Las PYME también están en el punto de mira de los ciberdelincuentes.
En los dos últimos años se han registrado bastantes casos de empresas cuyos sitios web han sido «tumbados» por ciberdelincuentes. Sólo después de pagar elevadas cantidades pudo la empresa en cuestión volver a llegar a sus clientes. Más recientemente, una cadena de consultas dentales y, en primavera, Artis en Ámsterdam. En ambos casos, el impacto fue enorme. Los negocios se ven completamente perturbados en esos momentos.
«Mi empresa es demasiado pequeña para conseguir nada»
Muchos empresarios pensarán esto y, como resultado, las cosas pueden salir mal. Esto se debe a que los ciberdelincuentes buscan el camino de menor resistencia y sólo entonces ven qué pueden hacer, si es que pueden hacer algo. Aunque el rescate del ransomeware no sea demasiado elevado y vuelva a funcionar rápidamente, cabe preguntarse qué se hará con la información de los clientes almacenada en la base de datos del sitio web.
La seguridad es más importante que una baja cuota mensual de alojamiento
Los empresarios de PYME suelen hacer una inversión razonable en el desarrollo de un buen sitio web. Con demasiada frecuencia, esto implica elegir un alojamiento barato para mantener bajos los costes mensuales recurrentes. Un gran ejemplo de cómo lo barato sale caro al final.
¿Cuáles son los principales problemas de seguridad en el alojamiento?
Cuando se trata de la seguridad de un sitio web (WordPress), hay varias cosas que deben cuidarse adecuadamente:
- Actualizaciones seguras de plantillas, plug-ins y del propio núcleo de WordPress;
- Análisis periódicos de malware a nivel de servidor;
- Un cortafuegos basado en software y hardware;
- Protección DDoS adicional;
- Uso de la última versión de PHP (HardenedPHP);
- Copias de seguridad externas periódicas.
Al final de este blog puede leer lo que esto significa punto por punto
Pero seguro que todos los proveedores de alojamiento lo ofrecen.
Ojalá fuera cierto. No hace falta decir que todas las empresas de alojamiento lo ofrecen por defecto. Desgraciadamente, no es así. La razón por la que las empresas de alojamiento no toman estas medidas es:
- Se necesitan más recursos (y, por tanto, dinero) para configurar y mantener análisis de malware, servidores de copia de seguridad y rutinas;
- Las copias de seguridad adicionales también requieren espacio adicional en el servidor, que prefieren vender a los clientes de alojamiento.
- Adaptar el cortafuegos y la seguridad a cada sitio web requiere más tiempo.
- No todos los proveedores de alojamiento están especializados en WordPress
Además, parte del trabajo se ofrece como opción o se deja fuera de la suscripción para poder ofrecer alojamiento barato.
El alojamiento gestionado de WordPress ofrece soluciones
Tanto los usuarios finales como los desarrolladores de sitios web tienen mucho que hacer en materia de seguridad. Para el primero, se produce a expensas del espíritu empresarial y para el diseñador a expensas de su creatividad. Precisamente por ese motivo, en 2015 empezamos a ofrecer
alojamiento gestionado de WordPress
. Ofrecer como servicio completo todas las cosas con las que nosotros mismos, como desarrolladores, nos habíamos topado desde 2009, pero que yo quería hacer bien para mis clientes.
Siempre contacto personal
¡!
WP Provider nació así de la necesidad personal de contar con lo último en alojamiento y contacto personal a la hora de la verdad. Por y para entusiastas de WordPress. Y esto último sigue siendo manejable ofreciendo este servicio sólo a través de diseñadores web. Nosotros nos centramos al 100% en el alojamiento y el diseñador en el diseño para su cliente. Tengo preguntas sobre esto. Entonces no dude en llamarnos alguna vez para hablar de las posibilidades.
Marco Kroon
__________________________________________________________
Para los amantes de la comida…
Como prometí, a continuación se explican de nuevo los seis puntos clave para un sitio web seguro:
Análisis de malware
Malware significa «software malicioso» Es un término extendido para el código malicioso que los hackers utilizan para obtener acceso no autorizado o hacer daño a su sitio web WordPress. En la mayoría de los casos, un bot o hacker explotará una vulnerabilidad de seguridad. Si un plugin ya no recibe soporte de sus desarrolladores y, por tanto, ya no se publican actualizaciones para él, es importante tomar medidas activas al respecto.
Por eso realizamos varios escaneos a nivel de servidor, incluida nuestra herramienta de escaneo WP eXploit, que escanea activamente los archivos cuando se cargan en el servidor mediante FTP o a través de WordPress directamente, por ejemplo. Puede detectar archivos sospechosos en el servidor y evitar que la mayoría (excepto los de día cero (los exploits desconocidos) se carguen o ejecuten en el servidor.
Cortafuegos basado en software y hardware
A través de nuestra solución de cortafuegos, se cierran los puertos no utilizados, se protege el acceso a determinados servicios y se analizan continuamente los registros en busca de actividades sospechosas, como un número sospechoso de intentos de inicio de sesión en WordPress o en los buzones de correo electrónico. Las direcciones IP y los rangos se incluyen en una lista negra para detener el ataque. Reconoce muchos ataques diferentes, como escaneos de puertos, inundaciones SYN y ataques de fuerza bruta.
Protección DDoS
Si se trata de un ataque Ddos, a veces esto no es suficiente y se activa el escudo de protección Ddos. Nuestras capacidades de supervisión proactiva en tiempo real detectan y eliminan eficazmente los ataques de gran volumen. Cuando nos enfrentamos a un ataque DDoS, DDoS Shield separa el tráfico limpio mientras redirige el ataque a nuestro centro de depuración DDoS. También tenemos Modsecurity activo para su cuenta por defecto, lo que garantiza que las solicitudes sospechosas se filtren inmediatamente.
Cabeceras de seguridad
Las cabeceras de seguridad HTTP son, en mi opinión, una parte fundamental de la seguridad de los sitios web. Si habilita las cabeceras adecuadas a nivel de servidor o de aplicación (WordPress), puede mejorar la resistencia del CMS frente a los ataques más comunes, incluidos los de secuencias de comandos en sitios cruzados (XSS) y clickjacking.
Cuando un usuario visita un sitio a través de su navegador, el servidor responde con cabeceras de respuesta HTTP. Estas cabeceras indican al navegador cómo debe comportarse al comunicarse con el sitio. Aplicando las cabeceras de seguridad adecuadas, se da un buen paso hacia un sitio web más seguro.
PHP endurecido
WordPress recomienda utilizar siempre la última versión de PHP (y nosotros también). Por supuesto, esto no es posible en la práctica porque, por ejemplo, los plug-ins personalizados están escritos para una versión antigua de PHP o los desarrolladores de plug-ins aún no han reescrito su plug-in para la última versión de PHP. Si de todos modos se lleva a cabo una actualización de la versión de PHP, en el peor de los casos se produce un error fatal que hace que el sitio web sea inaccesible. Por este motivo, utilizamos HardenedPHP, una forma de seguir utilizando versiones antiguas de PHP sin comprometer la seguridad.
Versiones muy populares de PHP, utilizadas en casi el 85% de todos los sitios PHP, ya no son soportadas por la comunidad PHP.net. HardenedPHP protege versiones antiguas y no soportadas de PHP – 4.4.9, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 7.0, 7.1, 7.2.
HardenedPHP protege las versiones antiguas y no compatibles de PHP. En esas versiones antiguas, incluidas las ampliamente utilizadas 7.2, 7.1, 7.0 y 5.6, las vulnerabilidades, aunque se descubran, no son parcheadas por la comunidad PHP.net. HardenedPHP se encarga de todo esto.
PHP representa más del 79,2% de todos los scripts del lado del servidor. Debido a este amplio uso de aplicaciones, PHP es constantemente explotado por hackers, dejando los sitios vulnerables.
HardenedPHP mantiene sus clientes y servidores seguros parcheando todas las versiones de PHP contra vulnerabilidades conocidas – incluso aquellas versiones no soportadas por la comunidad PHP.net. Se descubrieron más de 100 vulnerabilidades, muchas de ellas críticas, para versiones de PHP no compatibles. Todos han sido parcheados por CloudLinux.
Copias de seguridad
Si ocurre algo, no te alarmes, podemos restaurar una copia de seguridad inmediatamente. Además de las instantáneas totales de todos los servidores de la plataforma (contra el ransomware), también se realizan copias de seguridad de las instalaciones de WordPress. Como somos partidarios de hacer copias de seguridad de las copias de seguridad, también se hacen copias de seguridad externas en otro centro de datos.
¿Y si pasa algo?
Por defecto, realizamos copias de seguridad diarias de su sitio web WordPress. En el peor de los casos, podemos retroceder en el tiempo hasta el momento en que el sitio web era totalmente funcional.
¿Y si le pasa algo a las copias de seguridad?
También pensamos en eso. Haz siempre copias de seguridad de tus copias de seguridad.
Además de las instantáneas completas, también exportamos nuestras copias de seguridad a otra ubicación segura en otro centro de datos.
Sigue moviéndote
«Asegurar un sitio web es como montar en bicicleta. Para mantener el equilibrio, tienes que seguir moviéndote». Así habría sido la famosa frase de Albert Einstein sobre el ciclismo si hubiera sido un profesional de la ciberseguridad. Afortunadamente (o no), no lo era. Pero siguiendo con la analogía de la bicicleta: no puedes dejar de pedalear. En el momento en que lo haces, la bicicleta se ralentiza y acabas cayendo. Y eso es exactamente lo que queremos evitar. Pero cuando se trata de ciclismo, no todos los pedaleos son iguales. Algunos son suaves, otros duros, algunos te hacen cubrir distancias más cortas mientras que otros te llevan más tiempo.
