tu web

El servidor o hosting es la infraestructura desde la cual se servirá tu web. Este puede ser físico, ubicado en tus instalaciones o contratado con un proveedor externo (compartido o dedicado). ¿Sabes cuales son las razones para elegir una de estas opciones teniendo en cuenta la seguridad?

  • Servidor físico en tus instalaciones: El coste de administración, seguridad, copias, resolución de errores corre por tu cuenta.

  • Hosting compartido: Delegas la administración pero compartes la ubicación de tu web con otras páginas en el mismo servidor.

  • Hosting dedicado: Delegas la administración y además cuentas con un servidor único para tus portales web.

Un servidor físico puede parecer la opción más económica pero a la larga suele ser la que más problemas da debido al mantenimiento y consideraciones de seguridad que si no se implementan puede ocasionarte desde cortes en la producción a la pérdida de toda la información. Un servidor compartido con otras webs externas a tu dominio pueden suponer una penalización en tu web ya que compartís ubicación y reputación a nivel de IP, por no hablar de que alguna de ellas pueda suponer un punto de entrada vulnerable al servidor, el servidor de tu web.

La opción más recomendable por tanto es utilizar un servidor “dedicado” para tu/s web/s  y olvidarte de costes de infraestructura hardware, mantenimiento y renovación donde además, seas el único “inquilino” de dicho servidor.

¿CMS o desarrollo a medida?

La decisión está en tu mano. Si necesitas una página web básica pero llamativa, con funcionalidades estandar (blog, noticias, contacto, galería, tienda, etc) y con fácil gestión, la mejor opción es optar por un gestor de contenidos o CMS (WordPress, Drupal, Joomla, Prestashop). En cambio, si buscas un diseño muy personalizado y con requisitos muy específicos, tu opción es crear una web mediante un desarrollo a medida. En cuanto a la seguridad en su desarrollo, asegura que se cumplan los siguientes aspectos

  • Asegura que el desarrollo se hace en un entorno privado, no indexado ni accesible por Google y protegido por contraseña

  • Si optas por un desarrollo a medida, asegura que se siguen las principales técnicas de desarrollo seguro y no se utiliza código ya identificado como vulnerable

  • Antes de pasar la web a producción, asegura que se han testeado todos los apartados y el funcionamiento es el deseado. Una web con errores en su funcionamiento puede dañar la imagen de tu empresa

  • Para el desarrollo no utilices dominios temporales que vayas a desechar como pueden ser tuempresa.xyz. Con el paso a producción, pueden quedar enlaces olvidados al antiguo dominio que si ya no está en vuestra posesión y reconducir a portales diferentes. Los cibercriminales suelen usar este tipo de técnicas para adquirir dominios temporales e intentar colar contenido inadecuado a través de estos enlaces.

La forma más segura de crear un nuevo sitio web consiste en desarrollar en un entorno privado, con un dominio/subdominio no temporal y con acceso restringido, sin estar indexado ni visible por los buscadores y siguiendo las principales técnicas de desarrollo seguro como la metodología OWASP.

Instalación y Actualización

Cuando comienza tu proyecto de web. Sigue estos consejos de cara a mantener tu portal seguro tanto durante la fase de desarrollo como en la fase de producción:

  • No utilizar temas o plugins de páginas web fraudulentas. El coste que te ahorras al adquirir un producto “pirata” no compensa de cara a la seguridad. Estos productos pueden estar infectados y llevar consigo software malicioso que perjudique a tu web. Asegúrate que siempre se utilizan temas y plugins adquiridos de los portales oficiales.

  • No descuides las actualizaciones, la mayoría de actualizaciones no son de nuevas funcionalidades sino parches para solucionar errores o agujeros de seguridad. Un portal web con todos sus elementos actualizados a la última versión está más protegido que uno que no lo está. En caso de un desarrollo a medida, asegura de que el administrador de la web esté al tanto de las últimas novedades en seguridad del código de programación utilizado para tu web.

  • Utiliza módulos y plugins populares y de confianza: Existe una gran cantidad de funcionalidades adicionales que puedes incluir en tu portal web pero asegura además de que sean oficiales que sean populares (con gran numero de usuarios y descargas) y seguros (se publiquen actualizaciones con frecuencia). Si tu página está hecha con WordPress, puedes consultar nuestro post de los plugins que recomendamos.

Copias de seguridad

Es de vital importancia realizar copias de seguridad frecuentes de la información de tu página web (código y base de datos). Cualquier imprevisto como un fallo de actualización, una eliminación por equivocación, un ataque o un error en el servidor puede ocasionar la pérdida irremediable de la información de tu web si no dispones de copias de seguridad. Respecto a como gestionar correctamente las copias de seguridad, te sugerimos estos consejos:

  • Frecuencia: La frecuencia ideal de copias de seguridad dependerá de como sea tu web. Si es un portal estático, informativo y con pocos cambios, la frecuencia será menor. En cambio, si tu web es muy dinámica, con noticias y cambios diarios, necesitaras realizar copias diarias de tu web.

  • Ubicación. Lo ideal es realizar copias de seguridad fuera del servidor donde se aloja la web para evitar que por cualquier problema con el servidor se pierdan o se vuelvan corruptas tanto la web como las copias.

  • Copias confiables. Es importante asegurar que las copias que sea realizan son correctas. Para ello, se pueden planificar restauraciones de copias controladas durante una franja que no afecte a la producción no solo para comprobar que las copias se realizan correctamente sino también para tener asegurado que el procedimiento de restauración ante cualquier imprevisto se controla y se realiza en el mínimo tiempo posible.

Certificado seguro

Si tu web cuenta con cualquier característica que suponga la introducción de datos personales como contraseñas de acceso o formularios de contacto, es necesario proteger esa información cifrando los datos. Para ello, se aplican los llamados certificados SSL confiables que aseguran que el tráfico viaja de forma segura y no puede ser interceptado por la red. Puedes comprobar si tu página web es segura en este aspecto si cuenta con el candado verde tal como se muestra en la imagen.

certificado-seguro

Cumplimiento

Tras el nuevo Reglamento Europeo de Protección de Datos o RGPD las páginas web deben de contar con una serie de medidas para evitar las sanciones que por incumplimientos en materia de protección de datos, pueden llegar hasta el 4% de la facturación de tu empresa. Igualmente, todas las webs deben cumplir con la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico). Si tu página web cuenta con recogida de datos, asegura su correcta adecuación en cuanto a cookies, política de privacidad, clausulas legales, consentimiento explícito de recogida de datos y correcta gestión de newsletter y suscriptores entre otras consideraciones.

Auditoría

Además de estos consejos, es recomendable la realización de auditorías de seguridad con las que poder obtener el estado real en ciberseguridad de tu web con frecuencia de al menos un año. Si tampoco estás seguro de que tu web cumpla con las normativas y leyes que aplican a las páginas web, te recomendamos realizar una consultoría de adecuación.

Confía en nosotros

tiThink cuenta con gran experiencia en auditorías de páginas web y consultorías de adecuación legal. Si estás interesado y necesitas  una estimación te invitamos a que contactes con nosotros, estaremos encantado de ofrecerte el mejor servicio adaptado a tus necesidades. Si cuentas con una web en WordPress, también te animamos a que pruebes nuestra calculadora para obtener en tu correo un presupuesto de auditoría de seguridad según las características de tu web.

Si te ha parecido interesante, no olvides subscribirte a nuestro blog para seguir recibiendo consejos de seguridad.

2018-09-20T08:14:58+02:0020 septiembre, 2018|

Contacto

Nos encontramos en la Avda. Diego Martínez Barrio 4, 2ª Planta - Módulo 3
Edificio Viapol Center - 41013 - Sevilla
Teléfono: [+34] 954 389 011
Correo electrónico: info@tithink.com

LOCALIZACIÓN

¿Quieres estar informado de las últimas novedades?

* campo requerido

¡Gracias por suscribirte!