En los últimos años ha habido una proliferación de excelentes herramientas y servicios en el espacio de desarrollo web. Sistemas de gestión de contenido (CMS) como WordPress, Joomla !, Drupal y tantos otros permiten a los empresarios a construir de forma rápida y eficiente sus presencias en línea. Sus arquitecturas altamente extensibles, rica de plugins, módulos, ecosistema extensión han hecho más fácil que nunca para conseguir un sitio web en funcionamiento sin años de aprendizaje requerido. Esto es indudablemente una gran cosa; sin embargo, un efecto secundario inoportuno es que ahora hay muchos administradores de Web que no entienden cómo asegurarse que su sitio web es seguro, o incluso entender la importancia de asegurar su sitio web. En este post quiero compartir con ustedes los 10 pasos todos los webmasters, propietarios de sitios web, pueden, y deben, tomar para mantener su sitio web seguro. 1 – Actualiza, Actualiza, Actualiza! Esto es algo que no podemos hacer suficiente hincapié aquí en Sucuri. Innumerables sitios web están en peligro todos los días debido al software obsoleto e inseguro utilizado para ejecutarlos. Es increíblemente importante actualizar su sitio tan pronto como un nuevo plugin o la versión de CMS está disponible. La mayoría de hacking en estos días es totalmente automático, con los robots constantemente escaneando cada sitio buscando oportunidades de explotación. 2 – Las Contraseñas Trabajando en los sitios del cliente, a menudo necesito iniciar sesión en su sitio / servidor utilizando sus datos de usuario de administrador. Con frecuencia estoy preocupado por lo inseguro que sus contraseñas de raíz son. Es un poco de miedo que tengo que decir esto, pero admin / admin no es un nombre de usuario y una contraseña segura. Si su contraseña aparece en esta lista de las contraseñas más comunes, se garantiza que su sitio será hackeado en algún momento. 3 – Un Sitio = Un Servidor Entiendo la tentación. Usted tiene un plan de web “ilimitado” de alojamiento y averiguar por qué no aloja sus numerosos sitios en un solo servidor. Por desgracia, esta es una de las peores prácticas de seguridad que veo con frecuencia. Hosting muchos sitios en el mismo lugar crea una superficie de ataque muy grande. 4 – Acceso de Usuario Sensible Esta regla sólo se aplica a los sitios que tienen varios accesos. Es importante que cada usuario tenga el permiso adecuado que necesitan para hacer su trabajo; si requieren permisos de escalada momentáneamente, otorgarlo, y reduzca una vez que el trabajo esté completo. Este es un concepto conocido como Menos Privilegiada. 5 – Cambiar la Configuración Predeterminada de la CMS! Las aplicaciones CMS de hoy, aunque fácil de usar, son horribles desde una perspectiva de seguridad para los usuarios finales. Los ataques más comunes contra sitios web son totalmente automatizados, y muchos de estos ataques se basan en la configuración predeterminada que se utiliza. Esto significa que usted puede evitar un gran número de ataques simplemente cambiando la configuración predeterminada durante la instalación del CMS de elección. 6 – Selección de Extensión Una de las cosas bellas acerca de aplicaciones CMS de hoy es que es extensibilidad. Lo que la mayoría no se dan cuenta sin embargo es que, ese mismo extensibilidad es su mayor debilidad. Hay una enorme cantidad de plugins, add-ons y extensiones que proporcionan prácticamente cualquier funcionalidad que pueda imaginar. Sin embargo la realidad es que a veces la enorme cantidad de extensiones puede ser un arma de doble filo. A menudo hay varias extensiones que ofrecen una funcionalidad similar, así que ¿cómo saber cuál de ellos para instalar? Estas son las cosas que siempre miro la hora de decidir qué extensiones para su uso. Instalar SSL En realidad soy de dos mentes sobre si procede o no incluir este punto porque ha habido tantos artículos incorrectamente indicando que la instalación de SSL va a resolver todos sus problemas de seguridad. SSL no hace nada para proteger a su sitio contra cualquier ataque malicioso, o que deje de distribuir malware. SSL encripta la comunicación entre el Punto A y el Punto B – el servidor