seguridad | Blog SitiosHispanos.Com

Cómo Forzar HTTPS Usando .htaccess

Después de instalar un certificado SSL en tu sitio web, estará disponible tanto a través de HTTP como de HTTPS. Sin embargo, es mejor utilizar solo este último, ya que cifra y protege los datos de tu sitio web.
Aunque Sitios Hispanos permite a los usuarios configurar esta opción con un solo clic desde cPanel, también puedes usar el archivo .htaccess para forzar la conexión HTTPS.

Forzar HTTPS en Todo el Tráfico

Una de las muchas funciones que puedes realizar mediante .htaccess es el redireccionamiento 301, que redirige permanentemente una URL antigua a una nueva. Puedes activar esta función para forzar HTTPS en todo el tráfico entrante siguiendo estos pasos:

Ve al Administrador de Archivos en el panel de tu sitio y abre el archivo .htaccess dentro de la carpeta public_html. Si no puedes localizarlo, asegúrate de crearlo o mostrarlo si está oculto.
Desplázate hacia abajo hasta encontrar la línea RewriteEngine On e inserta el siguiente código justo debajo:

   RewriteEngine On 
   RewriteCond %{HTTPS} off 
   RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Guarda los cambios.

¡Importante! Asegúrate de que la línea RewriteEngine On no se repita dos veces. Si la línea ya existe, simplemente copia el resto del código sin incluirla.

Forzar HTTPS en un Dominio Específico

Supongamos que tienes dos dominios: http://tudominio1.com y http://tudominio2.com. Ambos acceden al mismo sitio web, pero solo quieres que el primero se redirija a la versión HTTPS. En este caso, debes usar el siguiente código:

RewriteEngine On 
RewriteCond %{HTTP_HOST} ^tudominio1.com [NC] 
RewriteCond %{HTTPS} off 
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Asegúrate de reemplazar tudominio1 con el nombre real del dominio al que deseas forzar HTTPS.

Forzar HTTPS en una Carpeta Específica

El archivo .htaccess también puede usarse para forzar HTTPS en carpetas específicas. Sin embargo, el archivo debe colocarse en la carpeta que tendrá la conexión HTTPS.

RewriteEngine On 
RewriteCond %{HTTPS} off 
RewriteRule ^(carpeta1|carpeta2|carpeta3) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Asegúrate de cambiar las referencias de las carpetas por los nombres reales de los directorios.

Pasos Finales

Después de realizar los cambios, borra la caché de tu navegador e intenta conectarte a tu sitio a través de HTTP. Si todo fue configurado correctamente, el navegador te redirigirá a la versión HTTPS.

Conclusión

¡Felicidades! Has editado con éxito tu archivo .htaccess y redirigido todo el tráfico HTTP a HTTPS, la versión segura de tu sitio web. Dependiendo de la plataforma en la que desarrollaste tu sitio, podrían existir métodos alternativos para habilitar esta función. Por ejemplo, puedes configurar tu sitio en WordPress o PrestaShop para que funcione con HTTPS utilizando plugins.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram, además de LinkedIn.

WordPress: Protege tu sitio de ataques de fuerza bruta

Asegurar tu sitio web es de vital importancia, especialmente si empleas WordPress, una de las plataformas de gestión de contenidos más utilizadas globalmente. Los ataques de fuerza bruta, donde los hackers intentan acceder a tu sitio probando múltiples combinaciones de nombres de usuario y contraseñas, son frecuentes y pueden poner en riesgo la seguridad de tu sitio. Aquí te ofrecemos una guía detallada para proteger tu WordPress contra estos ataques.

¿Qué es un ataque por fuerza bruta?

Un ataque de fuerza bruta consiste en un intento metódico de descifrar las credenciales de acceso a tu sitio web. Los hackers emplean scripts automatizados para probar diversas combinaciones de nombres de usuario y contraseñas hasta dar con la correcta. Estos ataques pueden tener consecuencias graves si no se implementan las medidas de seguridad necesarias. Por esta razón, es crucial proteger tu WordPress contra los ataques de fuerza bruta.

Usar contraseñas fuertes y seguras

Una de las mejores estrategias para proteger tu WordPress contra ataques de fuerza bruta es utilizar contraseñas robustas y seguras. Asegúrate de que tus contraseñas:

- Sean largas (mínimo de 12 caracteres).
- Incluyan una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales.
- Sean únicas para cada cuenta.

Consejo: Utiliza un gestor de contraseñas para generar y almacenar contraseñas seguras sin tener que recordarlas todas.

Implementa la autenticación en dos factores (2FA) para proteger tu WordPress contra ataques de fuerza bruta

La autenticación de dos factores proporciona una capa extra de seguridad. Aunque un atacante logre descifrar tu contraseña, necesitará un segundo factor (usualmente un código enviado a tu teléfono) para ingresar. Implementar 2FA es una medida esencial para resguardar tu WordPress contra ataques de fuerza bruta.

Cómo implementar 2FA:

Instala un plugin de 2FA como Google Authenticator o Two Factor Authentication.

Siga los pasos dados por el plugin para configurar el 2FA en su sitio.

Limitar los intentos de inicio de sesión

Restringir la cantidad de intentos de inicio de sesión disminuye considerablemente la probabilidad de éxito de un ataque de fuerza bruta. Tras varios intentos fallidos, la dirección IP del atacante se bloquea temporalmente. Esta es una táctica eficaz para proteger tu WordPress contra este tipo de ataques.

Cómo hacer esta tarea:

Instala un plugin como Limit Login Attempts Reloaded o Login LockDown.

Configure el plugin para establecer límites y períodos de bloqueo según tus necesidades.

Cambiar el nombre de usuario por defecto “admin”

El nombre de usuario “admin” es el principal blanco de los ataques de fuerza bruta. Si aún utilizas este nombre de usuario, cámbialo de inmediato para proteger tu WordPress.

Pasos a seguir:

- Crea un nuevo usuario con privilegios de administrador y un nombre de usuario único.
- Inicia sesión con la nueva cuenta y elimina la cuenta "admin".
- Asegúrate de reasignar todos los contenidos creados por "admin" al nuevo usuario.

Oculta tu página de inicio de sesión

Modificar la URL de la página de inicio de sesión puede dificultar que los atacantes la encuentren y la ataquen. Este es un paso crucial para proteger tu WordPress contra los ataques de fuerza bruta.

Cómo realizarlo:

Instala un plugin como WPS Hide Login.
Cambia la URL de /wp-admin o /wp-login.php a algo único y fácil de recordar para ti, pero difícil de adivinar para otros.

Mantén tu sitio y plugins actualizados

Mantener tu WordPress actualizado es crucial para protegerlo contra ataques de fuerza bruta. Las versiones más recientes de WordPress y sus plugins generalmente contienen parches de seguridad que corrigen vulnerabilidades.

Recomendaciones:

- Habilita las actualizaciones automáticas para WordPress y los plugins críticos.
- Verifica y aplica regularmente las actualizaciones disponibles.

Monitorear tu sitio web

La monitorización continua te permite identificar y reaccionar rápidamente ante actividades sospechosas. Supervisar tu sitio es esencial para proteger tu WordPress contra ataques de fuerza bruta.

Cómo hacer esto:

Instala un plugin de monitoreo de seguridad como Wordfence o iThemes Security.

Configurar alertas para recibir notificaciones en caso de intentos de inicio de sesión fallidos o cambios sospechosos en los archivos.

En conclusión:

La protección contra ataques de fuerza bruta es una tarea continua que requiere múltiples capas de seguridad. Implementando estas prácticas, puedes reducir significativamente el riesgo de que tu sitio WordPress sea comprometido. La combinación de contraseñas fuertes, autenticación en dos factores, limitación de intentos de inicio de sesión y otras medidas de seguridad proporcionan una defensa robusta contra los atacantes.

Recuerda que la seguridad no es una solución única, sino un proceso constante de mejora y adaptación a nuevas amenazas. Mantente informado sobre las últimas técnicas de seguridad y ajusta tus medidas en consecuencia.

Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.

Ciberseguridad para Administradores Web: Consejos y Estrategias

Asegurar su sitio web es crucial para proteger los datos de los usuarios y mantener su confianza. Considere su sitio web como una bóveda digital que requiere protección continua contra posibles amenazas. Al entender e implementar prácticas de seguridad fundamentales, puede disminuir considerablemente el riesgo de ataques y ofrecer una experiencia segura a sus usuarios. Veamos algunos consejos y estrategias esenciales para fortalecer la seguridad de su sitio web.

Conceptos básicos de seguridad en sitios web

Manteniendo Seguro su Sitio Web

Internet es como una ciudad digital muy concurrida y llena de peligros, al igual que una tienda física en una ciudad real. Para proteger tu tienda física, cierras las puertas y tienes sistemas de seguridad. De la misma manera, tu sitio web necesita una protección fuerte para estar seguro.

Muchos sitios web, especialmente los que usan plataformas populares como WordPress, son blancos fáciles para los atacantes porque son muy comunes. Es muy importante proteger datos privados como información personal y pagos para evitar que te roben la identidad o pierdas dinero. Además, tener un sitio web seguro ayuda a que los usuarios confíen en ti y protege tu reputación. Así, los visitantes se sentirán seguros cuando entren a tu sitio web.

Desarrolla un Enfoque de Seguridad por Capas

Imagina la seguridad de un sitio web como una cebolla: debe contar con múltiples capas. Una única medida de protección no es suficiente para enfrentar la variedad de amenazas que pueden surgir. Al adoptar un enfoque de múltiples capas, se establecen varios obstáculos que los atacantes deben atravesar, lo que disminuye considerablemente la posibilidad de que logren vulnerar la seguridad. Este método se conoce comúnmente como “defensa en profundidad”, donde cada capa contribuye a fortalecer la seguridad general.

Motivos detrás de los ataques a sitios web

Entender las motivaciones detrás de los ataques a sitios web nos permite preparar defensas más efectivas. Aunque el principal incentivo suele ser obtener ganancias económicas, existen otras razones por las que los hackers atacan, como:

El motivo más común es generar ingresos ilegales.
Robo de información personal para vender en el mercado negro o usar en fraudes.
Inserción de anuncios maliciosos para generar ingresos por clics.
Algunos ataques son realizados por jóvenes o principiantes que buscan mejorar sus habilidades o ganar reputación entre otros hackers.
Ciertos ataques, como denegación de servicio (DDoS), son usados por grupos activistas para protestar o presionar a organizaciones.
Aprovechamiento de los recursos del servidor para la minería de criptomonedas.

La Incidencia de los Ataques Automatizados

Esto puede resultar sorprendente, pero la mayoría de los ataques a sitios web no son realizados por personas sentadas frente a una computadora, escribiendo de manera frenética, como se suele ver en las películas. En realidad, son ataques automatizados. Estos ataques emplean bots que escanean en busca de vulnerabilidades y las explotan sin necesidad de intervención humana, lo que les permite operar a gran escala. Los bots automatizados pueden llevar a cabo diversas actividades maliciosas, que van desde la extracción de contenido web hasta el robo de cuentas y ataques de denegación de servicio. Gracias a esta automatización, los cibercriminales pueden atacar múltiples sitios web al mismo tiempo, lo que hace que estos ataques sean tanto eficientes como extensos.

Conceptos Esenciales en Seguridad de la Información

Cuando hablamos de seguridad de la información, siempre se destacan tres principios esenciales: confidencialidad, integridad y disponibilidad. Estos forman la tríada CIA, por sus siglas en inglés.

Confidencialidad

La confidencialidad se refiere a preservar la privacidad de los datos. Asegura que la información solo esté disponible para las personas autorizadas. Esto incluye el uso de cifrado, controles de acceso y canales de comunicación seguros. Por ejemplo, la implementación de certificados SSL garantiza que los datos transmitidos entre los usuarios y el sitio web estén encriptados.

Preservando la Integridad de los Datos

La integridad se enfoca en mantener la exactitud y consistencia de los datos a lo largo de su ciclo de vida. Se trata de garantizar que los datos no hayan sido manipulados ni alterados por personas no autorizadas. Técnicas como las sumas de comprobación y el hash de datos se usan comúnmente para verificar la integridad de la información.

Preservando la Disponibilidad

La disponibilidad implica asegurar que los datos y recursos estén accesibles para los usuarios autorizados cuando los necesiten. Este principio suele ser el objetivo de los ataques de denegación de servicio (DoS), los cuales discutiremos más adelante. Utilizar redundancia y balanceo de carga puede ayudar a mantener la disponibilidad incluso frente a este tipo de ataques.

Descubrir y Corregir Fallos de Seguridad en su Sitio Web

Ahora, pasemos a la acción y analicemos algunas vulnerabilidades concretas y las formas de defendernos de ellas.

Seguridad Frente a Inyecciones SQL

De acuerdo con la OWASP, la inyección SQL continúa siendo uno de los 10 principales riesgos de seguridad para las aplicaciones web. La inyección SQL ha estado presente desde hace mucho tiempo y sigue causando preocupación entre los administradores. Estos ataques ocurren cuando se insertan comandos SQL maliciosos en las consultas de la aplicación, lo que permite manipular la base de datos.

Para evitar la inyección SQL:

Uso de Consultas Parametrizadas.
Verificar y limpiar cuidadosamente todas las entradas de usuario antes de usarlas en consultas SQL.
Otorgar a la aplicación web los permisos mínimos necesarios en la base de datos.

Prevenir los Ataques de secuencia de comandos en sitios cruzados (XSS)

La OWASP considera que los ataques de secuencias de comandos entre sitios (XSS) son una vulnerabilidad significativa que afecta a muchas aplicaciones web en todo el mundo. El XSS es un tipo de ataque en el que los hackers inyectan scripts maliciosos en sitios web que normalmente son seguros y de confianza. Esto significa que, aunque el sitio web en sí es legítimo, el código malicioso puede ejecutarse en el navegador de los usuarios que lo visitan, lo que puede llevar al robo de información personal o a otras acciones no deseadas.

Para evitar Ataques de XSS:

Asegúrate de que cualquier dato que los usuarios ingresen en tu sitio sea revisado y validado. Esto incluye formularios, comentarios y cualquier otro lugar donde se puedan introducir datos.
Antes de mostrar datos en el navegador, elimina o codifica cualquier carácter que pueda ser interpretado como código. Esto ayuda a evitar que scripts maliciosos se ejecuten.
Implementa cabeceras HTTP como Content Security Policy (CSP), que ayuda a controlar qué recursos pueden ser cargados y ejecutados en tu sitio.
Limita el uso de JavaScript y otros scripts en tu sitio a solo aquellos que son necesarios. Esto reduce las oportunidades para que un atacante inyecte código malicioso.

Cómo Prevenir el Robo de Credenciales por Fuerza Bruta

Los ataques de fuerza bruta son similares a intentar abrir una cerradura probando todas las llaves de un llavero hasta encontrar la correcta. En este tipo de ataques, los hackers intentan adivinar contraseñas utilizando un método de prueba y error. Esto significa que prueban diferentes combinaciones de caracteres hasta que logran acceder a una cuenta o sistema.

Para protegerse contra ataques de fuerza bruta, considere las siguientes medidas:

Implemente un sistema que bloquee o suspenda temporalmente la cuenta después de un número determinado de intentos incorrectos. Esto dificulta que los atacantes continúen probando contraseñas sin restricciones.
Integre mecanismos CAPTCHA en los formularios de inicio de sesión para distinguir entre usuarios humanos y bots automatizados, haciendo más difícil para los atacantes realizar intentos de acceso masivos.
Requiera que los usuarios creen contraseñas robustas que incluyan una combinación de letras, números y caracteres especiales. Además, anime a no reutilizar contraseñas en diferentes sitios o servicios.
Implemente una capa adicional de seguridad mediante la autenticación multifactor. Esto requiere que los usuarios verifiquen su identidad con un segundo método, como un código enviado a su teléfono móvil o una aplicación de autenticación, además de su contraseña.

Prevenir las amenazas de malware en sitios web

El malware puede infectar sitios web de varias maneras, a menudo permaneciendo inactivo hasta que se activa. En una investigación reciente muestra que el spam y los redireccionamientos maliciosos siguen siendo uno de los tipos más comunes de malware encontrados en los sitios web.

Para combatir el malware:

Escanee su sitio web regularmente en busca de malware.
Emplee el uso de monitoreo de integridad de archivos.
Mantenga todo el software y los complementos actualizados.
Use un complemento de seguridad para su plataforma CMS.
Use un firewall de aplicaciones web (WAF).

Protección contra ataques DoS/DDoS

Los ataques de Denegación de Servicio (DoS) y de Denegación de Servicio Distribuido (DDoS) tienen como objetivo saturar los recursos de un sitio web, impidiendo su acceso a usuarios legítimos.

Para reducir los riesgos de DoS/DDoS, considere las siguientes estrategias:

Utilice una red de entrega de contenido (CDN).
Implemente límites de tasa para controlar el tráfico.
Asegúrese de contar con una infraestructura escalable.

Asegurando plataformas de comercio electrónico y cumpliendo con los estándares PCI

Si está manejando información de tarjetas de crédito, necesita estar familiarizado con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Este conjunto de estándares de seguridad garantiza que las empresas mantengan un entorno seguro para procesar, almacenar y transmitir información de tarjetas de crédito. El incumplimiento del PCI DSS puede resultar en multas cuantiosas y daños a la reputación de su negocio. Los aspectos clave del cumplimiento de PCI incluyen:

Mantener una red segura
Proteger los datos del titular de la tarjeta
Implementar medidas de control de acceso sólidas
Monitorear y probar redes regularmente
Mantener una política de seguridad de la información

Un marco integral para la seguridad de sitios web

Analicemos un enfoque integral para la seguridad de sitios web en cinco pasos clave:

1. Identificación de riesgos potenciales

Comience realizando una evaluación de riesgos exhaustiva. Esto implica identificar sus activos, las amenazas potenciales y las vulnerabilidades existentes. Un riesgo común que a menudo se pasa por alto son los complementos desactualizados, que pueden convertirse en puntos de entrada para los atacantes.

2. Establecimiento de controles de seguridad

Con base en su evaluación de riesgos, implemente controles de seguridad para protegerse contra las amenazas identificadas. Esto puede incluir el uso de firewalls, cifrado, controles de acceso, entre otros.

3. Detección de brechas de seguridad

Establezca sistemas para detectar cuando algo sale mal. Esto podría incluir sistemas de detección de intrusiones, monitoreo de registros y escaneos de seguridad regulares. Herramientas como SiteCheck pueden ayudar a identificar vulnerabilidades y posibles brechas.

4. Respuesta a incidentes de seguridad

Tenga un plan preparado para actuar cuando (no si) ocurra un incidente de seguridad. Este plan debe incluir pasos para contener la brecha, investigar su causa y notificar a las partes afectadas. El Marco de Respuesta a Incidentes del NIST describe cuatro fases: Preparación, Detección y Análisis, Contención, Erradicación y Recuperación, y Actividades Post-Incidente.

5. Recuperación de ataques

Por último, desarrolle una estrategia para volver a las operaciones normales después de un ataque. Esto incluye restaurar desde copias de seguridad, corregir vulnerabilidades y aprender del incidente para prevenir futuras ocurrencias.Este texto ha sido reescrito para proteger los derechos de autor del contenido original, manteniendo los conceptos y pasos esenciales sobre cómo implementar medidas de seguridad en un entorno digital.

Mejores prácticas para mantener la seguridad de un sitio web

A continuación, exploraremos las mejores prácticas recomendadas que todo administrador web debería seguir:

1. Mantener el software y los sistemas actualizados

Una de las medidas de seguridad más simples pero efectivas es asegurarse de que todo esté actualizado. Esto incluye el sistema operativo, el software del servidor web, el sistema de gestión de contenido y cualquier complemento o extensión que estés utilizando. En un Informe de Amenazas de Malware y Sitios Web Hackeados de 2023, se descubrió que el 39.1% de las aplicaciones de CMS estaban desactualizadas en el momento de la infección. Esto resalta lo crucial que es mantener tu sitio web siempre al día.

2. Utilizar contraseñas fuertes

Todos hemos escuchado esto antes, pero vale la pena repetirlo: usa contraseñas fuertes y únicas para todo. Según NordPass, las contraseñas más comunes en 2023 fueron ‘123456’ y ‘admin’. Considera implementar un gestor de contraseñas para ayudar a generar y almacenar contraseñas complejas.

3. Aislar sitios web en contenedores separados

Si estás alojando múltiples sitios web, considera utilizar tecnologías de contenedorización como Docker o php-fpm para aislarlos entre sí. De esta manera, si un sitio se ve comprometido, no significa necesariamente que todos tus sitios estén en riesgo. La contaminación cruzada es un problema común en servidores compartidos, y el aislamiento puede mitigar significativamente este riesgo.

4. Gestionar el acceso y los permisos de los usuarios

Aplica el principio de menor privilegio. Solo otorga a los usuarios el nivel mínimo de acceso que necesitan para realizar su trabajo. Revisa y actualiza regularmente estos permisos. Esto ayuda a minimizar el impacto de cuentas comprometidas y reduce la superficie de ataque.

5. Modificar la configuración predeterminada del sistema de gestión de contenido

Las configuraciones predeterminadas de los sistemas de gestión de contenido a menudo priorizan la usabilidad sobre la seguridad. Tómate el tiempo para revisar y ajustar estas configuraciones. Por ejemplo, cambiar las URL de administrador predeterminadas y deshabilitar la edición de archivos puede mejorar la seguridad.

6. Elegir extensiones seguras y confiables

Al agregar funcionalidad a tu sitio a través de complementos o extensiones, investiga adecuadamente. Adhiérete a fuentes confiables y revisa las opiniones y el historial de actualizaciones antes de instalar. Las extensiones que no se actualizan con frecuencia pueden introducir vulnerabilidades.

7. Realizar copias de seguridad de tu sitio web regularmente

Las copias de seguridad son tu red de seguridad. Si algo sale mal, siempre puedes volver a una versión limpia de tu sitio. Asegúrate de almacenar las copias de seguridad de forma segura y prueba tu proceso de restauración regularmente. Se recomienda tener copias de seguridad tanto locales como en la nube para garantizar la recuperación de datos en diferentes escenarios.

8. Configurar archivos del servidor de manera segura

Configura correctamente tu archivo .htaccess (para servidores Apache) o el archivo web.config (para servidores IIS) para prevenir la navegación por directorios y proteger archivos sensibles. Los archivos del servidor mal configurados pueden exponer información crítica a los atacantes.

9. Instalar certificados SSL

HTTPS ya no es opcional. Instala certificados SSL en todos tus sitios web para cifrar los datos en tránsito. Esto ayudará a proteger la información sensible de ser interceptada por atacantes y mejora la seguridad y confiabilidad de tu sitio.

10. Utilizar herramientas de escaneo y monitoreo

Escanea regularmente tu sitio web en busca de vulnerabilidades y monitorea actividades sospechosas. Hay muchas herramientas disponibles para esto, tanto gratuitas como de pago. Escáneres de seguridad como SiteCheck pueden ayudar a identificar malware y software desactualizado. Tambien puede pedir al Soporte Tecnico de Sitios Hispanos para que realice un analisis de malware.

En conclusión, la seguridad de un sitio web es un proceso continuo que requiere atención y adaptación constante. Al adoptar un enfoque proactivo y estar al tanto de las últimas amenazas y tecnologías, los administradores pueden proteger eficazmente sus activos digitales y ofrecer una experiencia segura a sus visitantes.

Fuente: https://blog.sucuri.net/2024/08/security-tips-for-modern-web-administrators.html

Doble Factor de Autenticación (2FA): ¿Qué es y cómo funciona?

La autenticación en dos fases (2FA) es un método de seguridad de administración de identidad y acceso que requiere dos formas de identificación para acceder a los recursos y los datos. 2FA ofrece la posibilidad de supervisar y ayudar a proteger su información y sus redes más vulnerables.
El doble factor de autenticación añade una segunda capa de protección, reforzando el nivel de seguridad. El primer método generalmente es una contraseña segura, y el segundo método podría ser un código obtenido a través de un correo electrónico, un mensaje de texto o usando una app en su teléfono celular como Google Authenticator.

¿Cómo funciona?

Existen diversas maneras en las que se puede lograr esta capa adicional de seguridad. Sin embargo, todos los métodos logran lo mismo y cumplen con ciertas generalidades. El funcionamiento típico de estos sistemas es el siguiente:

Primero, se accede a un servicio o plataforma en línea y se ingresa la contraseña. Este es el primer factor de autenticación. Como por ejemplo, al querer acceder al panel de login de su cuenta cPanel.
A continuación, el servicio en línea solicita un segundo factor de autenticación, que puede ser un código de verificación. Por ejemplo, le pide que ingrese un código numérico que llega a su Google Authenticator que tiene configurado en su teléfono celular.

Finalmente, se proporciona ese segundo factor de autenticación para verificar la identidad del dueño de la cuenta y completar el inicio de sesión.

Tipos de autenticación en dos pasos

Hay varios métodos de autenticación cuando se utiliza la autenticación en dos fases. A continuación, se muestra una lista de las opciones más comunes:

Verificación o código por SMS

La mensajería de texto o SMS se puede utilizar como una forma de autenticación en dos fases cuando se envía un mensaje a un número de teléfono de confianza. El usuario deberá interactuar con el texto o utilizar un código de un solo uso para verificar su identidad en un sitio o una aplicación.

Código al correo electrónico

El correo electrónico como tipo de autenticación de dos pasos consiste en usar la dirección de correo electrónico del usuario, por ejemplo Gmail, como factor de autenticación. Se realiza el envío de un código de verificación, o un enlace de confirmación, al correo electrónico del usuario.

El usuario debe introducir su contraseña más ese código, o hacer clic en ese enlace, para acceder al servicio en línea. Este método es similar al que se hace mediante SMS, pero usa el correo electrónico en lugar del teléfono.

Aplicaciones móviles

Existen algunas aplicaciones móviles que generan un código de verificación desechable, pues es válido generalmente por 30 segundos o 1 minuto. Esta es la opción cada vez más popular, ya que combina practicidad y seguridad.

El usuario debe instalar una aplicación de autenticación en su teléfono que genere los códigos aleatorios sincronizados con el servicio en línea. El ejemplo más conocido de estas aplicaciones es Google Authenticator.

Preguntas de seguridad

Las preguntas de seguridad como tipo de autenticación de dos pasos consisten en usar unas preguntas y respuestas personales que el usuario elige y recuerda como factor para autenticarse.

El usuario debe responder a esas preguntas correctamente, junto con el ingreso de su contraseña, para poder acceder a la plataforma deseada.

Código QR

El método de autenticación mediante un código QR consiste en usar una imagen que contiene un código de barras bidimensional, que se puede escanear con la cámara del teléfono u otro dispositivo. El usuario debe escanear el código QR que se muestra en el servicio en línea, junto con su contraseña, para acceder a la plataforma.

Es rápido y cómodo, ya que no requiere introducir ningún código ni recibir ningún mensaje. Además es fiable, ya que el código QR se genera dinámicamente y solo es válido durante un tiempo limitado.

Notificaciones push

Los métodos de autenticación en dos fases push no requieren ninguna contraseña. Este tipo de 2FA envía una señal al teléfono para aprobar/denegar o aceptar/rechazar el acceso a un sitio web o una aplicación para verificar tu identidad.

Ventajas de activar el doble factor de autenticación

Añade una capa de seguridad extra

La autenticación en dos fases mejora la seguridad y la privacidad de las cuentas y los datos personales, reduciendo el riesgo de robo o suplantación de identidad. Al requerir dos factores de autenticación, se dificulta que un atacante pueda acceder a la cuenta de un usuario solo con conocer o robar su contraseña.

Además, se protegen los datos personales del usuario frente a posibles filtraciones o usos indebidos por parte de terceros.

Permite establecer conexiones seguras

El doble factor de autenticación permite establecer conexiones seguras entre los usuarios y los servicios en línea, al garantizar que solo las personas autorizadas puedan acceder a los recursos o la información que necesitan.

Ayuda a evitar ciberataques

El 2FA ayuda a evitar hackeos, al dificultar que los ciberdelincuentes puedan acceder a los sistemas de información solo con conocer o robar la contraseña de un usuario, por ejemplo a través del método de la fuerza bruta. Al requerir un segundo factor de autenticación, se reduce la probabilidad de que el atacante pueda obtenerlo o suplantarlo.

Fácil de configurar

Otra de las ventajas de los factores de autenticación es que son sencillos de configurar e implementar. En la mayoría de las plataformas, se puede acceder a esta opción siguiendo solo unos sencillos pasos. Se pueden configurar en unos minutos y podemos generalmente elegir cuál tipo de factor de autenticación preferimos.

Evita inicios de sesión desde equipos desconocidos

El 2FA previene el acceso no autorizado a los datos personales de un individuo o a los recursos sensibles o críticos de una organización, como los datos financieros, los sistemas internos o las aplicaciones estratégicas.

Además, se dificulta que un usuario autorizado pueda compartir o reutilizar sus credenciales con otros usuarios no autorizados, lo que puede generar brechas de seguridad o conflictos de responsabilidad.

Conclusión

El doble factor de autenticación es siempre recomendable de aplicar en su servicio de alojamiento; por sobre todas las cosas si valora la seguridad de la información que posee.

Dentro de los servicios que ofrecemos; cPanel da de manera nativa una instancia donde puede configurar el 2FA para su utilización.
Puede ver esto en nuestra guía aquí.

WordPress: Qué es la 2FA o autenticación de dos factores.

El nivel de seguridad de tu WordPress depende de los sistemas que implementes para protegerla y reforzar dicha protección. Con el aumento del forzado automático de contraseñas, la información confidencial de tus usuarios y el acceso a tu sitio están más en riesgo que nunca.

La autenticación de 2 factores, doble factor de autenticación o 2FA, es un paso más para la seguridad de tu WordPress y consiste en agregar una “contraseña” o método adicional a los datos de acceso que normalmente utilizas, y que suelen ser el usuario y la contraseña.

Normalmente, para acceder al panel de administración de WordPress wp-admin, ingresas el nombre de usuario o el email registrado y un password. A los tiempos que corren, y si bien algunos plugins de WordPress y reglas de mod security previenen los intentos de login de amenazas, no es suficiente para proteger tu sitio web.

Qué es la autenticación de 2 factores (2FA) y por qué deberías implementarla en tu sitio de WordPress.

El 2FA se llama doble factor de autenticación porque, además de la contraseña, hace que debas moverte para validar que eres tú quien intenta acceder a tu cuenta o servicio, ingresando un código que se genera dinámicamente. Esto puede ocurrir con un SMS, un WhatsApp, un email con un código y varios métodos más.

En resumen, los beneficios de instalar el two-factor authentication, o 2FA en WordPress son:

Que tus datos estarán más seguros ya que una contraseña débil no será la razón por la que puedan acceder ilegalmente a wp-admin.
Te protegerás contra el fraude: la autenticación de 2FA reduce la probabilidad de que un atacante pueda hacerse pasar por un usuario si tienes un membership site. Tus suscriptores valorarán que los protejas.
Tus páginas y entradas estarán más protegidas: tus notas de blog y páginas de tu web estarán blindadas por 2FA.
Evita grandes dolores de cabeza y ahorra dinero. Si tu WordPress está protegido, no tendrás que gastar dinero en arreglarlo.

Cómo instalar el doble factor de autenticación (2FA) en WordPress.

Para instalar el doble factor de autenticación (2FA) en WordPress no hace falta mucho. Sólo necesitaremos 3 cosas:

El panel administrador de WordPress wp-admin.
Descargar Google Authenticator en tu teléfono o dispositivo móvil.
Instalar el plugin Wordfence Login Security o tener instalado previamente el plugin de seguridad llamado Wordfence.

Configurar 2FA en WordPress si ya tienes instalado el plugin de seguridad Wordfence.

Wordfence está valorado por los usuarios y comunidades de WordPress como uno de los mejores plugins de seguridad.

Dentro de wp-admin, ve a la sección Wordfence, y luego a Login security.

Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “Escanear código QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.

Copia los códigos de recovery y guárdalos en un lugar seguro por si perdieses tu dispositivo. Luego, ingresa el código que ves en la pantalla de tu dispositivo adentro del campo de texto que ves debajo, y haz clic en Activar o Activate.

Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de backup por si no lo has hecho aún.

Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla que sigue a continuación.

Configurar 2FA en WordPress instalando Wordfence Login Security.

El proceso de configurar el doble factor de autenticación con Wordfence Login Security no es muy diferente.

La diferencia entre los plugins Wordfence Login Security y Wordfence Security es que Wordfence Login Security sólo soluciona el asunto del 2FA en el login, mientras que Wordfence Security es un plugin de seguridad que contempla varios asuntos para proteger tu WordPress.

Instala el plugin Wordfence Login Security y actívalo como lo haces con cualquier plugin.

Ve Login Security dentro del menú principal de wp-admin de WordPress.

Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “escanear QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.

Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de respaldo por si lo has olvidado.

Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla.

Cómo desactivar el doble factor de autenticación en WordPress.

Tanto si estás usando Wordfence Security para proteger tu sitio de WordPress, como si estás usando el plugin Wordfence Login Security, la forma de desactivar el 2FA es la misma. No te recomendamos que lo hagas a menos que tengas un problema o debas hacerlo temporalmente.

Para desactivar el two factor authentication, ve a Login Security y luego haz clic en Desactivar o Deactivate.

Conclusión.

Activar el doble factor de autenticación o 2FA hará que puedas gestionar tu WordPress más seguro, y que no corras riesgos de que alguien más, o un bot acceda por el sólo hecho de descifrar tu clave. Que tu WordPress esté seguro, no solo depende de los creadores de WordPress, del desarrollador que hayáis elegido, o del proveedor de hosting en sí. Es necesario que tú también pongas tu parte para ayudar a protegerlo.

Nuevo Google Chrome 90 usará HTTPS por defecto

El HTTPS (o ‘Hypertext Transfer Protocol Secure’) es el primo más joven y seguro del HTTP. Realiza la misma función, pero utiliza el cifrado TLS/SSL para proteger las solicitudes y respuestas, en lugar de enviar información en texto plano.

Anteriormente, en Google Chrome, al escribir una URL incompleta en el cuadro multifunción de Chrome (el nombre que da Google a su barra de URL), el navegador cargaba el dominio a través de HTTP. Escribir cualquiercosa.com, por ejemplo, llevaba al usuario a http://cualquiercosa.com.

Sin embargo, a partir de esta nueva actualización 90, Chrome canalizará automáticamente todas las consultas incompletas de URL a la dirección HTTPS correspondiente (por ejemplo, https://cualquiercosa.com), siempre que el sitio web admita este protocolo más nuevo.

¿Sabías que podes agregarle esta seguridad a tu web con nuestro certificado SSL incluído?

Cuando un visitante entra a un sitio con certificado SSL, el certificado crea automáticamente una conexión cifrada entre el servidor y el navegador. Un ícono de candado y el prefijo “https” aparecen en la barra de navegación para indicar que es seguro enviar información personal.

Los planes de Alojamiento Web de SitiosHispanos.Com incluyen certificado SSL para activar en todo momento por cada uno de tus dominios.

Fuente: Techradar

¿Qué podemos hacer con la filtración de datos de Facebook?

Una antigua filtración de datos sigue siendo una filtración de datos, y probablemente aún tendrá que prestarle atención cuando tenga que ver con Facebook, un sitio que la mayoría de la gente ha utilizado en algún momento. Como probablemente ya haya escuchado, una violación de datos pasada que afectó a 500 millones de usuarios de Facebook está circulando una vez más después de que un intruso publicó una gran cantidad de información personal extraída de las cuentas pirateadas. Y a pesar de que el ataque real tuvo lugar hace dos años , aún puede tomar algunas medidas preventivas para asegurarse de que este último incidente no lo afecte mucho.

Para empezar, tómese el tiempo para verificar y ver si sus datos, incluida su dirección de correo electrónico, número de teléfono, nombre y otras características de identificación, aparecen en dicha filtración. Pruebe una de estas opciones para buscar información de identificación diferente que pueda haber sido comprometida:

me han pwned (correo electrónico)
Las noticias de cada día (número de teléfono)
Comprobador de Facebook (número de teléfono)
El volcado de datos sin procesar (todo)

Si su número de teléfono u otros detalles no están expuestos, ¡excelente! Estas bien. Si los datos están expuestos no hay mucho que pueda hacer al respecto, ahora que la información está disponible, pero tenga cuidado porque estos datos podrían usarse en intentos de phishing en otros lugares.

En todo caso, todo el episodio muestra la importancia de utilizar información ficticia siempre que sea posible al registrarse para obtener una cuenta, especialmente en las redes sociales. La ocultación de información está totalmente bajo su control. No sienta que tiene que ceder detalles legítimos sobre su vida.

Para Facebook, eso podría incluir:

No proporcionar ninguna información opcional si no es necesario (su historial educativo, todos los lugares en los que ha vivido, sus intereses, su historial laboral, etc.)
Proporcionar información ficticia cuando se le solicite, como una fecha de nacimiento falsa o un seudónimo.
Usar una dirección de correo electrónico falsa (incluso una ligeramente modificada, como youremail+facebook@gmail.com en lugar de youremail@gmail.com) y un número de teléfono que no sea su número de teléfono real para registrarse en una cuenta. Como antes, guarde estas credenciales en su administrador de contraseñas por si acaso.
Utilice un nombre “real” diferente o una versión ligeramente modificada de su nombre. No use el mismo “nombre de pantalla” o nombre de cuenta en todos sus diferentes servicios.

¿Por qué importa esto? Hace que sea mucho más difícil para los atacantes usar la información obtenida de una violación de datos para afectarlo en otro lugar. Si siempre utiliza información diferente cuando sea posible en los distintos servicios que utiliza, será más difícil para un atacante acceder a su cuenta mediante ingeniería social; simplemente, no sabrá lo suficiente sobre usted en cada servicio.

Fuente: Lifehacker | Traducción: SitiosHispanos.Com

¿Por qué es necesario mantener WordPress actualizado?

Si tu sitio está creado con WordPress, es muy importante que lo actualices con regularidad.

Quizás tu lema sea “si no está roto, no lo arregles”. Para muchas situaciones, esa es una filosofía válida, pero no cuando se trata de WordPress o software en general.

Entonces, ¿por qué necesita actualizar? Te compartimos tres razones y cómo hacerlo.

Seguridad
Corrección de errores
Nuevas funciones y rendimiento mejorado

1. Seguridad

La razón más importante para mantener actualizado su sitio web de WordPress es la seguridad. Más del 30% de todos los sitios web están hechos con WordPress, lo que lo convierte, con mucho, en el CMS (manejador de contenidos) más utilizado del mundo. Debido a su popularidad, WordPress es un objetivo popular para los hackers informáticos y los distribuidores de códigos maliciosos.

Cada actualización de WordPress incluye notas de la versión, que enumeran lo que se ha corregido y cambiado en esta actualización. Los hackers informáticos leen las notas de la versión y luego intentan explotarlas buscando sitios que aún no se hayan actualizado. Si su sitio se ejecuta en una versión anterior de WordPress, esto significa que tiene vulnerabilidades conocidas.

¡No olvides tus plugins y tema!

Además de la instalación principal, también se pueden explotar complementos y temas. Así que asegúrese de actualizarlos también.

2. Corrección de errores

Todo el software tiene errores, WordPress también. Los errores hacen que el software se comporte de forma no intencionada. Pudiendo causar errores extraños o hacer que las cosas se bloqueen. Para asegurarse de que su sitio web siga funcionando sin problemas, es esencial implementar estas correcciones.

3. Nuevas funciones y rendimiento mejorado

WordPress nunca se termina y se mejora continuamente. Cada versión importante contiene nuevas funciones y mejoras de rendimiento.

Además de la instalación principal de WordPress, los plugins y temas también se actualizan continuamente.

¿Cómo actualizar?

Video: SitiosHispanos.Com | Fuente del texto: One.com