Qué hacer si tu web ha sido hackeada

Qué hacer si tu web ha sido hackeada

Después del ciberataque producido este pasado viernes en todo el mundo, las alertas sobre la seguridad en la web han saltado de nuevo.

Como ya os explicábamos en el artículo “9 herramientas para analizar la seguridad de tu página web”, no existe sitio web en el mundo, por muy potente y seguro que sea, que no pueda ser hackedo.
Por eso hoy vamos a daros algunos consejos para protegerla y qué debes hacer en el caso de que tu página web sufra un ciberataque.

Como bien sabemos todos los que nos dedicamos al diseño de páginas web para empresas cada mes se producen más de 1000 millones de ciberataques y debemos estar protegidos contra ellos.

El panorama del delito cibernético es muy extenso y va desde malware, hacking y phishing hasta ataques DDoS, troyanos o ataques de ingeniería social.

La empresa de hosting SiteGround llevó a cabo un estudio analizando páginas webs alojadas en sus servidores de todo tipo: blogs, ecommerce, páginas de empresas, etc.

En sólo un mes, cada web sufrió una media de 5.000 ataques, aunque hay que decir que el 99,99% de ellos son neutralizados a nivel de servidor.

Los ciberdelincuentes utilizan estos principales métodos para intentar hackearte:

Ataques de fuerza bruta, probando millones de combinaciones de usuario y contraseña para intentar acceder al panel de administración de la página web de nuestro negocio y apoderarse de ella.

Vulnerabilidades en plugins, versiones anticuadas del CMS y aplicaciones web (por no actualizar)

Ataques de denegación de servicio (DOS y DDOS) Tumbar la página web y hacerla inaccesible, este es uno de los ataques más habituales y uno de los que más utilizan los hacktivistas sociales, por lo que nos sonará de haber oído más de una vez que estos activistas han tumbado alguna página gubernamental o la página web de alguna organización como apoyo a alguna causa. Esto se hace por medio de estos ataques DOS y DDOS.

Instalación de malware que propaga archivos maliciosos o publicidad no consentida

Consejos para proteger tu página web

Protege tu pc. Asegurarte de que tu ordenador o servidor con el que trabajas cuenta con un firewall y antivirus actualizado. El firewall es un cortafuego impedirá que alguien se conecte y maneje tu pc desde el suyo si no tiene permiso para ello.

• Cuida la página web de tu negocio o tu empresa como se merece y ten en cuenta que es una de tus tarjetas de presentación más importantes. ¿Dejarías que alguien entrase en tu listado de clientes o en tu facturación y campase a sus anchas? ¿O que alguien diese una mala imagen de tu negocio poniendo basura en su fachada?. pues eso nos podemos encontrar si no cuidamos y mimamos nuestra página web. Actualiza siempre todo, CMS, plantillas, aplicaciones, plugins…Taparás agujeros de seguridad con los últimos parches. Si hay plugins que no usas, recuerda que desactivarlos no es suficiente para evitar que los hackers los usen para atacar tu sitio web: y preferiblemente eliminarlos.

• ¿Sabías que la contraseña más utilizada en todo el planeta es la secuencia “123456”? Alucina vecina. Las contraseñas deben ser robustas, al igual que en todos los dispositivos, no utilices nombres que vengan por defecto, ni datos tuyos. Mezcla mayúsculas, minúsculas, números y símbolos, un truco muy útil y autóctono es añadir una ñ a nuestra contraseña, ya que los robots no suelen descubrirla. Cuanta más larga y complicada sea la contraseña, más difícil será descubrirla. Se recomienda mínimo 8 caracteres. Y, por supuesto, no la compartas nunca. Una de las reglas de oro para crear una contraseña segura, es que no se encuentre en el diccionario.

Crea copias de seguridad a menudo y guárdalas en un disco externo.

Revisa de vez en cuando los permisos a los usuarios que acceden. A veces se cuelan hackers que han estado actuando durante meses sin que el administrador de la página web lo sepa
Revisa los permisos de acceso a tus carpetas o archivos del hosting en el que esté alojado tu web y asegúrate de que sólo se pueden modificar aquellos que realmente lo necesitan.

• Instala una regla .htaccess para restringir el acceso a tu panel de administración desde sólo algunos sitios, como tu propio ordenador o el de tus colaboradores.

Pon un código de imagen integrado. Son los famosos captchas. Estos pequeños módulos comprueban si una persona real o un ordenador intentan transmitir datos a través de la página web. Existen herramientas como reCapture que te ayudan a crear estos sencillos módulos.

Encripta tu sitio con SSL. Para proteger el intercambio de información, lo mejor es mediante un certificado SSL, te encripta la transferencia de datos para que los usuarios no autorizados no pueden seguirla. Así podrás proteger la privacidad de tus usuarios, algo especialmente útil si tu página web es una tienda online o empresa.

Jose Ramón Padrón, director de SiteGround en España explica: “este estudio muestra que la seguridad a la hora de hacer una página web debe ser prioritaria, igual que el mantenimiento periódico de un vehículo. Se trata de una batalla continua entre tu negocio, tienda online o blog y los ciberdelincuentes. El secreto está en contar con un plan B si finalmente sufres un ataque y eso sólo lo consigues siendo precavido.”

Si tu página web es hackeada, recupérala

Si has tenido la mala suerte de ser hackeado, hay que poner solución al problema. la empresa de hosting y dominios SiteGroup nos da las siguientes 7 pautas

• Lo primero y más importante es no entrar en pánico y mantener la calma.

Crea una copia de la página web hackeada y del registro de actividad de los últimos tres meses para analizarlo con posterioridad

• Pon la página web en cuarentena, alertando también a los buscadores para que no penalice tu posición en los mismos.

Borra los archivos maliciosos escaneando tu copia de seguridad con un antivirus y un antimalware, o recurriendo a una empresa de diseño web o de seguridad.

Revisa la actividad de tu site para identificar la fuente del ataque o puerta de entrada.

• Resuelve la brecha o vulnerabilidad que provocó el problema para evitar que se repita, borrando los pluging o vías de acceso inseguras.

• Quita la cuarentena a tu sitio.

Todo ataque informático hay que denunciarlo. Es necesario reunir todo tipo de datos posibles sobre el atacante, si es posible, mediante un peritaje informático, de modo que pueda ponerse a disposición de la justificación por violación de tu privacidad.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: