Cómo la mala seguridad del sitio web afecta negativamente las clasificaciones de SEO

"Seguridad del sitio web": seamos honestos: ¿cuándo fue la última vez que lo pensó seriamente? ¿Cuándo fue la última vez que usted o su equipo de SEO dedicaron dos segundos a las últimas tendencias de seguridad para sitios web?

Las empresas pueden estar gastando miles de millones de dólares en SEO en este momento, pero un porcentaje significativo de empresas con sitios web ni siquiera piensan en la seguridad de los sitios web.

Por qué es importante la seguridad web

Como emprendedor, probablemente haya gastado cientos o incluso miles de dólares a lo largo de los años en marketing y SEO, pero el eslabón más débil en la cadena de marketing digital es claramente la seguridad del sitio web:

• Una encuesta reciente de Google muestra que los estadounidenses saben menos de lo que creen sobre la seguridad de un sitio web: el 55% de los estadounidenses mayores de 16 años se califican con A o B en seguridad en línea, pero el 70% de ellos identificó erróneamente cómo es un sitio web seguro .
• Una encuesta de Harris Poll de marzo de 2019 muestra que el 97% de los Millennials participantes obtienen al menos una de cada seis preguntas sobre la seguridad del sitio web incorrecta.
• Los ataques de ransomware (un tipo de software malicioso diseñado para bloquear el acceso a un sistema informático hasta que se pague una suma de dinero) aumentaron un 195% en las pequeñas y medianas empresas a partir del primer trimestre de 2019.

La triste verdad es que nadie se preocupa realmente por la seguridad del sitio web hasta que se enfrenta a una amenaza real de ataques de malware o ransomware. Si bien las personas tienen varias formas fáciles y asequibles de mantenerse seguras en la web, las pequeñas empresas e incluso las empresas más grandes ven eso como un costo que no quieren pagar y un proceso complejo que no quieren aprender, por lo que no lo son. dispuesto a ser proactivo.

Con esta amenaza que se cierne sobre todos los sitios comerciales y de servicios, cada día es más crítico invertir tiempo y dinero en la seguridad del sitio web. Porque si su sitio web se ve comprometido, todo su negocio se ve comprometido.

Sumérgete más profundo:

• 9 técnicas efectivas de SEO para generar tráfico orgánico en 2019
• ¿Cuáles son los errores más grandes del sitio web que están reduciendo mi clasificación de SEO?
• Cómo Blockchain puede ser fundamental para prevenir el fraude digital
• Capítulo 1: Explicación de Blockchain: La red peer-to-peer definitiva

Primer paso hacia un sitio web seguro

Los conceptos básicos de la seguridad del sitio web comienzan con SSL / TLS en su HTTP existente.

• SSL significa Secure Sockets Layer y, en resumen, es la tecnología estándar para mantener segura una conexión a Internet y salvaguardar cualquier información confidencial que se envíe entre dos sistemas, evitando que los delincuentes lean y modifiquen la información transferida, incluidos los posibles detalles personales.
• TLS significa Transport Layer Security y es solo una versión actualizada y más segura de SSL. Todavía nos referimos a nuestros certificados de seguridad como SSL porque es un término de uso más común, pero cuando compra SSL de Symantec, en realidad está comprando los certificados TLS más actualizados.

¿Cuál es la diferencia entre HTTP y HTTPS? Según SEOPressor:

• HTTP significa Protocolo de transferencia de hipertexto . En su forma más básica, permite la comunicación entre diferentes sistemas. Se usa más comúnmente para transferir datos desde un servidor web a un navegador para permitir a los usuarios ver páginas web. Es el protocolo que se utilizó básicamente para todos los primeros sitios web.
• HTTPS son las siglas de Hypertext Transfer Protocol Secure . El problema con el protocolo HTTP normal es que la información que fluye del servidor al navegador no está encriptada, lo que significa que puede ser robada fácilmente . Los protocolos HTTPS solucionan esto mediante el uso de un certificado SSL , que ayuda a crear una conexión segura encriptada entre el servidor y el navegador, protegiendo así la información potencialmente confidencial para que no sea robada a medida que se transfiere entre el servidor y el navegador:

Cambiar de HTTP a HTTPS no es complicado ni requiere mucho tiempo (consulte "Cómo agregar HTTPS a su sitio web" a continuación). Con HTTPS, tanto los servidores como los clientes pueden continuar conversando de la misma manera, pero con un cifrado completo de sus solicitudes y respuestas (es decir, datos):

Sin embargo, no todo es seguro con esa capa adicional de cifrado. La certificación SSL no garantiza una seguridad completa. Incluso los sitios HTTPS enfrentan su parte justa de ataques de phishing.

Esta es la razón por la que debe tomar las medidas adecuadas para mantener su sitio seguro y no solo confiar en HTTPS para la seguridad completa del sitio.

Sumérgete más profundo:

• Cómo diseñar la UX de un sitio web o una aplicación para aumentar las conversiones
• 9 mejores proveedores de alojamiento web

¿HTTPS es una señal de clasificación?

Cambiar de HTTP a HTTPS es un paso simple que puede hacer avanzar su negocio en las SERP de Google, porque Google marca cada sitio como "inseguro" a menos que tenga una certificación HTTPS.

Al principio, HTTPS era una señal de clasificación ligera y luego, con el tiempo, Google le dio más peso a HTTPS como señal de clasificación. En agosto de 2014, Google anunció que HTTPS es una señal de clasificación:

Hoy en día, HTTPS es el modelo de confianza y seguridad que influye directamente en la experiencia de usuario y el SEO de un sitio. De hecho, a partir de julio de 2018, todos los visitantes de sitios sin un certificado TLS reciben una notificación de "no segura" de Google:

Estas notificaciones han dado lugar a que los sitios web sin la capa SSL adicional experimenten una reducción del tráfico y las tasas de conversión. Ahora es seguro decir que se ha convertido en un aspecto importante del SEO técnico.

Sumérgete más profundo:

• 7 trucos de SEO para impulsar su clasificación en 2019
• 17 mejores herramientas de SEO gratuitas (o Freemium) para mejorar su clasificación
• Cómo (y por qué) crear una estructura de contenido eficaz para una mejor clasificación
• ¿Qué es el SEO empresarial? (¡Definición, ejemplos y herramientas!)

Cómo agregar HTTPS a su sitio web

A continuación, se muestran algunos pasos sencillos que puede seguir para cambiar de HTTP a HTTPS:

Compra un certificado SSL

Comprar un certificado SSL no es tan difícil. Primero, consulte con su empresa de alojamiento web. ¿Tu plan de hosting incluye certificado? Si el precio y el tipo de certificado están de acuerdo con sus requisitos, hable con ellos sobre agregarlo a su servicio.

Alternativamente, puede buscar autoridades de certificación. Busque tipos de certificados y precios preferidos. A continuación, compre y verifique su certificado. Los certificados SSL pueden ser de varios tipos, incluidos DV, OV, EV, sitios web múltiples y comodines.

CertWizard de Digicert puede guiarlo a través del tipo de certificado SSL que necesita:

Verificar e instalar el certificado

Una vez que haya comprado el certificado SSL que cumpla con sus requisitos, es hora de verificarlo. La verificación puede tardar entre un par de minutos y unos días, según el tipo de certificado.

Después de recibir la información de su autoridad de certificación, descargue los archivos.

El proceso de instalación dependerá de la fuente de su certificado. Los servicios de alojamiento web suelen hacerse cargo de la instalación y simplificar los pasos para el webmaster.

A continuación, le indicamos cómo puede instalar su certificado comprado fuera de su servicio de alojamiento web:

• Inicie sesión en su cuenta de administrador de alojamiento web.
• Vaya a la opción "Instalar certificado SSL".
• Ingrese el certificado SSL, su nombre de dominio que necesita SSL y su clave (su Autoridad de Certificación debe proporcionarle la clave y el certificado SSL).
• Haga clic en "Instalar".

Validar el certificado SSL

El siguiente paso es la validación, y para eso, debe cerrar la sesión de su administrador de alojamiento web y la interfaz del editor de sitios web. Luego, verifique la barra de direcciones: ¿muestra la etiqueta HTTPS? Además de la dirección HTTPS, debería ver lo siguiente:

• Un candado verde en la barra de direcciones.
• Su nombre comercial (certificados EV)
• Una barra de direcciones verde (certificados EV)

• El sello de seguridad de seguridad en el sitio o la insignia de confianza (según el tipo de certificado y la autoridad de certificación):

Debe utilizar una herramienta de verificación de SSL por si acaso para garantizar el estado de la seguridad de su sitio web.

Actualice los enlaces de su sitio web

La instalación del certificado SSL a través del panel de control debería cambiar su sitio HTTP a HTTPS sin problemas. Además de las páginas principales del sitio, debe verificar otro contenido que tenga enlaces a su sitio:

• Publicaciones en redes sociales y biografías
• Blogs de alojamiento del contenido de su sitio
• Perfiles de marketing y venta en la web
• Perfiles de foros en línea
• Sitios web de socios que tienen un enlace directo al logotipo de su sitio

Nota: Tenga en cuenta que sus antiguas redes sociales, publicaciones de blog y enlaces incrustados aún pueden dirigir el tráfico a la versión HTTP del sitio, por lo que debe revisar manualmente sus publicaciones anteriores fuera del sitio para corregir estos enlaces antiguos.

Sumérjase en profundidad: cómo solucionar 15 problemas técnicos habituales de SEO en el sitio

Actualice su mapa del sitio

Generar un nuevo mapa del sitio XML no es ningún desafío. Puede hacerlo desde su cuenta de Google Analytics. Compruebe la URL predeterminada de su sitio web en la "Configuración de la propiedad" en la opción "Propiedad" de su cuenta de administrador.

Actualice http: // a https: // y guarde el cambio.

Para actualizar el mapa del sitio, visite Herramientas para webmasters:

• Ir a la consola de búsqueda
• Haga clic en configuración: el icono de engranaje en la parte superior derecha
• Seleccione "cambio de dirección"

Google lo guiará a través de los siguientes pasos para actualizar el mapa del sitio, incluida la selección del nuevo sitio y la confirmación de las redirecciones 301. Haga clic en "Enviar" una vez que termine de realizar los cambios.

Adquirir e instalar un certificado HTTPS es bastante sencillo para todos los usuarios del sitio web. Los pasos que hemos descrito anteriormente son pertinentes para todas las versiones de WordPress y también para algunas otras plataformas CMS.

Si tiene un proveedor de servicios de alojamiento web confiable, debe hablar con él para una instalación rápida y una migración perfecta de su sitio de HTTP a HTTPS ajustando su plan de alojamiento.

¿Qué hay más allá de HTTPS en el ámbito de la ciberseguridad?

Si bien HTTPS es esencial, no es todo lo que hay para la seguridad del sitio web. Los sitios web se enfrentan a muchos tipos diferentes de amenazas de ciberseguridad mientras se ejecutan, como:

1) Inyecciones SQL

Una inyección SQL es una técnica de inyección de código y una técnica de SEO negativa nefasta que un hacker criminal (o su competidor) puede implementar para derribar su sitio. El atacante obtiene acceso al backend de su base de datos inyectando códigos en el contenido de la base de datos vulnerable o corrupto a través de la entrada de una página web (como un usuario que ingresa su "nombre de usuario" con una declaración SQL). Sigue siendo una de las amenazas más comunes porque es muy eficaz.

Puede afectar a cualquier sitio web que utilice servidores MySQL, Oracle y SQL.

Cómo verificar si su sitio web está bajo un ataque de inyección SQL

Para evitar ataques de inyección SQL, puede ejecutar análisis de vulnerabilidades utilizando programas de software antivirus confiables. Averigüe si el sitio web está sufriendo un ataque utilizando una herramienta como SQL Injection Test Online.

Siga estas reglas para prevenir ataques de inyección SQL:

• Nunca debe incluir la entrada directamente, sino desinfectar todas las entradas.
• Proporcione únicamente los derechos de acceso necesarios a las cuentas utilizadas para conectarse con la base de datos.
• No muestre declaraciones SQL en mensajes de error; en su lugar, utilice un mensaje genérico.

2) Configuraciones incorrectas en seguridad

Las configuraciones erróneas de seguridad pueden incluir la falta de un certificado SSL, pero generalmente abarcan más factores. Cubren casi todos los tipos de vulnerabilidades que resultan de la falta de mantenimiento y actualización de las aplicaciones del sitio web.

Una configuración incorrecta de seguridad puede surgir de complementos desactualizados o de complementos no autorizados de terceros para un sitio web. Pueden proporcionar una ventana para que los atacantes exploten información confidencial en una base de datos web. Además, la seguridad de la base de datos puede verse comprometida a través del abuso de privilegios del usuario, autenticación débil o prácticas deficientes de respaldo de datos. Además de resultar en ataques exitosos de ransomware, esto también puede resultar en el cierre completo del sitio web.

Cómo reforzar la seguridad adecuada del sitio web

La seguridad del sitio web comienza con HTTPS. Sin embargo, necesita profundizar en el estado de sus complementos, actualizar su motor CMS e instalar software de seguridad en su sitio. La configuración segura debe implementarse en los niveles de aplicación, servidor de aplicaciones, marco, servidor de base de datos, servidor web y plataforma.

Estas son las vulnerabilidades más comunes que pueden afectar a cualquier sitio web en la actualidad. Es posible que actualizar su sitio a HTTPS no sea suficiente para detener estos ataques, por lo que debe pensar más allá de los certificados SSL para mantener la base de datos de su sitio web y los usuarios seguros.

3) Secuencias de comandos entre sitios (XSS)

XSS incluye la inyección de scripts maliciosos en sitios web y es otra táctica de SEO negativa. El atacante aprovecha una aplicación web para enviar código malicioso al usuario en forma de script del navegador.

Es probable que el usuario desprevenido del sitio de confianza haga clic en el código, lo que le da acceso al código a las cookies del usuario, información confidencial del navegador y tokens de sesión. Los scripts XSS también pueden reescribir el contenido de las páginas HTML del sitio web.

Cómo comprobar si su sitio web está bajo un ataque XSS

Utilice una herramienta como XSS Scanner:

Qué hacer para prevenir ataques XSS

La codificación de salida dependiente del contexto es necesaria para evitar cualquier seguridad XSS. La mayoría de los sitios web modernos contienen un filtro XSS. Sin embargo, requieren la aplicación correcta de la codificación de URL.

Los webmasters deben permitir solo los enlaces con protocolos incluidos en la lista blanca como https: // s o no se permiten scripts con esquemas de URL como javascript: //.

4) Falsificación de solicitudes entre sitios

CSRF obliga al usuario a realizar acciones que tal vez no haya tenido la intención de realizar. Es un ataque malintencionado que tiene como objetivo las solicitudes de cambio de estado en el sitio.

El aprovechamiento de la ingeniería social permite al pirata informático engañar al usuario final para que ejecute acciones de la oferta del atacante. Puede incluir la transferencia de fondos, proporcionar contraseñas o cambiar su dirección de correo electrónico. Si la víctima es el administrador de un sitio web, un ataque CSRF puede comprometer las funciones del sitio web de toda la empresa.

Y si cree que es demasiado inteligente para dejarse engañar, piénselo de nuevo. Consulte estos 6 tipos comunes de ataques de ingeniería social de Norton:

• Cebo
• Phishing / Spear phishing
• Piratería de correo electrónico y spam de contactos
• Pretextando
• Quid pro quo
• Vishing

¿Cómo puede saber si su sitio web se encuentra bajo una falsificación de solicitud entre sitios? Aquí están las pautas de OWASP para identificar un CSRF.

Cómo detener los ataques CSRP

HTTPS no es suficiente para detener los ataques CSRF. El administrador del sitio debe agregar un hash a los formularios, nonce por solicitud a los formularios y URL, y verificar el encabezado de referencia en la solicitud HTTP del cliente. Otros pasos incluyen agregar un identificador de sesión a ViewState for.NET scripting.

¿Cómo puede un pirateo afectar el tráfico orgánico y el SEO de un sitio web?

Los atacantes no discriminan entre sitios en términos de su tamaño y tráfico para ataques. Así es como puede afectar tanto a su tráfico como a su SEO:

Lista negra

La lista negra , cuando su sitio web se elimina del índice de los motores de búsqueda , es una de las consecuencias más graves de los ataques de malware. Dado que la mayoría de los sitios web no reciben ninguna notificación, pueden ser blanco repetidamente de ataques de ransomware y malware. Varios sitios web tienen vulnerabilidades persistentes que los hacen propensos a inyecciones de SQL, XSS, CSRF y ataques de phishing.

No recibir ninguna notificación puede significar una pérdida continua de dinero, reputación y visitantes cuando Google detecta el comportamiento anómalo y pone el sitio en una lista negra. Encontrarse en la lista negra es el final de todo el tráfico y el SEO para cualquier sitio web. Sin embargo, es una forma de empezar de cero con un sitio limpio.

Errores de rastreo

Los bots raspadores rastrean sitios para raspar contenido, bloquear bots de motores de búsqueda y participar en el robo de datos. Sus clasificaciones SERP también pueden verse afectadas cuando los robots raspadores crean contenido duplicado en otra ubicación. Pueden crear errores 404 y 503 en su Google Search Console. Son responsables de crear bucles infinitos que consumen muchos recursos.

Al encontrar contenido duplicado, presente una queja de DMCA ante Google. El análisis de rutina de los archivos de registro con herramientas premium puede producir una lista exhaustiva de bots que rastrean su sitio. Identifique su fuente para separar los bots buenos de los malos.

Profundice más: Google dejará de admitir Robots.txt Noindex: lo que eso significa para usted

Spam SEO

Los piratas informáticos criminales pueden lograr spam de SEO a través de inyecciones de SQL, lo que puede resultar en la lista negra de su sitio web o en la alteración completa de cómo aparece su sitio en las SERP de Google. También pueden reducir la velocidad de su sitio web, que es una de las principales señales de clasificación.

Necesita complementos de seguridad y herramientas de SEO que puedan detectar actividad maliciosa en tiempo real en su sitio. Parchar las vulnerabilidades es absolutamente esencial. Echa un vistazo a las plataformas pagas que ofrecen una supervisión completa de sitios web, como Sucuri, líder de la industria en seguridad de WordPress (es un servicio pago, pero ofrecen escaneo limitado de WordPress de forma gratuita).

Pensamientos finales

Al final del día, no debes hacer de Google tu antivirus. Google marca los sitios no confiables y pone en una lista negra los que representan una amenaza para los usuarios, pero confiar en las actualizaciones de Google no es una forma proactiva de cuidar la seguridad y el SEO de su sitio.

Si desea mejorar su SEO y mejorar el tráfico de su sitio web, siempre comience con HTTPS. Luego, piense en invertir en un sistema de vigilancia de sitios web que supervise más allá de la certificación SSL de su sitio.