Evitar la infección de software malicioso

Para que tu sitio no se vea infectado en ningún momento por software malicioso, es necesario estar constantemente en alerta. En este artículo se incluyen sugerencias e indicaciones para evitar este tipo de infecciones. No obstante, no se trata de una lista exhaustiva, por lo que recomendamos que los propietarios de sitios web investiguen el tema más a fondo por su cuenta.

Monitorizar el buen estado de un sitio

Hay muchas funciones de Search Console que te permiten identificar posibles problemas. Por ejemplo:

  • Haz una búsqueda en Google con el operador de búsqueda site: para ver qué páginas hemos encontrado en tu sitio. Te recomendamos que lo hagas periódicamente para comprobar si alguien ha añadido alguna página o contenido de tu sitio. Si ves páginas desconocidas en tu sitio o entradas que no has escrito tú, es posible que lo hayan pirateado. Si todavía no conoces el operador de búsqueda site:, debes saber que puedes utilizarlo para limitar la búsqueda a un sitio específico. Por ejemplo, si buscas site:developers.google.com, solo verás resultados del sitio de Google Developers.
  • En el informe "Problemas de seguridad" se muestran las páginas hackeadas que Google haya detectado en tu sitio y se incluyen instrucciones para solucionar el problema.
  • Si Google detecta software malicioso en tu sitio, se mostrará una notificación en el panel de mensajes de Search Console. Para que recibas la información rápidamente, puedes hacer que esos mensajes se reenvíen a tu cuenta de correo.

Lista de comprobación de seguridad

Además de monitorizar el sitio con regularidad, también te recomendamos que sigas los consejos de esta lista:

Todos los propietarios de sitios web

  • Elige contraseñas seguras. Puede serte muy útil consultar las directrices para cuentas de Google.
  • Selecciona cuidadosamente a los proveedores externos de contenido. Asegúrate de que las aplicaciones y los anuncios de terceros de tu sitio proceden de fuentes legítimas y de confianza. Una fuente legítima y de confianza proporciona información de contacto y asistencia en su sitio web.
  • Ponte en contacto con tu empresa de alojamiento o con tu plataforma de publicación para que te ayuden. La mayoría de las empresas disponen de grupos de asistencia útiles y dispuestos a colaborar o de páginas de seguridad. Si un sitio o una página de seguridad tiene un feed RSS, suscríbete a él para estar siempre al día.
  • Mantén a salvo tus equipos. Sobre todo cuando estés trabajando en un sitio web, es importante que la estación de trabajo local tenga el software actualizado, que no tenga virus, troyanos ni otro software malicioso similar y que tenga instalado un antivirus que se haya actualizado recientemente.

Propietarios de sitios web con acceso al servidor

  • Comprueba la configuración de tu servidor. Puedes consultar algunos consejos de configuración de seguridad en el sitio de Apache y ver algunos recursos del centro de tecnología para IIS en el de Microsoft. Algunas de estas sugerencias contienen información sobre permisos de directorio, lenguaje Server Side Includes, autenticación y cifrado.
  • Haz una copia de seguridad de tu archivo .htaccess (o de otros mecanismos de control de acceso, en función de cuál sea la plataforma del sitio web). Utiliza el archivo de copia de seguridad para recuperar el contenido en el caso de que no funcionen las soluciones que se ofrecen a continuación. Acuérdate de eliminar el archivo de copia de seguridad cuando hayas terminado.
  • Asegúrate de que el software esté al día en lo referente a los últimos parches y actualizaciones de seguridad. Hay muchas herramientas que facilitan la creación de sitios web, pero todas añaden cierto riesgo de que se vulnere la seguridad del sitio. Una trampa en la que suelen caer muchos propietarios es instalar un foro o un blog en su sitio web y olvidarse de él. Debes comprobar que tienes las actualizaciones más recientes de todos los programas de software que hayas instalado, del mismo modo que te ocupas de pasar las revisiones técnicas del coche. Crea una lista con todos los complementos y todo el software que utilices en el sitio y haz un seguimiento de las actualizaciones y de los números de versión. Aunque estés siempre alerta y mantengas todos los componentes de tu sitio web actualizados, existe la posibilidad de que el sitio sea vulnerable si tu proveedor de alojamiento web no ha instalado los parches más recientes del sistema operativo. Este problema no solo afecta a los sitios pequeños, sino también a sitios web de entidades bancarias, equipos deportivos, empresas y organismos gubernamentales.
  • Consulta periódicamente los archivos de registro. Convertir esta comprobación en un hábito permite conseguir muchos beneficios como un aumento de la seguridad. Por ejemplo, si hay parámetros de URL desconocidos (como =http: o =//) o picos de tráfico que redirigen URLs a tu sitio, es posible que haya un hacker aprovechándose de las redirecciones abiertas. Ten en cuenta también que los hackers intentan a menudo alterar los archivos de registro. Toma medidas para proteger estos archivos de posibles ataques. Por ejemplo, puedes trasladar los archivos a una ubicación que no sea la predeterminada para que los hackers tengan más dificultades para encontrarlos.
  • Comprueba si se ha producido alguna vulneración habitual de la seguridad en tu sitio. Procura no tener directorios con permisos abiertos, del mismo modo que no dejarías abierta la puerta principal de tu casa.

    Comprueba también si hay vulnerabilidades de XSS (cross-site scripting) y de inserción de código SQL.

  • Utiliza protocolos seguros. Google recomienda que, para transferir datos, se utilicen SSH y SFTP, y no protocolos de texto sin formato como telnet o FTP. Los protocolos SSH y SFTP utilizan cifrado y son mucho más seguros.
  • Mantente al tanto de las noticias más recientes relacionadas con la seguridad. En Google Security Blog encontrarás información útil acerca de la seguridad en Internet, así como enlaces a otros recursos. El sitio gubernamental US-CERT, del equipo de preparación de emergencias informáticas de Estados Unidos, incluye consejos y avisos sobre seguridad técnica.

Si utilizas Search Console y en tu sitio hay problemas de seguridad persistentes o que no puedes solucionar, ponte en contacto con nosotros.

Notifica un problema de seguridad