Evaluación del enfoque de seguridad del sitio web: una guía simple

Los problemas de seguridad no tienen un extrasezon. Ahora es el momento adecuado para realizar una auditoría de cómo se acerca a la seguridad en los sitios de sus clientes, vale la pena señalar que esta es una batalla que a menudo tendrá que asumir dos frentes. Por un lado, tendrás que luchar directamente contra aquellos que quieran dañar a tus sitios de clientes. Sin embargo, es posible encontrar algunos bloqueos implementados por los propios clientes. La buena noticia es que los requisitos para un sitio seguro y seguro son mínimos y alcanzables.
En esta publicación, analizaremos cómo determinar por qué sus clientes pueden necesitar garantizar la seguridad de su sitio web y cómo discutir este tema con ellos. ¡Hablemos! ¿Por qué sus clientes realmente necesitan que sus sitios sean asegurados? La mayoría de los desarrolladores están en la misma página cuando se trata de seguridad. Sin embargo, para ser muy claro, esto es lo que creemos que son los requisitos mínimos estrictos para un sitio seguro:
Protección contra ataques de fuerza bruta
Uno o más métodos para erradicar el spam (o incluso mejor, detenerlo en la fuente)
Protección del servidor contra ataques maliciosos (y no solo en el nivel de aplicación)
Una conexión HTTPS segura para todos los visitantes
Algunos de estos elementos (especialmente la certificación SSL) podrían considerarse opcionales. Sin embargo, en estos días Google insiste en que el uso de una conexión HTTPS es importante para todos los sitios y en realidad penaliza a aquellos que no cumplen. Por lo tanto, argumentaríamos que se ha convertido en un componente necesario de la seguridad del sitio.
Por supuesto, algunos de sus clientes pueden sentir que esta lista no va lo suficientemente lejos. Las necesidades comerciales de cada cliente jugarán naturalmente un papel en cuánto hace por su sitio, lo que significa que tiene que conversar con ellos. ¿Cómo debe discutir la seguridad del sitio web con sus clientes? La respuesta fácil de esta pregunta es: de la misma manera que discutiría cualquier otro tema esencial para las empresas con sus clientes. Este no es necesariamente un enfoque incorrecto, pero la participación del cliente suele ser una mejor opción. Tener al cliente a bordo, no solo que su plan de seguridad se apruebe más rápido, sino que también ayudará al cliente a administrar solo el sitio en el futuro. En otras palabras, les pide que asuman una cierta responsabilidad de mantener su sitio seguro. Esto es esencial al implementar un enfoque que recibe seguridad, ya que le da a su cliente la autonomía necesaria para desempeñar un papel activo. ¿Qué herramientas requerirán normalmente un sitio seguro? Idealmente, las herramientas que usará serán las mejores opciones disponibles. Por supuesto, esto supone que el presupuesto del cliente está en el apogeo del embarazo. Si el dinero no es una barrera grave, probablemente desee incluir:
Un firewall de aplicación web (WAF) de Juices o CloudFlare, que está frente al servidor y bloquea el tráfico malicioso.
Uno o más complementos premium de WordPress para ayudar a proteger el sitio a nivel de aplicación. Las soluciones como Wordfency y JetPack son excelentes opciones. Una política de seguridad de contenido (CSP). Esta es una opción bastante nueva, pero ofrece una valiosa capa de protección contra ataques de secuencias de comandos de sitios cruzados (XSS).
Un certificado Premium Secure Sockets Layer (SSL) Premium.
Alojamiento de alta calidad, a nivel empresarial. Deberá buscar un experto en alojamiento de WordPress que sepa cómo proteger a sus usuarios.
Por supuesto, puede reducir de esta lista según sea necesario, dependiendo de los requisitos específicos de su cliente y las restricciones presupuestarias. La mayoría de las micro y pequeñas empresas, por ejemplo, pueden manejar lo siguiente:
Un complemento de seguridad de WordPress a nivel de aplicación: gratuito o premium.
Un certificado SSL gratuito y un código abierto, que se puede asegurar fácilmente de Let’s Cifrypt. Esta es una solución máxima con funciones completas, que es compatible con la mayoría de los hosts.

Potencialmente un WAF para protección adicional. Sin embargo, muchos blogs más pequeños renunciarán a este elemento y administrarán el acceso al servidor con sus hosts (que deberían seguir siendo de la más alta calidad).
¿Pero los clientes que son simplemente bloggers pequeños, sin experiencia en diseño, que lo han contratado para llevar a cabo el diseño del imprimador (y la consultoría ad-hoc)? En estas situaciones, es posible que pueda sugerir el uso de complementos como Jetpack y Akismet y dejar todo así.
Finalmente, las herramientas que utiliza para asegurar un sitio estarán dictadas por el presupuesto de cada cliente, el deseo de implementar múltiples técnicas, riesgos potenciales y obligaciones legales. Deberá considerar todos estos factores antes de continuar con un plan de seguridad. ¿Pueden sus clientes trabajar en un sitio seguro sin su contribución? Finalmente, puede preguntarse si sus clientes pueden (y deben) tomar medidas para mejorar la seguridad del sitio por su cuenta. La respuesta simple es: ¡por supuesto! De hecho, un cliente puede hacer mucho para completar un plan de seguridad robusto y bien implementado. Algunas de estas técnicas no son suficientes para dejar de piratear completamente o ataques maliciosos en un sitio. Aun así, pueden ayudar a los clientes a desarrollar un enfoque para recibir seguridad al administrar sus sitios web:
Como siempre, es importante usar contraseñas fuertes y seguras.
El nombre de usuario debe ser relativamente “inquebrantable”, con los roles de usuario correctamente restringidos.
La gestión de spam es vital, porque al hacer clic en los enlaces no deseados en los comentarios y enviar los formularios de contacto puede llevar un sitio a la rodilla.
Para clientes más ambiciosos, hay muchos fragmentos de código disponibles que se ingresan en el archivo .htaccess y ayuda a proteger un sitio debajo del capó.
Por supuesto, es posible que desee trabajar en estrecha colaboración con su cliente en estas tareas al principio, especialmente la última. Incluso pueden ser pasos que usted está a cargo de cuidarse, y esto está bien. Después de todo, lo más importante es que el sitio del cliente es lo más seguro posible, y tomar el control de la situación puede ser la mejor manera de hacerlo. Concluye la seguridad de los sitios web de sus clientes es una de sus responsabilidades más importantes. Afortunadamente, muchos clientes ya tienen una idea de lo que se necesita para ejecutar un sitio web seguro. Aun así, sin embargo, es inteligente tener una discusión sobre este tema, por lo que puede ir a una configuración segura que conozca. Cuando se trata de discutir la seguridad del sitio con sus clientes, le recomendamos que aborde esta tarea de la misma manera que administra otras decisiones comerciales críticas. Finalmente, cada cliente debe tener una manera de proteger su servidor, sitio y contenido de intención maliciosa. El alojamiento de estrellas también es un componente clave, así como la multitud de complementos de seguridad de WordPress.
¿Cómo discute la seguridad del sitio con sus clientes? ¡Háganos saber en la sección de comentarios! Imagen presentada: Pixabay.