Para todo tipo de proyecto en línea, la seguridad es esencial. Pero además de los costos financieros, los problemas de seguridad pueden provocar tiempo de inactividad que interrumpe tu proyecto y compromete los datos de los clientes. También puede afectar las ventas/el negocio, además de la imagen de tu marca y la credibilidad de tu sitio web.
Al comenzar, hay varias amenazas de seguridad para los negocios en línea que debes tener en cuenta. Aquí analizamos los desafíos de seguridad que pueden enfrentar los usuarios de hosting compartido, así como cómo prevenirlos y resolverlos.
Seguridad del hosting compartido
Debido a la naturaleza del hosting compartido y cómo está construido, hay algunas áreas que pueden ser objetivo. Y aunque la mayoría de las configuraciones de seguridad son administradas por el proveedor de hosting, los usuarios pueden gestionar y mitigar de forma proactiva algunos riesgos de seguridad. Las áreas del hosting compartido que corren mayor riesgo se incluyen en las siguientes categorías:
Nivel del proveedor de hosting
Nivel de servidor (relacionado con el producto y el servidor compartido)
Control del usuario (relacionado con el software instalado, la configuración y el uso diario)
Seguridad a nivel del proveedor de hosting
Siempre es mejor seleccionar un proveedor de hosting con las medidas de seguridad adecuadas para mitigar posibles problemas con tu cuenta, servicio de hosting y datos.
Algunas cosas a las que debes prestar atención:
Alta seguridad de la cuenta y privacidad de los datos (autenticación multifactor y plataforma segura).
Mitigación de ataques DDoS a nivel de servidor.
Respaldos regulares del software (con notificaciones).
Otra cosa que debes recordar es que con el hosting compartido no estás aislado. Así que, si un sitio web usa prácticas de seguridad débiles, como no cifrar datos sensibles, podría representar un riesgo para otros usuarios. Un ataque que obtenga acceso a la base de datos de un sitio podría encontrar conexiones o scripts que interactúan con otras cuentas en el servidor.
También existe el riesgo de propagación de malware, cuando un sitio se infecta y se extiende a otros sitios en el servidor a través de archivos compartidos, scripts o conexiones de base de datos. Después de que el malware infecta varios sitios, puede provocar filtraciones de datos o una explotación adicional.
Ten en cuenta que es posible que los proveedores de hosting compartido no actualicen el software y las configuraciones del servidor tan pronto como las actualizaciones estén disponibles de forma predeterminada. Esto puede crear vulnerabilidades que luego pueden ser explotadas. Por ejemplo, los ciberdelincuentes suelen apuntar a versiones desactualizadas de PHP o MySQL.
Esto significa que debes asegurarte de que todas las actualizaciones del servidor se realicen con rapidez. También es mejor verificar si los proveedores de hosting admiten u ofrecen lo siguiente:
Certificados SSL
Firewalls
Atención al cliente
Bajo control del usuario
Infraestructura de software del hosting compartido
Los proveedores de hosting son responsables de la seguridad de la infraestructura de software, pero los usuarios de hosting deben gestionar la seguridad de cualquier software adicional y código personalizado.
Plugins y temas inseguros
Una consideración de seguridad es la elección de plugins, herramientas y servicios. Si estos no son legítimos o seguros, todos los usuarios de hosting compartido en el servidor podrían estar en riesgo de diversos ataques o infecciones de malware.
También es posible que se use software legítimo y oficial, pero que no se actualice, por lo que podría convertirse en una vulnerabilidad de seguridad. Este puede ser el caso de las actualizaciones de WordPress, a las que debes prestar atención en correos electrónicos y notificaciones porque no siempre se aplican automáticamente.
Cuando necesitas aplicar actualizaciones de forma activa, es más fácil pasarlas por alto. Esto es algo que debes recordar al elegir a tu proveedor.
Puedes enterarte de las actualizaciones de hosting de estas maneras:
Correos electrónicos
Alertas en el panel
Notas de la versión de los proveedores de sistemas de gestión de contenido (CMS)
Foros
Gestión de contraseñas
Cuando la gestión de contraseñas no se maneja de forma segura, puede permitir acceso no autorizado en el entorno de hosting. Las brechas de seguridad pueden ser causadas por contraseñas débiles o fáciles de adivinar, o cuando las credenciales de seguridad se comparten entre diferentes usuarios.
Ataques de fuerza bruta
Estos implican malware que intenta una gran cantidad de combinaciones de contraseñas hasta obtener acceso. Cuando las contraseñas no son lo suficientemente fuertes, el acceso puede lograrse con mayor facilidad.
Permisos de archivos
Los errores en los permisos de archivos pueden causar la filtración de información sensible, como credenciales de bases de datos. Este tipo de brecha también puede representar un riesgo para otros usuarios en el servidor, no solo para el sitio web objetivo del ataque.
Seguridad a nivel de servidor
Como ya se mencionó, los usuarios comparten recursos del servidor con otros usuarios de Shared Hosting. Cuando no se gestionan correctamente, los entornos compartidos pueden presentar varios riesgos de seguridad que deben tenerse en cuenta.
Ataques DDoS
Las cuentas de hosting compartido son vulnerables a ataques distribuidos de denegación de servicio (DDoS), en los que sistemas en línea, servidores o redes se saturan con solicitudes de conexión (tráfico de Internet). Estos ataques suelen ser realizados por una red de bots (botnet) e impiden que los usuarios normales de Internet accedan al sitio web durante un cierto periodo de tiempo.
Limitación de recursos y su impacto
Cuando una cuenta de hosting vecina recibe un ataque, esta cuenta ocupará más recursos, por lo que no estarán disponibles para otros usuarios. El resultado final es que los sitios web estarán lentos o no disponibles.
Los proveedores de hosting pueden aplicar medidas de monitoreo, como firewalls y monitoreo automatizado del tráfico, y actuar en casos de DDoS para evitar que otros usuarios se vean afectados cuando un vecino es atacado.
Las medidas para prevenir o reducir los efectos de ataques en el mismo servidor incluyen:
Routers de alta capacidad
Sistemas anti-DDoS
Aislamiento de cuentas
Firewalls
Sistemas de detección y prevención de intrusiones (IDPS)
Limitación de tráfico
Incluso con medidas de seguridad implementadas, el web hosting en entornos compartidos es ligeramente más vulnerable debido a la estructura de las cuentas de hosting compartido.
Seguridad de direcciones IP compartidas
En algunos casos, las cuentas de hosting compartido que pueden incluir múltiples planes y sitios web comparten la misma dirección IP. Esto significa que si esa única dirección IP en el servidor recibe un ciberataque, toda una gama de planes de hosting y sitios web puede verse afectada — incluso aquellos que no eran el objetivo previsto.
Brechas de datos en hosting compartido
En entornos de hosting compartido, si un sitio web se ve comprometido, los atacantes pueden encontrar formas de acceder a los archivos o bases de datos de otros sitios en el mismo servidor. Esto significa que un servidor que no está bien configurado es más vulnerable a brechas de datos, lo que permite acceso no autorizado a otras cuentas de usuario.
Un sitio web en particular del servidor puede estar bajo ataque, como un ataque DDoS, inyección SQL o cross-site scripting. La interrupción resultante de los recursos puede facilitar que los atacantes exploten otras vulnerabilidades en el servidor, lo que puede significar datos comprometidos para múltiples sitios.
Personalización de seguridad del hosting compartido
Con los productos de hosting compartido, no necesitas gestionar la seguridad de tu servidor, pero no puedes configurar con tanta flexibilidad como con opciones de hosting que proporcionan acceso root.
Los proveedores de hosting suelen ofrecer una configuración de seguridad estándar que controla las funciones de seguridad más importantes, lo que puede no satisfacer las necesidades específicas de algunos usuarios. Si necesitas que tu configuración de seguridad sea más configurable, probablemente sería mejor optar por un servidor dedicado o un servicio de hosting de Virtual Machine (VPS).
Seguridad del hosting compartido vs. otros tipos de hosting
Hosting compartido vs. VPS y hosting dedicado
Con el hosting compartido, puedes seguir las mejores prácticas y asegurarte de estar en un riesgo mínimo. Pero si tienes requisitos de seguridad más altos, quizá deberías elegir VPS o hosting de servidor dedicado. Con estas opciones, probablemente tendrás acceso root y la capacidad de gestionar y configurar tus ajustes de seguridad para que se adapten a tus preferencias.
Ventajas de seguridad del hosting dedicado
Un beneficio adicional de seguridad que ofrece el hosting dedicado es el aislamiento total. Mientras que los usuarios de hosting compartido pueden ser vulnerables a riesgos causados por otros usuarios en el mismo servidor, los usuarios de hosting tienen un servidor completo para ellos solos y control total sobre su propia seguridad. Lo mismo ocurre con los propietarios de un servidor privado virtual, pero como el aislamiento es virtual, los usuarios de VPS no son tan independientes como los usuarios de hosting dedicado.
Debe recordarse que la personalización y el control de seguridad adicionales del hosting dedicado y VPS traen consigo responsabilidades adicionales. Si los usuarios no tienen las habilidades técnicas para personalizar y gestionar ellos mismos la configuración de seguridad, es posible que necesiten contratar a un profesional de TI.
10 estrategias para proteger el hosting compartido
Para los usuarios de hosting compartido, hay riesgos de seguridad que deben tener presentes, pero también hay mejores prácticas que conviene considerar y que pueden minimizar estos riesgos.
1. Haz respaldos regulares
Respaldar regularmente los archivos del sitio web y las bases de datos evita la pérdida de datos en caso de una brecha de datos o un problema con el software instalado. También permite a los usuarios volver a las operaciones normales más rápidamente al restaurar un estado anterior del sitio web que no esté infectado.
Por lo general, es buena idea usar un servicio de respaldo automático, ya que aplicar respaldos manualmente puede pasarse por alto fácilmente o no hacerse con la suficiente regularidad.
2. Evita fuentes no confiables
Siempre mantente especialmente alerta al usar cualquier plugin o software, para que puedas evitar fuentes no confiables y minimizar los riesgos de seguridad.
3. Usa contraseñas seguras y 2FA/MFA
Es importante usar solo contraseñas fuertes y únicas para tu cuenta de hosting, paneles de administración del CMS y cuentas FTP/SFTP. Para una capa adicional de seguridad, habilita la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) siempre que sea posible.
4. Regula permisos, roles de usuario y acceso
Para evitar que alguien obtenga acceso no autorizado, establece roles y permisos de usuario adecuados, y asegúrate de almacenar y compartir las credenciales de forma segura con tus socios.
Es una buena práctica limitar el número de personas con acceso a tu cuenta de hosting y sitio web. Monitorea regularmente tus registros de acceso y la actividad de la cuenta para detectar comportamientos inusuales o no autorizados.
Recuerda establecer los permisos correctos para archivos y carpetas para evitar accesos no autorizados. Esto incluye 644 para archivos y 755 para directorios. Evita 777, que permite permisos completos de lectura/escritura/ejecución para todos los usuarios — a menos que estés seguro de que es necesario.
5. Usa un firewall de aplicaciones web (WAF)
Un WAF analiza el tráfico entrante del sitio web, identificando y filtrando solicitudes maliciosas antes de que lleguen a las aplicaciones web. Esto ayuda a prevenir varios tipos de ataques, como inyección SQL, cross-site scripting (XSS) e inclusión remota de archivos.
Los WAF pueden bloquear direcciones IP maliciosas conocidas y fuentes de spam o ataques DDoS, evitando que esas solicitudes afecten el rendimiento del sitio web.
Usa un WAF para filtrar y bloquear tráfico malicioso hacia tu sitio. Algunos proveedores de hosting ofrecen WAF como parte de su servicio, o puedes usar soluciones de terceros como Cloudflare o Sucuri.
6. Usa certificados SSL para la seguridad del sitio web
Para la seguridad del sitio web y la protección de los datos de los usuarios, los certificados SSL son una medida esencial. El protocolo HTTPS protege la comunicación entre tu sitio web y los visitantes. Muchos proveedores de hosting, como Let’s Encrypt, ofrecen certificados SSL gratuitos para todos los sitios web.
7. Actualiza regularmente parches, CMS y plugins
Mantén siempre actualizadas de forma regular tus plataformas de sistema de gestión de contenido (CMS), plugins y temas para minimizar las vulnerabilidades de seguridad.
Asegúrate de que tu proveedor de hosting mantenga completamente actualizado todo el software del servidor, como Apache, PHP y MySQL.
8. Escanea y monitorea actividad sospechosa
Monitorea regularmente señales de actividad sospechosa para detectar amenazas de seguridad. cPanel Virus Scanner está incluido con los planes de Shared Hosting de Spaceship. También hay servicios de monitoreo gratuitos como ImunifyAV y escáneres en línea gratuitos, como Sucuri.
Las herramientas de escaneo de malware detectan y eliminan malware de los sitios web, y muchos proveedores de hosting ofrecen escaneo de malware integrado. También puedes instalar fácilmente plugins de seguridad para plataformas CMS populares como WordPress.
9. Usa protocolo seguro de transferencia de archivos (SFTP)
Implementa SFTP para tu protocolo de transferencia de archivos (FTP), para hacer más segura la transferencia de archivos del sitio web. Mientras que FTP transmite datos (incluidas contraseñas) en texto claro, SFTP cifra la transmisión de datos. Otra alternativa segura a FTP es file transfer protocol secure (FTPS).
10. Fuerte aislamiento de cuentas
Lo mejor es elegir un proveedor de hosting con un fuerte aislamiento de cuentas de usuario, como CageFS de CloudLinux, para aislar el entorno de cada usuario y evitar que las cuentas de usuario afecten a otras.
Consideraciones adicionales de seguridad
Siempre verifica que tu proveedor de hosting siga políticas y estándares de seguridad sensatos, y que cuente con tecnologías como CloudLinux y cageFS. Recuerda que los principios básicos de la seguridad comienzan con el usuario, así que asegúrate de implementar medidas de seguridad sólidas, como respaldos automáticos, cifrado SSL y aplicación automática de parches y actualizaciones del software del servidor.
Los productos de seguridad que puedes considerar comprar incluyen:
Herramientas de escaneo automático y limpieza para la detección de malware
Acceso a terminal cifrado mediante secure shell (SSH)
Protección contra ataques de gran volumen
WAF
Protección DDoS
CDN (para reducir el impacto de los ataques DDoS)
Mantente protegido y seguro
Tanto para personas como para empresas de todos los tamaños, la ciberseguridad siempre debe ser una alta prioridad. Como cliente de hosting compartido, hay algunos problemas de seguridad que debes tener presentes, pero al tomar las decisiones correctas y seguir las mejores prácticas, puedes mantener los riesgos bajo control.


Comparte tus pensamientos