Tarsis.net — Agencia Web y Marketing Digital — Tel: (+34) 911 413 259 EU

ALERTA COVID-19: Asesoramiento gratuito sobre digitalización
Tarsis.net › Agencia Web y Marketing Digital

Archivo de la categoría ‘Tecnología’

Rendimiento de un sitio web

Tarsis.net

La importancia del rendimiento de un sitio web

Muy pocas empresas compiten por ser las más rápidas de Internet, pero todas ellas tienen la necesidad de cumplir unos mínimos en velocidad si no quieren hacerse irrelevantes.

¿Por qué es importante el rendimiento de un servidor web?

Un sitio web tiene que cumplir varias misiones para que funcione como un activo para la empresa: Tiene que servir para atraer clientes, tiene que convencerles para contratar nuestros productos o servicios y actúa también como un escaparate de nuestra marca. Un sitio web lento impacta negativamente en todos esos aspectos:

  • Los buscadores posicionan los sitios web, entre otros muchas factores, por su velocidad. Un sitio web lento es malo para su posicionamiento (SEO). Si su sitio web no es rápido, la posición de sus páginas se hundirá en los resultados del buscador.
  • La experiencia de usuario (UX) sabe desde hace décadas que un sitio web lento es un candidato inmediato al abandono del visitante, con lo cual dejará de cumplir con sus objetivos, y dará por tierra con la inversión que usted haya podido hacer en él (diseño, contenidos, campañas de PPC o de email marketing). Según los estudios actuales (2020), un 40% de los usuarios abandonará una página que tarde en cargarse y representarse más de tres segundos, y con cada segundo extra un 7% más de usuarios harán lo mismo (Fuente: Kissmetrics).
  • La imagen de una empresa con un sitio web lento empeora a ojos del visitante. Si esa empresa ofrece productos o servicios en el campo de la tecnología, ese efecto es aún peor. No en vano, una de las tácticas para dañar la imagen de una organización son los llamados Ataques de Denegación de Servicio (Denial of service, DoS), consistentes en inundar un sitio con un número gigantesco de peticiones que degradan o impiden completamente el acceso al mismo.

Factores que influyen en el rendimiento

Si pensamos en los elementos que podemos encontrar entre el navegador del visitante y nuestro servidor web, observaremos que son varios los factores a tomar en consideración:

  • Infraestructura de red: ¿Está nuestro proveedor de alojamiento en un centro de datos con óptima conexión a los segmentos troncales de Internet? ¿Es nuestro servidor de DNS rápido resolviendo los nombres de servidor? ¿Son nuestros contenidos servidos por una red de distribución de contenidos (CDN)?
  • Potencia de nuestro servidor web: ¿Dispone de los recursos necesarios en cuanto a CPU, memoria, número y prioridad de procesos, entrada y salida? ¿Es posible escalarlo durante picos justificados de uso o en caso de ataque? ¿Es el servidor de base de datos — caso de que se utilice — igualmente potente para no introducir retardos en la atención de las peticiones?
  • Medidas de defensa contra ataques: ¿Dispone nuestro servidor de medidas dinámicas para el filtrado del tráfico que provenga de fuentes malintencionadas?
  • Características de nuestro gestor de contenidos: ¿Está configurado para ser lo más ligero posible a la hora de servir contenidos? ¿Hemos eliminado cualquier elemento innecesario que introduzca un retraso a la hora de servir las páginas? ¿Dispone de un mecanismo de caché y éste está correctamente configurado para mejorar el resultado?
  • Diseño de nuestro sitio web: ¿Está nuestro sitio web sobrecargado por elementos prescindibles? ¿Imágenes no optimizadas? ¿Exceso de fuentes web? ¿Librerías Javascript pesadas? ¿Elementos externos en servidores lentos que perjudican la carga completa de la página?

Cómo mejorar el rendimiento de un sitio web

En primer lugar, si usted no dispone del personal necesario para hacer una auditoría de su sitio web actual e introducir mejoras, nosotros disponemos de un servicio de optimización de rendimiento de sitios web que puede resultarle de utilidad. Contacte con nosotros y le haremos una propuesta de estudio de su caso.

Y si quiere usted aventurarse a hacerlo usted mismo, aquí tiene unos cuantos consejos que esperamos que encuentre útiles:

  • El alojamiento es importante, y no es caro. No ahorre dinero en este capítulo, porque lo perderá con creces por otro lado.
  • Mantenga en buen estado su gestor de contenidos, y elimine en él todo lo innecesario, tanto en pro del rendimiento como de la seguridad.
  • Sabemos que quiere tener un sitio web espectacular, pero los contenidos gráficos son muchas veces fuente de un rendimiento degradado. Vigile que sus imágenes estén siempre optimizadas y de que no se cargan elementos externos que ralenticen su sitio. Menos es más.
  • Mida, mida y mida. Al mes siguiente, vuelva a medir. No hay nada que pueda sustituir a un análisis de los tiempos de carga y representación de la página, y a las conclusiones y acciones que se derivan de ellos. En los datos está la clave.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Marketing digital Tecnología Web

Etiquetas:

Intranet con software libre frente a software propietario

Tarsis.net

Una empresa que quiera organizarse, comunicarse internamente y compartir conocimiento necesita una intranet pero, ¿es mejor utilizar una solución enlatada o una receta propia? Intranet basada en software libre o en una solución propietaria: Aquí están los argumentos.

intranet open source frente a propietaria

No ocultamos que nuestra empresa tiene una vocación por el software libre, y que tendemos a utilizarlo para desarrollar soluciones para PYMEs siempre que no haya ningún otro condicionante que diga lo contrario. Vaya esto por delante.

Aun así, nuestra apuesta por el software libre no está basada en una fe ciega, sino en el análisis de su mejor adecuación y resultados para el problema que se trate de resolver en cada caso. Por eso analizamos diferentes factores para llegar a conclusiones sólidas que respalden (o no) nuestra elección.

Consideraremos, por un lado, alternativas de software libre aquellas basadas en este tipo de software como (pero no sólo) Drupal, WordPress o Joomla; y por otro lado aquellas que se prestan como SaaS (software como servicio) o bien software de instalación en la infraestructura del cliente (por ejemplo Sharepoint o Slack).

En este artículo presentamos argumentos razonados de por qué una empresa que quiera dotarse de una intranet debe valorar como primera opción una intranet basada en software libre por encima de opciones propietarias. Para ello partimos de la siguiente tabla que resume nuestros puntos de análisis. A partir de ella analizaremos punto por punto, sin dejarnos atrás el importante asunto de los costes.

INTRANET BASADA EN SOFTWARE LIBRE FRENTE A SOFTWARE PROPIETARIO

Software libre Software propietario
Personalización
Posibilidades de ampliación mediante plugins
Desarrollo de aplicaciones
Integraciones externas
Control sobre los datos
Coste de implantación
Coste de mantenimiento
Coste de escalado de usuarios

: Dudosa, limitada o dependiente

¿Tiene que poner en marcha una intranet? Infórmese de nuestro servicio de intranet y extranet. Tenemos dos décadas de experiencia en el desarrollo de herramientas de colaboración para PYMEs.

Personalización

Las capacidades que tiene una intranet de código cerrado de modificar tanto el aspecto estético como la distribución de la información son limitadas. Habitualmente estas capacidades se resumen en cambiar un color de contraste, subir un logotipo y modificar la ubicación de un conjunto predefinido de widgets en un panel de control (dashboard).

Por contra un software abierto permite el uso de cualquier tema gratuito o de pago, su modificación o el desarrollo de un tema nuevo, con lo que sus capacidades tanto estéticas como de presentación de la información no están limitadas.

Posibilidades de ampliación mediante plugins

En el momento de escribir este artículo (julio de 2020) el número de plugins gratuitos para WordPress es de más de 57.000, a los que habría que sumar un número difícil de calcular de plugins comerciales; los de Drupal rondan los 46.000 y Joomla 7.500. Es difícil que, adaptándose un poco a las características de uno de ellos, no encontremos que podemos añadir a nuestra intranet prácticamente cualquier funcionalidad que estemos buscando.

En el caso de las intranets de código cerrado podemos encontrarnos con que no es posible instalar plugins aparte de los que ofrezca el plan contratado, que tengamos que subir el plan para obtener nuevas funcionalidades o que se puedan instalar plugins desarrollados por terceras partes de pago por suscripción.

Desarrollo de aplicaciones

Las intranets basadas en código propietario pueden permitir que un cliente desarrolle aplicaciones utilizando el software básico como plataforma (el caso de Sharepoint) o bien no permitir en absoluto el desarrollo de aplicaciones aparte de las proporcionadas por el servicio contratado, como ocurre frecuentemente en intranets SaaS llave en mano.

Muy diferente es el caso de una intranet de código abierto, en la que bien podemos desarrollar nuestros propios plugins o embeber aplicaciones desarrolladas para nuestras propias necesidades, que serán además cambiantes con el tiempo y no sometidas a los criterios que pueda fijar una empresa diferente a la nuestra.

Integraciones externas

Muchos de los servicios de intranet propietaria disponen de integración con otros servicios complementarios, como autenticación externa, captura de lineas de tiempo de redes sociales, integración con sistemas de suscripción por correo electrónico o incluso servicios de soporte a usuario. En cualquier caso estas integraciones están limitadas a aquellos servicios que sean ofrecidos por la empresa que comercializa la intranet, y sólo a esos.

Por su parte, basta echar un vistazo al directorio de plugins de WordPress para darse cuenta de la enormidad de integraciones que se ofrecen, muchas de ellas con muchas y muy buenas alternativas y, sobre todo, dependientes únicamente de nuestro propio interés, sin que esté sometido a criterios ajenos.

Control sobre los datos

La mayoría de las soluciones de intranet propietaria tienen como infraestructura centros de datos ubicados en los Estados Unidos, con lo cual el almacenamiento de datos queda fuera del área legal de la Unión Europea, y está por tanto sometida a la legislación estadounidense, mucho menos preocupada por la privacidad de los datos de los usuarios y que bajo la administración Trump ha declarado que los mecanismos de protección de datos no incluyen a ciudadanos no estadounidenses (Orden Ejecutiva 13.768, Enhancing Public Safety in the Interior of the United States).

Incluso con la certificación Privacy Shield, un acuerdo entre la Unión Europea y el Departamento de Comercio de los Estados Unidos, los datos almacenados en suelo americano estarían sometidos a la posibilidad de una intervención judicial de la administración de justicia americana.

En julio de 2020 el Tribunal Superior de Justicia de la Unión Europea acaba de declarar inválido Privacy Shield, con lo que la posición de los datos actualmente almacenados fuera del área de influencia del GDPR/RGPD están aún más en cuestión.

Cuando uno opta por una solución propia, puede elegir la infraestructura y su ubicación, y almacenar los datos propios y de sus clientes dentro del espacio GDPR/RGPD, dentro del propio país, en la Unión Europea o en centros de datos de países que han suscrito legislación equiparable, reconocida por la Unión Europea, como ocurre por ejemplo con Suiza.

No se trata sólo de evitarse molestias legales en un hipotético escrutinio de las políticas de privacidad de datos de la Agencia de Protección de Datos, sino también de poder estar tranquilos de que los datos propios y de nuestros clientes y proveedores están a salvo de intervenciones administrativas ajenas.

Coste de implantación

Éste es el único punto en el que la solución propietaria aventaja claramente a la solución de software libre. Cuando uno contrata un servicio de intranet, puede estar funcionando más rápidamente y con un coste inicial más bajo, porque normalmente no hay un precio inicial de configuración.

La solución de software libre requiere que alguien, ya sea personal de la propia empresa o un proveedor, cree la infraestructura necesaria para dar soporte al servicio (aprovisionamiento del alojamiento, bases de datos, gestor de contenidos, plugins, personalización). En función de cuáles sean los requisitos del proyecto, esto puede requerir desde unos pocos días a varias semanas, y supone un coste derivado de dichas actividades.

Coste de mantenimiento

Toda infraestructura requiere mantenimiento, en varios niveles. En primer lugar la intranet reside en un servidor de algún tipo, con un sistema operativo, con unas bases de datos, con un software que es la espina dorsal del servicio (coste de mantenimiento de infraestructura).

Por otro lado la propia intranet necesita de algún tipo de gestión de usuarios, de contenidos, de copias de seguridad, de permisos, etc (coste de mantenimiento del servicio). Son dos tipos diferentes de administración, pero ambas son necesarias.

Si estamos utilizando un servicio propietario el mantenimiento de la infraestructura no lo veremos, porque el coste del servicio incluye que el proveedor se ocupe de todas esas tareas. El coste de gestión de la propia intranet será un coste interno de nuestra empresa, porque alguien tiene que absorber esta responsabilidad.

En el caso de una intranet basada en software libre el panorama puede ser muy diverso en el mantenimiento de la infraestructura, dependiendo del tipo de alojamiento que hayamos elegido. Desde tener que administrar un servidor de abajo a arriba (sistema operativo, seguridad, servidores web y base de datos, lenguajes, copias de seguridad, etc.) hasta la contratación de un alojamiento de un CMS (sistema de gestión de contenidos), opción que también pondrá en manos del proveedor la gestión de los otros aspectos. Hay muchas fórmulas muy diferentes porque la oferta de servicios de alojamiento es realmente muy amplia.

En cuanto al coste de mantenimiento del servicio, el tipo de gestión sería similar al de la solución propietaria.

Coste de escalado de usuarios

Otro de los puntos fuertes de la solución de intranet basada en software libre es que no hay un coste asociado a la existencia de más usuarios, a diferencia de lo que ocurre con las soluciones de intranet enlatadas, que tienen un modelo de precios basado en el número de usuarios/mes, que normalmente rondará entre los 5 y los 8 €/usuario/mes para los niveles de servicio más básicos.

Cuando una organización tiene un número de usuarios no muy alto, los costes mensuales por uso empiezan a crecer y rápidamente superan a la opción de software libre, que puede crecer indefinidamente sin ningún coste mensual por usuario. Éste es uno de los argumentos más fuertes para disponer de una intranet propia, basada en software libre, en lugar de soluciones propietarias basadas en el modelo de software como servicio.

Conclusiones

De acuerdo a lo dicho anteriormente, si nuestro equipo de trabajo es pequeño o vamos a usar un espacio de intranet durante un plazo limitado de tiempo (un proyecto concreto, por ejemplo), la versión propietaria puede ser una buena opción. Pero si la intranet va a ser un compromiso a largo plazo porque se va a convertir en una herramienta de uso diario para la empresa y además tenemos un equipo de trabajo compuesto por cierto número de usuarios, la solución de software libre aventaja claramente a la versión propietaria.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Tecnología Web

Etiquetas:

El administrador de una intranet

Tarsis.net

La tecnología actual nos permite teletrabajar e interactuar con nuestros compañeros en cualquier lugar, en cualquier momento y con cualquier dispositivo, pero en las herramientas empresariales de colaboración no se trata sólo del factor tecnológico. Para que todo funcione la pieza clave es el administrador de la intranet.

Todo sistema necesita administración

Si hablamos sólo desde el punto de vista práctico debería resultar evidente que si ponemos un sistema en marcha y lo abandonamos a su suerte es sólo cuestión de tiempo que algo vaya mal: Hackeo, ausencia de backup, cuentas de usuario abandonadas, contenidos con accesos más laxos de lo conveniente o cualquier otro de los mil avatares que puede sufrir un sistema.

No son incidencias hipotéticas. Estos problemas son el día a día de cualquier sistema poblado de usuarios y sus interacciones. Tarde o temprano estos casos se producirán.

Pero si no nos quedamos sólo en el ámbito práctico, sino que realmente entendemos que nuestra organización necesita una herramienta de colaboración y que esa herramienta tiene como misión conseguir un trabajo más inteligente, coordinado y satisfactorio de nuestros empleados, entonces necesitamos alguien que actúe no sólo como mantenedor de una infraestructura técnica, sino también que ejerza de relaciones públicas de la misma desde arriba hasta abajo. De hecho se trataría de alguien que utilizase el ahora tan manido término “experiencia de cliente” (Customer experience, CX), pero dirigiendo su foco hacia los usuarios internos.

No es un problema exclusivo de las intranets. Muchos sistemas estratégicos dentro de una organización, como los CRM o ERP, en los que trabajan conjuntamente empleados de diferentes departamentos y cargos, presentan el mismo problema: Una elevada tasa de fracaso en la implantación, incluyendo resultados prácticos lejos de los esperados, burocratización de los procedimientos y creación de silos de información.

¿Cuál es la razón? Dejando a un lado las bondades o flaquezas de uno u otro sistema, uno de los factores más importantes es que el uso de herramientas de software en las que se colabora requiere a menudo un cambio de mentalidad y la adopción de modelos de trabajo y procedimientos muy diferentes de los trabajos individuales aislados. El sistema no funciona simplemente agregando pequeños elementos aportados por trabajadores individuales, sino que hay dinámicas de grupo, horizontales, verticales y transversales, que deben ser tenidas en cuenta para que el sistema funcione, y si no se tienen en cuenta tienes todas las papeletas para que tu sistema sea un fracaso.

Una de las tareas más importantes de un administrador es buscar e incentivar la motivación de los usuarios para el uso del sistema. Muy pocos usuarios se sienten inclinados a utilizar un nuevo sistema simplemente porque está ahí. Hay que pensar tanto el sistema como sus procedimientos para que haya una razón real para su uso, y entre estos incentivos se encuentran:

  • Llevar a cabo el trabajo actual más fácilmente
  • Llevar a cabo el trabajo actual más agradablemente
  • Poder hacer cosas que antes no se podían hacer
  • Abrir canales de comunicación reales con otros miembros de la organización, que permitan saber más sobre la organización y las personas que trabajan en ella

Cualidades de un administrador

Las intranet suelen ser proyectos que se establecen de arriba a abajo: Un directivo de la empresa inicia el proceso o es encargado de que aparezca un nuevo sistema que habilite nuevas capacidades y modos de trabajo.

Teóricamente todos los miembros de la empresa van a estar afectados en su trabajo por este nuevo sistema y, en el centro de todo ello, está la persona que debe encargarse de «vender» el sistema a sus usuarios a la vez que se ocupa de que éste funcione óptimamente. Visto así parece evidente que se trata de un puesto con responsabilidades que deben estar respaldadas con capacidades, que serán fundamentalmente de dos tipos: Técnicas y comunicativas.

Técnicas

Una intranet no es sólo un sistema, pero sí es un sistema, así que no cabe duda de que se requieren competencias técnicas para que todo funcione bien y siga haciéndolo sosteniblemente. Algunas de las cualidades de este tipo que se requieren son:

  • Tiene que tener conocimientos y experiencia en el alojamiento de sitios web, su configuración y optimización.
  • También en la herramienta de publicación de contenidos (software intranet) que se vaya a utilizar, así como en las herramientas complementarias que requiera el proyecto.
  • Necesita tener conocimientos por encima de la media de usuarios respecto a cuáles son las amenazas a la seguridad, disponibilidad y privacidad de una intranet y cómo combatirlas.
  • Tiene que trabajar en base a procedimientos, que pueden afectarle sólo a él/ella, o a todos los usuarios de la intranet, y que deben ser establecidos de una forma sistemática y no arbitraria. Debe ser el responsable de crear esos procedimientos y llevarlos a efecto.
  • Debe ser capaz de analizar el uso del sistema de forma continuada y sacar conclusiones que redunden en una mejora permanente del mismo.

De comunicación

Y, acompañando al lado técnico, está el lado humano del sistema, que debe ser también cultivado para que sea un éxito. Un administrador debe tener una buena naturaleza comunicadora para ofrecer incentivos a los usuarios para que participen en su uso hasta verla como una herramienta imprescindible en el día a día.

  • Debe conocer en profundidad los diferentes usos que se puede dar a las herramientas de la intranet, e informarse de cómo sus usuarios utilizan esas herramientas — porque nadie es capaz de imaginar por adelantado todos los usos que hacen los usuarios.
  • Tiene que tener una importante faceta didáctica, aconsejando a los usuarios cómo pueden resolver problemas del día a día con el sistema y cómo mejorar su forma de trabajar. Particularmente, debe crear documentación de uso de la intranet para los nuevos usuarios que se incorporan a la empresa.
  • Tiene que publicar contenidos de interés para todos los usuarios y/o grupos de usuarios concretos, de forma que la intranet cumpla en un sentido general con su carácter de medio de comunicación interno.
  • Tiene que informar a los usuarios de que existen procedimientos internos de uso de la intranet y que todos los usuarios están sometidos a ellos, y tener paciencia y mano izquierda cuando esos procedimientos no se respetan y hay que poner orden, lo que se conoce como gobernanza de la intranet.
  • Tiene que responder a las preguntas y resolver los problemas del uso cotidiano de la herramienta, siempre con su mejor cara.
  • Debe ser capaz de recoger ideas y sugerencias de los usuarios para el desarrollo futuro de la intranet. Los usuarios pueden ser una fuente inestimable de innovación en los sistemas si se les presta atención y se reflexiona sobre sus ideas.
  • Tiene que ser capaz de informar a la dirección sobre el uso, el rendimiento, los problemas, las carencias y las posibilidades de desarrollo del sistema, y encabezar la campaña para que la intranet se desarrolle de una forma productiva, tanto para la empresa como para los usuarios.

Como puede verse, el papel de un administrador de intranet implica muchas facetas y responsabilidades que no pueden pasarse por alto, porque el funcionamiento de esta herramienta afecta al trabajo diario de todos los empleados de la empresa.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Miscelánea Tecnología Web

Etiquetas:

Si su sitio web WordPress ha sido ya comprometido

Tarsis.net

Una de las peores pesadillas del administrador de un sitio web es encontrárselo modificado por alguien no identificado (defaced) y/o no poder acceder a él debido a que ha sido asaltado con éxito. Llegados a este punto, ¿qué podemos hacer?

Foto de freestocks en Unsplash

¿Su WordPress tiene problemas? Infórmese de nuestro servicio de administración de WordPress. Disfrute de una instalación de WordPress actualizada, optimizada y segura.

Si ha seguido los consejos de nuestra anterior entrada, usted no tendrá, afortunadamente, que hacer uso de los puntos que vienen a continuación, pero si no ha sido así y su sitio ha sido comprometido, es el momento de tomar algunas medidas drásticas post-ataque:

  • Deshabilite el acceso al sitio web desde cualquier dirección IP que no sea la suya. Incluso si el sitio web deja de estar accesible, es mejor a que esté mostrando información incorrecta y perjudicando la imagen de su empresa.
  • Deshabilite todos los usuarios, a excepción del usuario administrativo que utilice y cambie todas las claves por otras nuevas y robustas.
  • Reinstale su versión actual de WordPress y actualícela a la última versión.
  • Hágase con la lista de todos los plugins que están instalados. Deshabilítelos todos y compruébelos uno a uno, para estar seguro de que todos y cada uno de ellos están actualizados y son compatibles con su versión actual de WordPress. No reinstale ningún plugin que no tenga todas las garantías o no sea compatible con la última versión.
  • Instale plugins de seguridad y configúrelos adecuadamente para defender a su sitio de nuevos ataques.
  • Aquí es donde entra la utilidad de haber seguido una buena política de backup. Si la ha seguido usted tendrá todos los datos (base de datos, archivo principal de configuración de WordPress, temas personalizados) para recuperar su instalación. Si no la ha seguido, le espera un calvario de trabajo y frustración, porque habrá perdido no sólo su sitio web, sino todo el trabajo de posicionamiento en buscadores y enlaces externos que haya hecho durante los años que haya estado funcionando su sitio web.
  • Según el grado de compromiso, y si es incapaz de determinar el alcance de este, puede ser mejor comenzar el sitio web de cero, apoyándose parcialmente en contenidos extraídos de su copia de seguridad de la base de datos. Si su sitio web ha estado haciendo un mapa del sitio (sitemap), esta lista de contenidos puede serle útil para restaurar parcial o totalmente su sitio.
  • Una vez que la situación haya vuelto a una normalidad relativa, vuelva a habilitar el acceso público al sitio web.
  • Es evidente que algo ha salido mal, así que tiene que averiguar qué es lo que ha pasado y, a ser posible, cuándo ha pasado, para impedir que vuelva a ocurrirle. No subestime la importancia de este punto o puede ver su sitio de nuevo comprometido en unos pocos días tras haberlo recuperado.
  • Asegúrese de dotarse de las herramientas y procedimientos necesarios para disponer de un sitio web WordPress securizado, que no sea una presa fácil de los amigos de lo ajeno.

Si no se encuentra usted con el ánimo de emprender la recuperación de un sitio web WordPress comprometido, disponemos de un servicio de securización de WordPress que puede serle de utilidad en esta situación. Valoraremos su situación sin compromiso y le haremos una propuesta para reflotarlo.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Tecnología Web

Etiquetas:

Securización de WordPress

Tarsis.net

Estadísticamente un 30% de los sitios web activos utilizan WordPress como gestor de contenidos (CMS), pero muy pocos de esos sitios están preparados para resistir unos asaltos que se producen todos los días, la mayor parte de las veces de forma automatizada.

Sitios web bajo asedio
Sitio de Budapest, 1686. Fuente: Wikimedia

Tipos de ataques

La mayor parte de los ataques que sufrirá su sitio web serán automatizados. Estos ataques están siendo permanentemente llevados a cabo por grupos de bots que exploran sin descanso todos los sitios web que pueden detectar en busca de información, tal como qué gestor de contenidos ha servido para crear un sitio, dónde se ubican diferentes servicios que ofrece WordPress (login, XMLRPC, cron) y tratar de evaluar los plugins instalados y sus versiones.

Con esta información otros bots llevarán después a cabo ataques contra dichas instalaciones, apoyándose en las vulnerabilidades públicamente conocidas (y no conocidas, o zero-day) con el objetivo de ganar acceso a la instalación o, en ocasiones, de obstaculizar sus operaciones mediante ataques de denegación de servicio (que pueden haber sido contratados o bien creados simplemente para extorsionar a la organización propietaria del sitio).

Como puede ver se trata de un panorama encantador con el que los administradores de sitios web batallan silenciosamente día tras día. Si es usted el administrador de un sitio web y no está al tanto de esta situación, es porque le falta información sobre lo que ocurre en su infraestructura, ya que la probabilidad de que su sitio web haya sido explorado y posteriormente atacado es del 100%.

Si su sitio web sigue funcionando normalmente es porque su administrador de sistemas está haciendo un buen trabajo, así que aproveche el último viernes de julio (“Día del Administrador de Sistemas”) para reconocer y felicitarle por una labor que hace en beneficio de toda su organización.

¿Su WordPress tiene problemas? Infórmese de nuestro servicio de administración de WordPress. Disfrute de una instalación de WordPress actualizada, optimizada y segura.

Para hacer la situación aún más amena, tendremos también que saber que hay otro tipo de ataques, dirigidos y llevados a cabo manualmente, sobre sitios concretos por personas concretas, que pueden también afectar a nuestros sistemas. Lo que habíamos visto respecto a los ataques automatizados representa una forma de fuerza bruta aplicada a granel sobre cualquier sitio con cualesquiera características.

De lo que hablamos ahora es de ataques quirúrgicos llevados a cabo por personas altamente cualificadas que pueden querer ganar acceso a un sitio web con multitud de posibles objetivos: Ganar acceso en el sitio web a información que no es pública, modificar interesadamente la información publicada en la web de su empresa u obtener una colección de claves encriptadas (hash) que después puedan ser descifradas y probadas en otros servicios de la organización. ¿Se imagina qué ocurriría si la clave del administrador de WordPress de su empresa es la misma que la del administrador de Google Apps/G Suite o de su intranet?

Este tipo de ataques son más profesionales, más interesados y por tanto más peligrosos. Tienen como objetivo las operaciones internas y la imagen pública de una organización. Pueden empezar también con una exploración del sitio web, o incluso con una operación que tenga como blanco una persona concreta (spear phising) con el fin de engañarla y conseguir información explotable.

Los resultados del éxito de uno de estos ataques es mucho más letal que los de los ataques automatizados. Para hacerles frente, además de disponer de las herramientas adecuadas, se necesita formación y unos procedimientos de seguridad consistentes en toda la organización.

Medidas para asegurar una instalación de WordPress

Pero no sucumbamos a la desesperación, porque no todo está perdido. Podemos poner a salvo nuestro sitio web WordPress si establecemos y seguimos técnicas y procedimientos factibles, relativamente sencillos, en la gestión del día a día:

  • En primer lugar, y más importante: Mantenga su instalación actualizada. Esto quiere decir que el núcleo de WordPress, todos los plugins que tenga instalados y los temas tienen que estar actualizados a su última versión, y que son compatibles con la versión actual de WordPress. No se permita trabajar de otra manera, porque de lo contrario es sólo cuestión de tiempo que un atacante localice una grieta de seguridad en su instalación anticuada y la aproveche.
  • Elimine todos los plugins y temas que no utilice. No están haciendo más que ocupar recursos y abrir potenciales agujeros de seguridad.
  • Elimine todos los usuarios que no sean necesarios. No deje abandonadas cuentas de usuario antiguas que, con el tiempo, se puedan convertir en puerta de entrada a su instalación.
  • Siga la buena práctica de establecer contraseñas seguras, no sencillas, ni compartidas con otros sitios web o servicios externos. La comodidad y la seguridad son dos conceptos que en la mayor parte de los casos están reñidos, y ésa es precisamente la razón de ser de los ataques de fuerza bruta para descubrir su clave de acceso. Para algunas instalaciones puede ser viable incluso optar por un doble factor de autenticación (2FA, Two Factor Authentication), que combine un usuario y una clave con el envío de un código temporal o un código QR legible por un teléfono móvil.
  • Mantenga siempre una estricta disciplina de backup. Hay excelentes plugins gratuitos que pueden hacerle la vida más sencilla, más segura y más tranquila.
  • Instale y configure inteligentemente un conjunto adecuado de plugins de seguridad que eviten la mayoría de los ataques y que le mantengan informado de cambios en su instalación.
  • Si su instalación dispone de un firewall o un CDN que usted pueda manejar, establezca reglas adecuadas para limitar el tráfico, especialmente a la parte administrativa de la instalación.
  • En muchas instalaciones puede ser necesario contar con un firewall de aplicación (Web Application Firewall, WAF), que actúa examinando las peticiones enviadas a WordPress y filtrando las que puedan ser potencialmente peligrosas.
  • Planifique el desastre. Póngase siempre en el peor de los casos y esté preparado para que su sitio web sufra un ataque irreversible, incluso si eso nunca llega a ocurrir. En esa circunstancia usted no puede quedarse parado sin saber qué hacer. Necesita haber asumido esa posibilidad, estar listo para reaccionar inmediatamente y restaurar la situación, al menos parcialmente, en pocas horas.

Si usted no tiene el tiempo o el personal que pueda asegurar y gestionar correctamente su sitio web WordPress, nosotros disponemos de un servicio de administración de WordPress que puede ayudarle a eliminar preocupaciones. Valoraremos su situación sin compromiso y le haremos una propuesta para optimizarlo y securizarlo y evitarle problemas en el futuro.

En un próximo artículo explicaremos qué hacer cuando nuestro sitio WordPress ha sido ya comprometido y tenemos que tomar acción para devolver el sitio a la normalidad. No se lo pierda.

PODEMOS AYUDARLE

Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Tecnología Web

Etiquetas:

¡NO sigas este enlace o serás bloqueado en este sitio!