Las PYME también son objetivo de los ciberdelincuentes.
En los últimos dos años, ha habido bastantes informes de empresas cuyos sitios web fueron «tumbados» por ciberdelincuentes.
Sólo después de pagar fuertes sumas de dinero, la empresa en cuestión volvió a ser accesible a sus clientes.
Recientemente, una cadena de clínicas dentales y, en primavera, Artis, en Ámsterdam.
En ambos casos, el impacto fue enorme.
Los negocios se ven completamente perturbados en esos momentos.
«Mi empresa es demasiado pequeña para conseguir nada»
Muchos empresarios pensarán esto y, como resultado, las cosas pueden salir mal.
Esto se debe a que los ciberdelincuentes buscan el camino de menor resistencia y sólo entonces ven qué pueden conseguir.
Incluso si el rescate en el caso del ransomeware no es tan malo y vuelves a funcionar rápidamente, queda por ver qué se hará con la información de los clientes almacenada en la base de datos del sitio web.
La seguridad es más importante que una baja cuota mensual de alojamiento
Los empresarios de PYME suelen hacer una inversión razonable en desarrollar un buen sitio web.
Con demasiada frecuencia, esto implica elegir un alojamiento barato para mantener bajos los costes mensuales recurrentes.
Un buen ejemplo de cómo lo barato al final sale caro.
¿Cuáles son los principales problemas de seguridad en el alojamiento?
Cuando se trata de la seguridad de un sitio web (WordPress), hay varias cosas de las que hay que ocuparse adecuadamente:
- Actualizaciones seguras de plantillas, plug-ins y del propio núcleo de WordPress;
- Escaneos regulares de malware a nivel de servidor;
- Un cortafuegos basado en software y hardware;
- Protección DDoS adicional;
- Uso de la última versión de PHP (HardenedPHP);
- Copias de seguridad externas periódicas.
Al final de este blog puedes leer lo que esto significa punto por punto
¿Pero seguro que todos los proveedores de alojamiento lo ofrecen?
Ojalá fuera cierto.
Se podría pensar que es evidente que todas las empresas de alojamiento lo ofrecen por defecto.
Por desgracia, ¡no es así!
La razón por la que las empresas de alojamiento no toman estas medidas es:
- Se necesitan más recursos (y, por tanto, dinero) para establecer y mantener análisis de malware, servidores de copia de seguridad y rutinas;
- Las copias de seguridad adicionales también requieren espacio adicional en el servidor, que prefieren vender a los clientes de alojamiento.
- Adaptar el cortafuegos/modelo de seguridad específicamente a cada sitio web requiere más tiempo
- No todos los proveedores de alojamiento están especializados en WordPress
Además, parte del trabajo se ofrece como opción o se deja fuera de la suscripción para poder ofrecer alojamiento barato.
El alojamiento gestionado de WordPress ofrece una solución
Así que tanto los usuarios finales como los desarrolladores de sitios web tienen mucho que hacer en materia de seguridad.
Para el primero, esto se produce a expensas de hacer negocios y para el diseñador, a expensas de su creatividad.
Precisamente por esta razón, en 2015 empezamos a ofrecer alojamiento gestionado de WordPress.
Ofreciendo como un servicio completo todas las cosas que nosotros mismos como desarrolladores nos habíamos encontrado desde 2009, pero que queríamos hacer bien para mis clientes.
Siempre contacto personal¡!
Así pues, WP Provider nació de la necesidad personal de disponer de lo último en alojamiento y contacto personal cuando importa.
Por y para entusiastas de WordPress.
Y esto último sigue siendo factible ofreciendo este servicio sólo a través de diseñadores web.
Nosotros nos centramos al 100% en el alojamiento y el diseñador en el diseño para su cliente.
Si tienes alguna pregunta al respecto.
Entonces no dudes en llamarnos para hablar de las posibilidades.
Marco Kroon
__________________________________________________________
Para los amantes de la comida…
Como te prometí, a continuación encontrarás otra explicación de los seis puntos clave para un sitio web seguro:
Análisis de malware Malware significa «software malicioso». Es un término extendido para el código malicioso que los hackers utilizan para obtener acceso no autorizado o causar daños a tu sitio web WordPress.
En la mayoría de los casos, un bot o hacker aprovechará una vulnerabilidad de seguridad.
Si un plugin ya no recibe soporte de sus desarrolladores y, por tanto, no se publican actualizaciones para él, es importante tomar medidas activas al respecto.
Sin duda quieres evitar que tu sitio web reciba una penalización SEO por parte de Google, por lo que realizamos varios escaneos a nivel de servidor, incluida nuestra herramienta de escaneo WP eXploit, que escanea activamente los archivos cuando se suben al servidor mediante FTP o a través de WordPress directamente, por ejemplo.
Puede detectar archivos sospechosos en el servidor y evitar que la mayoría (con la excepción de los zero-days (los exploits desconocidos) se suban o ejecuten en el servidor. Cortafuegos basado en software y hardware Mediante nuestra solución de cortafuegos, se cierran los puertos no utilizados, se protege el acceso a determinados servicios y se analizan continuamente los registros en busca de actividad sospechosa, como un número sospechoso de intentos de inicio de sesión en WordPress o en los buzones de correo electrónico.
Las direcciones IP y los rangos se incluyen en listas negras para detener el ataque.
Reconoce muchos ataques diferentes, como escaneos de puertos, inundaciones SYN y ataques de fuerza bruta.
Protección DDoS
Si se trata de un ataque Ddos, a veces esto no es suficiente y se activa el escudo de protección Ddos.
Nuestra capacidad de supervisión proactiva en tiempo real detecta y elimina eficazmente los ataques de gran volumen.
Cuando nos enfrentamos a un ataque DDoS, el Escudo DDoS separa el tráfico limpio mientras redirige el ataque a nuestro centro de depuración DDoS.
También tenemos Modsecurity activo por defecto para tu cuenta, lo que garantiza que las solicitudes sospechosas se filtren inmediatamente.
Cabeceras de seguridad
Las cabeceras de seguridad HTTP son, en mi opinión, una parte fundamental de la seguridad de un sitio web.
Habilitando las cabeceras adecuadas a nivel de servidor o de aplicación (WordPress), puedes mejorar la resistencia del CMS frente a ataques comunes, como el cross-site scripting (XSS) y el clickjacking.
Cuando un usuario visita un sitio a través de su navegador, el servidor responde con Cabeceras de Respuesta HTTP.
Estas cabeceras indican al navegador cómo debe comportarse al comunicarse con el sitio.
Aplicando las cabeceras de seguridad adecuadas, das un buen paso hacia un sitio web más seguro.
PHP endurecido
WordPress recomienda utilizar siempre la última versión de PHP (y nosotros también).
Por supuesto, en la práctica esto no es posible porque, por ejemplo, los plug-ins personalizados están escritos para una versión de PHP más antigua o los desarrolladores de plug-ins aún no han reescrito sus plug-ins para la última versión de PHP.
Si de todos modos se lleva a cabo una actualización de la versión de PHP, el peor de los casos es que se produzca un error fatal que haga que el sitio web sea inaccesible.
Por esta razón, utilizamos HardenedPHP, una forma de seguir utilizando versiones antiguas de PHP sin comprometer la seguridad.
Versiones muy populares de PHP, utilizadas en casi el 85% de todos los sitios PHP, ya no están soportadas por la comunidad PHP.net.
HardenedPHP asegura las versiones antiguas y no soportadas de PHP – 4.4.9, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 7.0, 7.1, 7.2.
HardenedPHP protege las versiones antiguas y no soportadas de PHP.
En esas versiones antiguas, incluidas las ampliamente utilizadas 7.2, 7.1, 7.0 y 5.6, las vulnerabilidades, aunque se descubran, no son parcheadas por la comunidad PHP.net.
HardenedPHP se encarga de todo esto.
PHP representa más del 79,2% de todos los scripts del lado del servidor.
Debido a este amplio uso de la aplicación, PHP es constantemente explotado por los hackers, dejando los sitios vulnerables.
HardenedPHP mantiene seguros a tus clientes y servidores parcheando todas las versiones de PHP contra vulnerabilidades conocidas, incluso las versiones no soportadas por la comunidad PHP.net.
Se han descubierto más de 100 vulnerabilidades, muchas de ellas críticas, para versiones de PHP no soportadas.
Todas ellas han sido parcheadas por CloudLinux.
Copias de seguridad
Si ocurre algo, no te alarmes, podemos restaurar una copia de seguridad para ti inmediatamente.
Además de las instantáneas totales de todos los servidores de la plataforma (contra el ransomware), también se hacen copias de seguridad de las instalaciones de WordPress.
Como somos partidarios de hacer copias de seguridad de las copias de seguridad, también se hacen copias de seguridad externas en otro centro de datos.
¿Y si ocurre algo?
Por defecto, hacemos copias de seguridad diarias de tu sitio web WordPress.
En el peor de los casos, podemos retroceder en el tiempo hasta el momento en que el sitio web era totalmente funcional.
¿Y si les pasa algo a las copias de seguridad? También hemos pensado en eso.
Haz siempre copias de seguridad de tus copias de seguridad.
Además de las instantáneas completas, también exportamos nuestras copias de seguridad a otra ubicación segura en otro centro de datos.
Sigue moviéndote
«Asegurar un sitio web es como montar en bicicleta. Para mantener el equilibrio, tienes que seguir moviéndote». Así habría sido la famosa cita de Albert Einstein sobre el ciclismo si hubiera sido un profesional de la ciberseguridad. Afortunadamente (o no), no lo era. Pero siguiendo con la analogía de la bicicleta: no puedes dejar de pedalear. En el momento en que lo haces, la bicicleta se ralentiza y acabas cayendo. Y eso es exactamente lo que queremos evitar. Pero cuando se trata de ciclismo, no todos los golpes de pedal son iguales. Algunos son suaves, otros duros, algunos te hacen recorrer distancias más cortas mientras que otros te llevan más tiempo.