SSL que es
febrero 26, 2021 No Comments  

SSL: ¿QUÉ ES Y PARA QUÉ SIRVE?

¿Sabías qué uno de los componentes más esenciales en cualquier operación o transacción segura en la web es un certificado SSL?

Pero, ¿Qué es un SSL? y, ¿para qué sirve?

El SSL (secure socket layer) es un protocolo de seguridad desarrollado por la empresa Netscape Communications que permite la transferencia de datos cifrados entre un usuario y un servidor web, o viceversa, a través de Internet. El SSL es un protocolo abierto, y se puede utilizar con cualquiera de los protocolos de servicios más comunes del Internet (HTTP, FTP, SMTP, etc), aunque lo más normal es que se utilice para el protocolo HTTP.

Cualquier tipo de información que se transmita desde un servidor seguro (que utiliza SSL) y utilizando un navegador con soporte a tecnología SSL, viajará a través de Internet a salvo de que pueda ser rastreado, copiado y descifrado por algún usuario que no sea el perteneciente a la comunicación originalmente establecida.

El SSL es utilizado con el fin de disminuir el riesgo de robo y manipulación de información confidencial (como números de tarjetas de crédito, nombres de usuario, contraseñas, correos electrónicos, datos personales, etc.) por parte de hackers y ladrones de identidades.

Para establecer una conexión segura, se instala en un servidor web un certificado SSL (también llamado “certificado digital”) que cumple dos funciones:

  • Autenticar la identidad del sitio web, garantizando a los visitantes que no están en un sitio falso.
  • Cifrar la información transmitida.

Tipos de certificado SSL

Certificados SSL según cantidad de dominios certificados

Hay varios tipos de certificados SSL según la cantidad de nombres de dominio o subdominios que se tengan, como por ejemplo:

  • Único: asegura un nombre de dominio o subdominio completo (FQDN).
  • Comodín: cubre un nombre de dominio y un número ilimitado de sus subdominios.
  • Multidominio: asegura varios nombres de dominio.

Certificados SSL según nivel de verificación

Otros tipos de certificados dependen del nivel de validación requerido.

  • Validación de dominios (DV): Es el más económico, lo podemos obtener gratuitamente con Let’s Encrypt y brinda un cifrado básico y la verificación del titular del registro del nombre de dominio. Este tipo de certificado se entrega en unos minutos o unas pocas horas.
  • Validación de organización (OV): Además de lo anterior, autentica algunos detalles del propietario, como el nombre y su dirección. Este tipo de certificado se entrega en unas pocas horas o algunos días.
  • Validación extendida (EV): Proporciona el mayor nivel de seguridad debido a la investigación exhaustiva que se lleva a cabo antes de emitir este certificado según lo estipulado en las pautas establecidas por el consorcio de la industria de certificados SSL. Además de la autenticación de la entidad y la titularidad del registro del nombre de dominio, se verifica la existencia legal, física y operativa de la entidad. Este tipo de certificado se entrega en unos días o semanas.

Por último, para saber si un sitio web cuenta con protección bajo un certificado SSL se tienen las siguientes características: 

  • El prefijo HTTP de la dirección URL cambia a HTTPS.
  • En alguna parte de la ventana del navegador se visualiza un icono con forma de candado; el cual al darle click abre una ventana con todos los datos del certificado SSL en cuestión, y los datos de la entidad CA que genero este certificado
  • Un sello de confianza.
  • Una barra de dirección de color verde, en el caso de los certificados SSL de validación extendida.

En próximos artículos hablaremos sobre las diferencias entre los SSL gratuitos y de pago y veremos en qué ocasiones vale la pena pagar.

seguridad en wordpress
febrero 26, 2021 No Comments  

¿ES SEGURO WORDPRESS?

WordPress es el CMS más popular hoy en día para crear un sitio web ya que actualmente acapara el más del 30% de todas las webs que utilizan un sistema de gestión de contenidos. Pero al ser popular se convierte en un objetivo atractivo para hackers y piratas informáticos.

Algo que se debe tener en cuenta es que ningún CMS es 100% seguro ya que a diario cientos de webs son hackeadas, pero no todo son malas noticias, la mayoría de los ataques pueden ser prevenidos siguiendo una serie de pasos.

Un estudio sobre webs hackeadas destacó que los ataques estaban más relacionados con desactualizaciones y poco mantenimiento. Los plugins son los que mayores problemas suponen en cuanto a seguridad, le siguen las vulnerabilidades del núcleo y por último provienen del theme utilizado.

Recuerda que la base de la seguridad de tu sitio web es la prevención.

¿Cómo podemos prevenir?

  • Eligiendo un hosting de calidad.
  • Utilizando contraseñas complejas y no débiles.
  • Manteniendo el core de WordPress, los themes y los plugins actualizados, así como desinstalando aquellos que no se usen.
  • Instalando plugins y themes de desarrolladores de confianza y con buena reputación.
  • Teniendo una copia de seguridad reciente siempre a mano.
  • Activando el SSL en tu web.

Hosting de calidad.

A la hora de elegir el hosting para tu WordPress, te recomendamos que optes por uno con una sólida infraestructura de seguridad que te ofrezca: fácil instalación de certificados SSL, soporte SFTP (no solo FTP), y que utilice la versión más reciente de PHP y MySQL.

Contraseñas

Utiliza siempre una contraseña compleja para proteger la seguridad de tu web, si es una combinación de mayúsculas, minúsculas, símbolos y números mucho mejor. Así mismo puedes utilizar un gestor de contraseñas que te ayude a generar y guardar tus contraseñas.

Como complemento puedes agregar un recaptcha (el típico “no soy un robot”) o honeypot (campos trampa para robots) para evitar ataques de fuerza bruta o aplicar un filtro extra de seguridad utilizando un plugin de Verificación en 2 pasos. Además de tu usuario y contraseña, se te pedirá un código que podrías recibir en tu móvil u otro dispositivo.

Themes y plugins.

Hay miles de plugins que puedes instalar para mejorar tu web, pero cada extensión instalada puede abrir una posible entrada a un actor malicioso. Por tanto, instala plugins de webs de confianza y reputación y, sobre todo, mantenlos actualizados.

También, el riesgo de que tu web se vea comprometida es mayor cuando el núcleo de WordPress está desactualizado por eso, actualiza tu WordPress siempre que salga una nueva versión. Recuerda siempre hacer una copia de seguridad antes de instalar una actualización importante.

Copias de seguridad.

Siempre es bueno e importante tener una copia de seguridad que te permita fácilmente restaurar una versión completa de tu web en caso de que pase algo indeseado. Para poder tener esta funcionalidad necesitas de una solución externa, ya sea a través de tu proveedor de hosting o con la instalación de plugins específicos. Lo más recomendable es que se realice una copia automática periódicamente, para estar prevenido en cualquier momento.

Certificado SSL.

Este certificado permite que todo dato transmitido entre el usuario y tu sitio web esté cifrado. Es un servicio que muchos proveedores de hosting ofrecen de forma gratuita, para que tu web sea HTTPs.