Cómo evitar la infección con software malintencionado

Para que su sitio no se vea infectado en ningún momento por software malintencionado, es necesario que permanezca en alerta constantemente. En este artículo se ofrecen sugerencias e indicaciones para evitar este tipo de infecciones. No obstante, no se trata de una lista exhaustiva, por lo que Google recomienda que los webmasters realicen también una investigación más exhaustiva.

Supervisión del buen estado de su sitio

Muchas de las funciones de las Herramientas para webmasters de Google pueden ayudarle a identificar posibles problemas. Por ejemplo:

  • Si se realiza una búsqueda con "site:", se puede ver lo que se ha indexado. Siempre es buena idea comprobar el buen estado del sitio para asegurarse de que todo tenga un aspecto normal. Si todavía no está familiarizado con el operador "site:", debe saber que puede utilizarlo para limitar la búsqueda a un sitio específico. Por ejemplo, si realiza una búsqueda con site:googleblog.blogspot.com, únicamente obtendrá resultados del blog oficial de Google.

  • La página Consultas de búsqueda incluye palabras clave significativas que Google ha encontrado en el sitio. Si aparecen palabras clave inesperadas (como, por ejemplo, "Viagra") en la lista, es probable que las páginas se hayan puesto en peligro.

  • En la página Software malicioso de la opción de estado, se incluyen algunas URL de ejemplo del sitio en las que se ha detectado código malicioso. Siempre que sea posible, la página incluirá también ejemplos del código que presenta el problema.

  • La herramienta Explorar como Google permite ver una página de la misma forma que lo hacen los rastreadores de Google. Si sospecha que una página está infectada, puede utilizar esta herramienta para detectar lo que verá Googlebot.

  • Si Google detecta software malintencionado en su sitio, se lo notificaremos a través de la página principal de las Herramientas para webmasters de Google y le enviaremos un mensaje al Centro de mensajes. (Para asegurarse de recibir la información rápidamente, puede hacer que los mensajes del Centro de mensajes se reenvíen a su cuenta de correo electrónico).

Lista de comprobación de seguridad

Además de supervisar el sitio con regularidad, también es recomendable realizar las siguientes acciones:

Todos los webmasters

  • Seleccione contraseñas adecuadas. Las directrices de Gmail pueden serle de utilidad.

  • Seleccione cuidadosamente a los proveedores externos de contenido. Si está pensando en instalar una aplicación procedente de un tercero como, por ejemplo, un widget, un contador o una red de anuncios, asegúrese de realizar las comprobaciones necesarias. El espacio publicitario se distribuye con frecuencia a otras partes que el propietario del sitio web no conoce. Aunque existe una gran cantidad de contenido externo en la Web, los proveedores también pueden utilizar estas aplicaciones para dirigir contenido malintencionado (por ejemplo, secuencias de comandos peligrosas) a los visitantes del sitio. Asegúrese de que la aplicación proceda de una fuente de confianza. ¿El sitio web es legítimo e incluye información de contacto y de asistencia?; ¿han utilizado otros webmasters el servicio?

  • Póngase en contacto con su empresa de alojamiento o con su plataforma de publicación para obtener asistencia. La mayoría de las empresas disponen de grupos de asistencia útiles y receptivos o de páginas de seguridad. Si un sitio o una página de seguridad tiene un feed RSS, suscríbase a él para asegurarse de estar siempre al día.

  • Mantenga a salvo sus equipos. En especial cuando trabaje en un sitio web, asegúrese de que su estación de trabajo local disponga de software actualizado, de que no tenga virus, troyanos u otro software malintencionado similar y de que tenga instalado un antivirus que se haya actualizado recientemente.

Webmasters con acceso al servidor

  • Compruebe la configuración de su servidor. El sitio de Apache incluye algunas sugerencias de configuración de seguridad y el de Microsoft contiene algunos recursos del centro técnico para IIS. Algunas de estas sugerencias contienen información sobre encriptación, autenticación, inclusiones de servidor y permisos de directorio.

  • Realice una copia de seguridad del archivo .htaccess (o de otros mecanismos de control de acceso, según cual sea la plataforma de su sitio web). Utilice su archivo de copia de seguridad para recuperar el contenido en caso de que no funcionen las soluciones que se ofrecen a continuación. Asegúrese de eliminar el archivo de copia de seguridad cuando haya terminado.

  • Asegúrese de que el software esté al día en lo referente a las últimas revisiones y actualizaciones de seguridad. Existen muchas herramientas que facilitan la creación de un sitio web, pero cada una añade el riesgo de que se produzca una vulnerabilidad de la seguridad del sitio. Una trampa en la que caen habitualmente muchos webmasters es instalar un foro o un blog en su sitio web y olvidarse de él. Asegúrese de que dispone de las actualizaciones más recientes de todos los programas de software que haya instalado, al igual que se ocupa de pasar las revisiones técnicas del coche. Haga una lista de todos los complementos y del software que utilice en su sitio y realice un seguimiento de las actualizaciones y de los números de versión. Incluso estando siempre atento y manteniendo todos los componentes de su sitio web actualizados, existe la posibilidad de que su sitio sea vulnerable si su proveedor de alojamiento web no ha instalado las revisiones más recientes del sistema operativo. Este problema no afecta únicamente a pequeños sitios web, sino también a sitios web de entidades bancarias, equipos deportivos, empresas y organismos gubernamentales.

  • Compruebe los archivos de registro. Convertir esta comprobación en un hábito permite obtener muchos beneficios, uno de los cuales es el aumento de la seguridad. Por ejemplo, la presencia de parámetros de URL desconocidos (como "=http:" o "=//") o ciertos aumentos bruscos del tráfico asociados a redireccionamientos de direcciones URL en su sitio pueden indicar que un hacker está aprovechando la vulnerabilidad de los redireccionamientos abiertos. Tenga en cuenta también que los hackers intentan alterar a menudo los archivos de registro. Tome medidas para proteger estos archivos de un ataque. Por ejemplo, puede trasladar los archivos a una ubicación distinta de la predeterminada para que los hackers tengan más dificultades para encontrarlos.

  • Compruebe si se ha producido alguna vulneración habitual de la seguridad en su sitio. Procure no tener directorios con permisos abiertos, del mismo modo que no dejaría abierta la puerta principal de su casa.

    Compruebe también si hay vulnerabilidades de XSS (secuencias de comandos entre sitios diferentes) y de inyección de código SQL.


  • Utilice protocolos seguros. Google recomienda utilizar SSH y SFTP para la transferencia de datos, en vez de protocolos de texto sin formato como, por ejemplo, telnet o FTP. Los protocolos SSH y SFTP utilizan encriptación y son mucho más seguros. Para acceder a estos y a otros consejos que pueden serle de utilidad, consulte las sugerencias para la limpieza y la seguridad de su sitio web de StopBadware.org.

  • Manténgase al tanto de las noticias de seguridad más recientes. El blog de seguridad online de Google ofrece información útil sobre seguridad online, así como referencias a otros recursos. El sitio del gobierno US-CERT (Equipo de preparación de emergencias informáticas de Estados Unidos) ofrece sugerencias y alertas sobre seguridad técnica.