¿Necesito ser experto para auditar mi sitio?

No. Existen herramientas fáciles de usar que permiten realizar auditorías básicas sin conocimientos técnicos avanzados.

¿Cada cuánto debería hacer una auditoría?

Depende del tipo de sitio. Se recomienda al menos cada 3 a 6 meses, y siempre después de cambios importantes.

¿Cómo sé si mi sitio está comprometido?

Cambios no autorizados, redirecciones, alertas de navegador o notificaciones de Google son señales de posible infección o ataque.

¿Qué herramientas puedo usar para auditar seguridad?

OWASP ZAP, WPScan, Nikto, SecurityHeaders y otras herramientas ayudan a detectar vulnerabilidades comunes en sitios web.

¿Qué pasa si no hago auditorías?

Tu sitio queda vulnerable a ataques. Las auditorías periódicas permiten prevenir pérdidas y reforzar la confianza del usuario.

Guía para auditar la seguridad de tu web sin entrar en pánico

Q: ¿Qué es una auditoría de seguridad web?

Es un proceso para revisar la seguridad del sitio, identificar riesgos y prevenir accesos no autorizados o pérdidas de datos.

Porque revisar la seguridad de tu sitio no debería ser una misión secreta… ni una pesadilla

Guía para auditar la seguridad de tu web sin entrar en pánico

Índice

¿Por qué deberías preocuparte por la seguridad de tu web?

La escena se repite más de lo que imaginamos: alguien entra a su sitio por la mañana, como de costumbre, pero en lugar del logo y el menú… aparece una pantalla negra con letras rojas. ¿Drama? No tanto si tenés una auditoría de seguridad web al día. Pero si no la hiciste nunca… empezá a preocuparte.

Hoy en día, un sitio inseguro es básicamente una invitación abierta a los ciberataques. Y no hace falta tener un banco online o un e-commerce con millones de visitas para que te conviertas en objetivo. Los bots no discriminan. En resumen, la seguridad web es cosa seria, y tener un plan de auditoría te puede salvar de más de un susto.

¿Qué es una auditoría de seguridad web?

Una auditoría de seguridad web es una revisión exhaustiva del estado actual de tu sitio, con el objetivo de identificar vulnerabilidades, errores de configuración y puntos débiles que podrían ser explotados por atacantes.

Pero tranquilos, no hace falta ser Edward Snowden para hacer una auditoría decente. Con las herramientas adecuadas y una guía como esta, cualquiera con un poco de paciencia puede hacerlo.

Pasos para una auditoría efectiva (sin perder la cabeza en el intento)

1. Escaneá vulnerabilidades con herramientas automáticas

Antes de meterte a revisar línea por línea tu código (si es que tenés acceso), lo ideal es empezar con herramientas que te ahorran trabajo:

Security Headers (https://securityheaders.com)
Detectify (https://detectify.com)
Mozilla Observatory (https://observatory.mozilla.org)
WPScan (https://wpscan.com) si usás WordPress

Estas plataformas revisan cosas como encabezados HTTP, configuraciones SSL/TLS, plugins vulnerables y más.

2. Revisá permisos de archivos y carpetas

Un clásico: carpetas con permisos 777. O sea, acceso total. A cualquiera. En otras palabras, un desastre esperando ocurrir. Lo recomendable:

Archivos: permisos 644
Carpetas: permisos 755

Verificá esto desde tu panel de control o vía FTP.

3. Buscá malware o archivos sospechosos

Sí, a veces el enemigo ya está adentro. Usá escáneres como:

Sucuri SiteCheck (https://sitecheck.sucuri.net/)
VirusTotal para analizar archivos específicos

Además, revisá si hay archivos PHP que no deberían estar ahí, como shell.php, cmd.php, upload.php o cosas con nombres raros. Sospechá de todo.

4. Revisá los logs del servidor

Los logs de acceso y error pueden darte pistas sobre comportamientos extraños. Por ejemplo, múltiples intentos de login, acceso a páginas inexistentes o ejecuciones de scripts inesperados.

Sí, leer logs puede ser como leer jeroglíficos. Pero una vez que te acostumbrás, son oro puro.

5. Comprobá la configuración del CMS y sus componentes

¿Estás usando la última versión de WordPress, Joomla o Drupal?
¿Los plugins están actualizados?
¿El tema no tiene código abandonado o vulnerabilidades conocidas?

Si algo huele viejo… mejor actualizalo.

6. Verificá si tu sitio figura en listas negras

Aunque no lo creas, podés estar bloqueado por Google y ni enterarte. Para comprobarlo:

Usá Google Search Console
Revisá en https://transparencyreport.google.com/safe-browsing/search

7. Checklist de seguridad básica

✅ HTTPS activo y certificado válido
✅ Plugins actualizados
✅ Contraseñas fuertes
✅ Copias de seguridad automatizadas
✅ Bloqueo de intentos de login (limit login attempts)
✅ ReCAPTCHA o similar en formularios

Herramientas para auditar como un profesional (sin serlo)

Herramienta	Para qué sirve	Gratuita
OWASP ZAP	Análisis de vulnerabilidades avanzado	Sí
Nikto	Escaneo de configuraciones inseguras	Sí
WPScan	WordPress: plugins, temas, usuarios	Sí
Nessus Essentials	Vulnerabilidades de red	Parcial
SecurityHeaders	Evalúa políticas de seguridad HTTP	Sí

¿Cada cuánto deberías hacer una auditoría?

Acá no hay una receta única, pero como norma general:

Sitios personales: cada 6 meses
Sitios de negocio o con tráfico alto: cada 3 meses
Sitios con datos sensibles o e-commerce: cada mes (mínimo)

Además, después de cualquier actualización mayor o migración, auditoría sí o sí.

Casos reales: cuando la falta de auditoría sale cara

“Un cliente no actualizó su plugin de reservas durante 1 año. Un día, su sitio redirigía a páginas de apuestas en ruso”. – Desarrollador anónimo

O este otro:

“Tenían acceso FTP abierto sin restricción por IP. Un atacante subió un script y empezó a usar su servidor para enviar spam. Perdieron el dominio”. – Sysadmin freelance

Y así, miles de historias. Por eso, mejor prevenir que lamentar.

Conclusión: auditar no es paranoia, es estrategia

No se trata de tener miedo. Se trata de tener control. Una auditoría de seguridad web no es algo que hacés una vez y ya está. Es parte del mantenimiento sano de cualquier sitio.

Porque cuando todo funciona bien, nadie lo nota. Pero cuando algo falla… se cae el mundo. Literal.

Preguntas frecuentes sobre auditoría de seguridad web

Es un proceso de análisis para detectar vulnerabilidades, errores o configuraciones inseguras en tu sitio web, con el fin de prevenir ataques o pérdidas de datos.

No necesariamente. Con herramientas accesibles como SecurityHeaders, WPScan o Mozilla Observatory, cualquier administrador puede comenzar una auditoría básica.

Depende del tipo de sitio. Para proyectos personales, cada 6 meses. Para sitios de negocios o e-commerce, al menos una vez por trimestre.

Algunos signos incluyen redirecciones sospechosas, caídas inesperadas, mensajes de alerta en navegadores, o aparición en listas negras de seguridad como Google Safe Browsing.

Podés usar OWASP ZAP, WPScan, Nikto, Nessus Essentials, SecurityHeaders, entre otras. Muchas de ellas son gratuitas o tienen versiones freemium.

Te exponés a ataques, robos de información o mal uso de tu servidor. La prevención a tiempo es más barata (y menos dolorosa) que la recuperación.