Evitar la infección de software malicioso

Para que tu sitio web no se vea infectado en ningún momento por software malicioso, es necesario estar constantemente en alerta. En este artículo se ofrecen sugerencias e indicaciones para evitar este tipo de infecciones. No obstante, no se trata de una lista exhaustiva, por lo que Google recomienda que los webmasters realicen también una investigación más exhaustiva.

Supervisar el buen estado del sitio

Hay muchas funciones de Search Console que te permiten identificar posibles problemas. Por ejemplo:

  • Busca tu sitio web en Google con el operador site: para saber qué páginas de tu sitio ha encontrado Google. Te recomendamos que lo hagas periódicamente para comprobar si alguien ha añadido alguna página o contenido de tu sitio web. Si ves páginas desconocidas en tu sitio web o entradas que no has escrito tú, es probable que lo hayan pirateado. Si todavía no conoces el operador site:, debes saber que puedes utilizarlo para limitar la búsqueda a un sitio web específico. Por ejemplo, si buscas site:googleblog.blogspot.com, solo se devolverán resultados del blog oficial de Google.
  • En el informe "Problemas de seguridad" se muestran las páginas hackeadas que Google haya detectado en tu sitio web y se incluyen instrucciones para solucionar el problema.
  • Si Google detecta software malicioso en tu sitio web, se mostrará una notificación en la página de inicio de Search Console y te enviaremos un mensaje al centro de mensajes. Para asegurarte de que recibes la información rápidamente, puedes hacer que los mensajes del centro de mensajes se reenvíen a tu cuenta de correo electrónico.

Lista de comprobación de seguridad

Además de supervisar el sitio con regularidad, también es recomendable realizar las siguientes acciones:

Todos los webmasters

  • Elige contraseñas adecuadas. Puede serte muy útil consultar las directrices de cuenta de Google.
  • Selecciona cuidadosamente a los proveedores externos de contenido. Si estás pensando en instalar una aplicación procedente de un tercero como, por ejemplo, un widget, un contador o una red de anuncios, asegúrate de realizar las comprobaciones necesarias. El espacio publicitario se distribuye con frecuencia a otras partes que el propietario del sitio web no conoce. Aunque existe una gran cantidad de contenido externo en la Web, los proveedores también pueden utilizar estas aplicaciones para dirigir contenido malicioso (por ejemplo, secuencias de comandos peligrosas) a los visitantes del sitio. Asegúrate de que la aplicación proceda de una fuente de confianza. ¿El sitio web es legítimo e incluye información de contacto y de asistencia?; ¿han utilizado otros webmasters el servicio?
  • Ponte en contacto con tu empresa de alojamiento o con tu plataforma de publicación para obtener asistencia. La mayoría de las empresas disponen de grupos de asistencia útiles y receptivos o de páginas de seguridad. Si un sitio o una página de seguridad tiene un feed RSS, suscríbete a él para asegurarte de estar siempre al día.
  • Mantén a salvo tus equipos. En especial cuando trabajes en un sitio web, asegúrate de que la estación de trabajo local disponga de software actualizado, de que no tenga virus, troyanos u otro software malicioso similar y de que tenga instalado un antivirus que se haya actualizado recientemente.

Webmasters con acceso al servidor

  • Comprueba la configuración del servidor. Puedes consultar algunos consejos de configuración de seguridad en el sitio web de Apache y ver algunos recursos del centro de tecnología para IIS en el de Microsoft. Algunas de estas sugerencias contienen información sobre encriptación, autenticación, inclusiones de servidor y permisos de directorio.
  • Realiza una copia de seguridad del archivo .htaccess (o de otros mecanismos de control de acceso, en función de cuál sea la plataforma del sitio web). Utiliza el archivo de copia de seguridad para recuperar el contenido en caso de que no funcionen las soluciones que se ofrecen a continuación. Asegúrate de eliminar el archivo de copia de seguridad cuando hayas terminado.
  • Asegúrate de que el software esté al día en lo referente a los últimos parches y actualizaciones de seguridad. Existen muchas herramientas que facilitan la creación de sitios web, pero cada una añade el riesgo de que se produzca una vulnerabilidad de la seguridad del sitio. Una trampa en la que caen habitualmente muchos webmasters es en instalar un foro o un blog en su sitio web y olvidarse de él. Asegúrate de que dispones de las actualizaciones más recientes de todos los programas de software que hayas instalado, igual que te ocupas de pasar las revisiones técnicas del coche. Haz una lista de todos los complementos y del software que utilices en el sitio y realiza un seguimiento de las actualizaciones y de los números de versión. Incluso estando siempre atento y manteniendo todos los componentes del sitio web actualizados, existe la posibilidad de que el sitio sea vulnerable si tu proveedor de alojamiento web no ha instalado las revisiones más recientes del sistema operativo. Este problema no afecta únicamente a pequeños sitios web, sino también a sitios web de entidades bancarias, de equipos deportivos, de empresas y de organismos gubernamentales.
  • Consulta periódicamente los archivos de registro. Convertir esta comprobación en un hábito permite obtener muchos beneficios, uno de los cuales es el aumento de la seguridad. Por ejemplo, los parámetros de URL desconocidos (como "=http:" o "=//") o los picos de tráfico que redirigen URLs a tu sitio web pueden indicar que un hacker está se está aprovechando de las redirecciones abiertas. Ten en cuenta también que los hackers intentan alterar a menudo los archivos de registro. Toma medidas para proteger estos archivos de posibles ataques. Por ejemplo, puedes trasladar los archivos a una ubicación distinta de la predeterminada para que los hackers tengan más dificultades para encontrarlos.
  • Comprueba si se ha producido alguna vulneración habitual de la seguridad en tu sitio web. Procura no tener directorios con permisos abiertos, del mismo modo que no dejarías abierta la puerta principal de tu casa.

    Comprueba también si hay vulnerabilidades de XSS (cross-site scripting) y de inyección de código SQL.

  • Utiliza protocolos seguros. Google recomienda que, para transferir datos, se utilicen SSH y SFTP, y no protocolos de texto sin formato como telnet o FTP. Los protocolos SSH y SFTP utilizan cifrado y son mucho más seguros.
  • Mantente al tanto de las noticias de seguridad más recientes. En el blog Google Online Security Blog encontrarás información útil acerca de la seguridad en Internet, así como enlaces a otros recursos. El sitio web gubernamental US-CERT (Equipo de preparación de emergencias informáticas de Estados Unidos) ofrece sugerencias y alertas sobre seguridad técnica.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?