¿Por qué deberías preocuparte por la seguridad de tu web?
La escena se repite más de lo que imaginamos: alguien entra a su sitio por la mañana, como de costumbre, pero en lugar del logo y el menú… aparece una pantalla negra con letras rojas. ¿Drama? No tanto si tenés una auditoría de seguridad web al día. Pero si no la hiciste nunca… empezá a preocuparte.
Hoy en día, un sitio inseguro es básicamente una invitación abierta a los ciberataques. Y no hace falta tener un banco online o un e-commerce con millones de visitas para que te conviertas en objetivo. Los bots no discriminan. En resumen, la seguridad web es cosa seria, y tener un plan de auditoría te puede salvar de más de un susto.
¿Qué es una auditoría de seguridad web?
Una auditoría de seguridad web es una revisión exhaustiva del estado actual de tu sitio, con el objetivo de identificar vulnerabilidades, errores de configuración y puntos débiles que podrían ser explotados por atacantes.
Pero tranquilos, no hace falta ser Edward Snowden para hacer una auditoría decente. Con las herramientas adecuadas y una guía como esta, cualquiera con un poco de paciencia puede hacerlo.
Pasos para una auditoría efectiva (sin perder la cabeza en el intento)
1. Escaneá vulnerabilidades con herramientas automáticas
Antes de meterte a revisar línea por línea tu código (si es que tenés acceso), lo ideal es empezar con herramientas que te ahorran trabajo:
- Security Headers (https://securityheaders.com)
- Detectify (https://detectify.com)
- Mozilla Observatory (https://observatory.mozilla.org)
- WPScan (https://wpscan.com) si usás WordPress
Estas plataformas revisan cosas como encabezados HTTP, configuraciones SSL/TLS, plugins vulnerables y más.
2. Revisá permisos de archivos y carpetas
Un clásico: carpetas con permisos 777. O sea, acceso total. A cualquiera. En otras palabras, un desastre esperando ocurrir. Lo recomendable:
- Archivos: permisos 644
- Carpetas: permisos 755
Verificá esto desde tu panel de control o vía FTP.
3. Buscá malware o archivos sospechosos
Sí, a veces el enemigo ya está adentro. Usá escáneres como:
- Sucuri SiteCheck (https://sitecheck.sucuri.net/)
- VirusTotal para analizar archivos específicos
Además, revisá si hay archivos PHP que no deberían estar ahí, como shell.php, cmd.php, upload.php o cosas con nombres raros. Sospechá de todo.
4. Revisá los logs del servidor
Los logs de acceso y error pueden darte pistas sobre comportamientos extraños. Por ejemplo, múltiples intentos de login, acceso a páginas inexistentes o ejecuciones de scripts inesperados.
Sí, leer logs puede ser como leer jeroglíficos. Pero una vez que te acostumbrás, son oro puro.
5. Comprobá la configuración del CMS y sus componentes
- ¿Estás usando la última versión de WordPress, Joomla o Drupal?
- ¿Los plugins están actualizados?
- ¿El tema no tiene código abandonado o vulnerabilidades conocidas?
Si algo huele viejo… mejor actualizalo.
6. Verificá si tu sitio figura en listas negras
Aunque no lo creas, podés estar bloqueado por Google y ni enterarte. Para comprobarlo:
- Usá Google Search Console
- Revisá en https://transparencyreport.google.com/safe-browsing/search
7. Checklist de seguridad básica
- ✅ HTTPS activo y certificado válido
- ✅ Plugins actualizados
- ✅ Contraseñas fuertes
- ✅ Copias de seguridad automatizadas
- ✅ Bloqueo de intentos de login (limit login attempts)
- ✅ ReCAPTCHA o similar en formularios
Herramientas para auditar como un profesional (sin serlo)
| Herramienta | Para qué sirve | Gratuita |
|---|---|---|
| OWASP ZAP | Análisis de vulnerabilidades avanzado | Sí |
| Nikto | Escaneo de configuraciones inseguras | Sí |
| WPScan | WordPress: plugins, temas, usuarios | Sí |
| Nessus Essentials | Vulnerabilidades de red | Parcial |
| SecurityHeaders | Evalúa políticas de seguridad HTTP | Sí |
¿Cada cuánto deberías hacer una auditoría?
Acá no hay una receta única, pero como norma general:
- Sitios personales: cada 6 meses
- Sitios de negocio o con tráfico alto: cada 3 meses
- Sitios con datos sensibles o e-commerce: cada mes (mínimo)
Además, después de cualquier actualización mayor o migración, auditoría sí o sí.
Casos reales: cuando la falta de auditoría sale cara
“Un cliente no actualizó su plugin de reservas durante 1 año. Un día, su sitio redirigía a páginas de apuestas en ruso”. – Desarrollador anónimo
O este otro:
“Tenían acceso FTP abierto sin restricción por IP. Un atacante subió un script y empezó a usar su servidor para enviar spam. Perdieron el dominio”. – Sysadmin freelance
Y así, miles de historias. Por eso, mejor prevenir que lamentar.
Conclusión: auditar no es paranoia, es estrategia
No se trata de tener miedo. Se trata de tener control. Una auditoría de seguridad web no es algo que hacés una vez y ya está. Es parte del mantenimiento sano de cualquier sitio.
Porque cuando todo funciona bien, nadie lo nota. Pero cuando algo falla… se cae el mundo. Literal.
Preguntas frecuentes sobre auditoría de seguridad web
¿Querés compartir cómo auditaste tu web o necesitás ayuda?
Registrate y sumate a la comunidad
