Las páginas web son tan vu­l­ne­ra­bles al malware como los or­de­na­do­res o los di­s­po­si­ti­vos móviles. Es decir, los ci­be­r­de­li­n­cue­n­tes también infiltran malware en ellas y consiguen pro­pa­gar­lo. Para co­n­se­gui­r­lo, suelen integrar scripts ma­li­cio­sos en el código original de la web que desde el exterior resultan difíciles de ide­n­ti­fi­car. Aunque apa­re­n­te­me­n­te la página web pueda estar rindiendo de la forma deseada, en realidad está fu­n­cio­na­n­do como un in­s­tru­me­n­to para los ci­be­r­de­li­n­cue­n­tes, con la ayuda, por ejemplo, del llamado cross site scripting (XSS).

¿Cómo se puede proteger un proyecto web contra malware? ¿Qué medidas resultan útiles si la página web ya se ha infectado con malware?

Cómo proteger la página web contra malware

Existen algunas he­rra­mie­n­tas útiles y modos de proceder que pueden ayudarte a minimizar el riesgo de que tu proyecto web termine viéndose afectado por malware. A menudo la presencia de malware está re­la­cio­na­da con co­n­tra­se­ñas inseguras, di­s­po­si­ti­vos de trabajo in­fe­c­ta­dos, apli­ca­cio­nes no ac­tua­li­za­das o un espacio web saturado y confuso. Por eso, quien quiera disfrutar de una pro­te­c­ción contra malware completa debe prestar especial atención a:

Login seguro

Las co­n­tra­se­ñas de­sem­pe­ñan un papel muy im­po­r­ta­n­te en tu proyecto web. Si tu co­n­tra­se­ña es lo su­fi­cie­n­te segura, co­n­tri­bu­yes a hacer más difícil el acceso de los ci­be­r­de­li­n­cue­n­tes a tus páginas. Para una mayor pro­te­c­ción contra malware en lo que al registro se refiere, es re­co­me­n­da­ble utilizar la ve­ri­fi­ca­ción de dos pasos al iniciar sesión en el backend.

Tra­n­s­fe­re­n­cia de datos segura

No importa si deseas tra­n­s­fe­rir datos entre el navegador y la página web o prefieres enviar archivos al espacio web: para una buena pro­te­c­ción contra malware, es esencial cifrar cualquier tipo de tra­n­s­fe­re­n­cia de datos. El protocolo que vas a necesitar para ello, y que desde 2018 es obli­ga­to­rio en las páginas web que obtienen in­fo­r­ma­ción personal, es TLS o SSL. Si tu proyecto web dispone de un ce­r­ti­fi­ca­do SSL válido, los na­ve­ga­do­res pueden co­mu­ni­car­se con las páginas de tu apli­ca­ción web a través de HTTPS. Además, con SFTP se pueden es­ta­ble­cer co­ne­xio­nes seguras con el espacio web. De este modo, se dificulta el acceso de los ci­be­r­de­li­n­cue­n­tes a todos los canales de tra­n­s­mi­sión im­po­r­ta­n­tes.

Consejo

¿Buscas una tra­n­s­mi­sión de datos segura en tu proyecto web? Compra un ce­r­ti­fi­ca­do SSL de IONOS para encriptar la co­mu­ni­ca­ción de las páginas web y, de esta forma, muestra tu pro­fe­sio­na­li­dad tanto a vi­si­ta­n­tes como a motores de búsqueda.

Espacio web or­ga­ni­za­do

Los archivos antiguos y las apli­ca­cio­nes obsoletas con es­tá­n­da­res de seguridad caducados o con brechas de seguridad conocidas co­n­s­ti­tu­yen la puerta de entrada más habitual del malware. Por esta razón, es muy im­po­r­ta­n­te mantener el espacio web or­ga­ni­za­do. Solo de esta forma podrás saber si es necesario re­em­pla­zar ciertos do­cu­me­n­tos y software, o di­re­c­ta­me­n­te proceder a su eli­mi­na­ción.

Software ac­tua­li­za­do

En el hosting de un proyecto web, mantener las apli­ca­cio­nes al día puede resultar una tarea no del todo sencilla. A veces, puede ocurrir que tampoco se desee ac­tua­li­zar al software en cuestión, pues la edición que se está usando en ese momento cumple con las ne­ce­si­da­des del usuario. Por ejemplo, puede ocurrir con de­te­r­mi­na­dos sistemas ope­ra­ti­vos: su fu­n­cio­na­mie­n­to cumple los re­qui­si­tos del usuario, que no ve necesidad alguna de cambiar a una nueva versión. Es común en­co­n­trar­se también este caso con de­te­r­mi­na­dos CMS, es­pe­cia­l­me­n­te si se trabaja con de­te­r­mi­na­das ex­te­n­sio­nes o si el cambio a la nueva versión supone un esfuerzo de­s­pro­po­r­cio­na­do.

No obstante, es im­po­r­ta­n­te que las apli­ca­cio­nes, lenguajes de pro­gra­ma­ción o fra­me­wo­r­ks, entre otros, se mantengan ac­tua­li­za­dos. Como muy tarde habrá que proceder a la in­s­ta­la­ción de nuevas versiones cuando la que está siendo utilizada quede obsoleta al no recibir soporte de seguridad o cuente con brechas de seguridad conocidas.

Escáner de malware

Incluso con el mejor hosting y la mejor pro­te­c­ción contra malware, existe la po­si­bi­li­dad de que software malicioso infecte el servidor web. Por ello, es im­po­r­ta­n­te recurrir también a so­lu­cio­nes de seguridad pro­fe­sio­na­les, así como comprobar co­n­s­ta­n­te­me­n­te el estado de los di­s­po­si­ti­vos finales uti­li­za­dos y de la página web.

El hosting de IONOS ofrece el servicio Site Scan+ Repair con el que cada día puedes escanear hasta 500 su­b­pá­gi­nas de tu proyecto web en busca de malware. Además, la he­rra­mie­n­ta también permite detectar malware en WordPress, eliminar malware de forma au­to­má­ti­ca, así como corregir brechas de seguridad en WordPress, Drupal y Joomla.

Consejo

¿Deseas proteger todos tus di­s­po­si­ti­vos de malware o ra­n­so­m­wa­re, entre otros, para poder trabajar en tu proyecto web de forma segura? Con My­De­fe­n­der de IONOS, puedes proteger uno o varios di­s­po­si­ti­vos contra malware o robo de datos.

Backups

Aunque las copias de seguridad de tu proyecto web no son realmente una pro­te­c­ción contra malware, pueden conseguir que ahorres tiempo y esfuerzo si necesitas re­s­tau­rar­lo en caso de eme­r­ge­n­cia. Si haces backups pe­rió­di­cos de tu espacio web y los almacenas por separado, irás sobre seguro.

Cómo eliminar malware de páginas web in­fe­c­ta­das

Si descubres que tu página web está infectada, eliminar el malware lo antes posible debe ser pri­mo­r­dial: en si­tua­cio­nes así actúa con rapidez y de forma coherente. Sin embargo, eliminar el malware sin haber detectado la brecha de seguridad a través de la cual se consiguió infectar el sistema es poco eficiente, pues es probable que vuelvan a pro­du­ci­r­se ataques en poco tiempo. En cualquier caso, es mejor ir a lo seguro y contratar a expertos que puedan limpiar la página web.

Si a pesar de contar con pro­te­c­ción contra malware completa has detectado que tu página web se ha infectado, debes:

  1. Des­ac­ti­var tu página web hasta que se solucione el problema para limitar los daños. Notifica a tus vi­si­ta­n­tes la falta temporal de di­s­po­ni­bi­li­dad con so­lu­cio­nes pro­vi­sio­na­les como el modo de ma­n­te­ni­mie­n­to de WordPress.
  2. Contacta a tu proveedor de hosting y acuerda con este el pro­ce­di­mie­n­to que seguir.
  3. Comprueba todas las cuentas de usuario en busca de alguna anomalía (por ejemplo, cuentas que no hayas creado). Cambia todas las co­n­tra­se­ñas (para usuarios y ad­mi­ni­s­tra­do­res).
  4. Intenta encontrar todas las causas del daño para evaluar el daño total.
  5. Utiliza las he­rra­mie­n­tas adecuadas para limpiar tu página web de spam, malware y código malicioso.
  6. Utiliza copias de seguridad para restaurar los archivos perdidos o dañados de tu proyecto web.
  7. Actualiza todos los paquetes de software in­s­ta­la­dos o reinstala los programas im­po­r­ta­n­tes que utilices.
  8. Tras la limpieza, vuelve a cambiar todas las co­n­tra­se­ñas.
Consejo

Existen di­fe­re­n­tes tipos de malware. En nuestro artículo “Cómo pro­te­ge­r­se ante el adware, el spyware y otros tipos de malware” te mostramos las mejores re­co­me­n­da­cio­nes para pro­te­ge­r­te de scareware, ra­n­so­m­wa­re o spyware.

Ir al menú principal