Checklist de seguridad para tu sitio web (sin ser técnico)

Tu sitio web es la cara de tu negocio. Una tienda online, un blog, una landing, la página de tu local: todos guardan algo valioso, ya sea ventas, datos de clientes o tu reputación. Y casi nadie revisa su seguridad hasta que pasa algo: un cobro raro, un correo de "tu sitio fue suspendido" o, peor, un cliente que te avisa que tu página está mostrando publicidad de pastillas que tú nunca pusiste.

La buena noticia es que la mayoría de los sitios se hackean por cosas básicas y evitables, no por ataques de película. No necesitas ser programador para cerrar esas puertas. En esta guía te damos un checklist claro de seguridad para tu sitio web, punto por punto, con el porqué importa y cómo revisarlo rápido tú mismo, aunque no sepas nada de código.

La idea no es asustarte. Es que dediques una tarde a revisar lo esencial y duermas tranquilo. Vamos.

1. HTTPS y el candado

Por qué importa. El candadito que ves a la izquierda de la dirección significa que la conexión entre tu visitante y tu sitio va cifrada. Sin él, cualquiera en la misma red (un wifi de cafetería, por ejemplo) puede ver lo que tus clientes escriben: contraseñas, datos de tarjeta, formularios. Además, los navegadores marcan los sitios sin HTTPS como "No seguro" y Google los castiga en los resultados de búsqueda.

Cómo revisarlo rápido. Abre tu sitio en el navegador y mira la barra de dirección. ¿Empieza con https:// y hay un candado? Bien. Haz una prueba extra: escribe la dirección con http:// (sin la s) y comprueba que te redirige automáticamente a la versión segura. Si no redirige, o si el candado aparece tachado o con una advertencia, tienes trabajo pendiente.

Qué hacer. Casi todos los proveedores de hosting ofrecen certificados HTTPS gratis (Let's Encrypt). Si usas WordPress, Shopify, Wix o similares, suele activarse con un clic o ya viene incluido. Si ves la advertencia "contenido mixto", significa que alguna imagen o script todavía carga por HTTP: pídele a quien administra tu sitio que lo corrija.

2. Contraseñas y verificación en dos pasos (2FA)

Por qué importa. La forma más común de que alguien entre a tu sitio no es un hackeo sofisticado: es adivinar o robar tu contraseña. Si usas la misma clave en varios lados, basta una filtración en otro servicio para que entren al tuyo. La verificación en dos pasos (2FA) añade un segundo candado: aunque roben tu contraseña, necesitan también un código de tu teléfono.

Cómo revisarlo rápido. Hazte estas preguntas con honestidad:

• ¿La contraseña de administrador de tu sitio la usas también en tu correo o en redes? Si es sí, cámbiala.
• ¿Tiene el panel de administración (WordPress, tu hosting, tu tienda) la verificación en dos pasos activada? Búscala en Ajustes o Seguridad.
• ¿Sigue existiendo el usuario por defecto llamado admin? Es el primero que prueban los atacantes.

Qué hacer. Usa un gestor de contraseñas (Bitwarden, 1Password o el de tu navegador) para tener claves largas y distintas en cada sitio. Activa 2FA en todo lo que lo permita, empezando por tu correo y el panel de tu web. Y si tienes el usuario admin, crea uno nuevo con otro nombre y borra el viejo.

3. Mantén todo actualizado

Por qué importa. Tu sitio probablemente corre sobre un sistema (WordPress, Shopify, Joomla) y varios plugins o temas. Cada actualización suele tapar agujeros de seguridad que ya son públicos. Un plugin desactualizado es la entrada favorita de los ataques automáticos: bots que recorren internet buscando justo esa versión vulnerable. No te eligen a ti, eligen al descuidado.

Cómo revisarlo rápido. Entra a tu panel de administración y busca la sección de actualizaciones. ¿Hay avisos pendientes de núcleo, plugins o temas? ¿Tienes plugins instalados que ya ni usas? ¿Alguno lleva años sin recibir una actualización del desarrollador?

Qué hacer. Aplica las actualizaciones disponibles (después de hacer una copia de seguridad, ver el punto 4). Desinstala y borra lo que no uses: cada plugin de más es una puerta de más. Si un plugin lleva mucho tiempo abandonado por su autor, busca un reemplazo mantenido.

4. Copias de seguridad (backups)

Por qué importa. Las copias de seguridad no evitan que te hackeen, pero son tu seguro de vida cuando algo sale mal: un ataque, un plugin que rompe el sitio, un error tuyo. Sin una copia reciente, recuperar tu web puede costarte días, dinero o directamente perderlo todo.

Cómo revisarlo rápido. Responde: ¿cuándo fue la última copia de seguridad de tu sitio? Si no sabes la respuesta, probablemente no tengas ninguna. Y un detalle clave que muchos olvidan: ¿esa copia está guardada en otro lugar, no solo en el mismo servidor del sitio? Si el servidor cae o lo comprometen, una copia que vive ahí mismo no te sirve.

Qué hacer. Activa copias automáticas. Muchos hostings las incluyen; también hay plugins y servicios que lo hacen solos. Sigue una regla simple: que haya al menos una copia fuera del servidor (en la nube o tu computadora) y, de vez en cuando, prueba que realmente puedes restaurarla. Una copia que nunca probaste podría no funcionar el día que la necesites.

5. Usuarios y permisos

Por qué importa. Con el tiempo se acumulan cuentas: el diseñador que ya no trabaja contigo, la agencia que hizo un cambio hace un año, ese colaborador temporal. Cada cuenta activa es una llave de tu casa que anda circulando por ahí. Y si todos tienen permisos de administrador, cualquiera de esas llaves puede hacer cualquier cosa.

Cómo revisarlo rápido. Entra a la lista de usuarios de tu sitio. ¿Reconoces a todos? ¿Hay cuentas que ya no deberían existir? ¿Cuántas tienen permiso de administrador? La regla sana: el menor número posible de administradores.

Qué hacer. Borra las cuentas que ya no se usan. Da a cada persona solo el nivel de permiso que necesita: quien solo escribe artículos no necesita ser administrador. Cuando alguien deja de colaborar contigo, quítale el acceso ese mismo día, no "cuando me acuerde".

6. Cabeceras de seguridad básicas

Por qué importa. Aquí entramos en algo un poco más técnico, pero te lo explicamos simple. Las "cabeceras de seguridad" son instrucciones invisibles que tu sitio le da al navegador del visitante para que se comporte de forma segura: por ejemplo, "carga siempre por conexión cifrada" o "no permitas que otra página me muestre dentro de un marco para engañar a la gente". Cuando faltan, dejas pasar trucos que se aprovechan de tus visitantes.

Cómo revisarlo rápido. Esto no se ve a simple vista, y revisarlo a mano requiere abrir las herramientas de desarrollo del navegador. Es justo el tipo de cosa que una herramienta automática detecta en segundos por ti (Pursecure lo hace; más sobre eso al final).

Qué hacer. No necesitas configurarlas tú a mano. Pásale la lista de cabeceras faltantes a quien administra tu sitio, o usa el prompt listo que te entrega tu reporte para pedírselo a tu IA o a tu equipo. Son unas pocas líneas en la configuración del servidor; el impacto en seguridad es grande.

7. No expongas archivos sensibles

Por qué importa. A veces el problema no es un ataque, sino que tu propio sitio está mostrando, sin querer, archivos que deberían ser privados: copias de seguridad olvidadas, archivos de configuración con contraseñas, carpetas internas que se ven públicamente. Un atacante no necesita "entrar" si tú dejaste la información a la vista.

Cómo revisarlo rápido. Algunas señales de alerta: archivos de respaldo con nombres como backup.zip o sitio.sql accesibles desde la dirección de tu web; páginas que muestran mensajes de error largos con detalles técnicos y rutas internas; o un listado de archivos cuando entras a una carpeta que debería estar vacía o protegida.

Qué hacer. Borra de tu servidor cualquier copia de seguridad o archivo de prueba que no necesites ahí. Pide que se desactiven los mensajes de error detallados de cara al público (deben verse solo en privado). Esto también es algo que un escaneo automático de la parte pública de tu sitio detecta sin que tengas que buscar a ciegas.

8. Qué hacer si te hackean

Por qué importa. Aunque hagas todo bien, conviene saber reaccionar. Actuar rápido y con calma reduce muchísimo el daño. El peor error es entrar en pánico, borrar todo sin pensar y perder pistas (y tu copia de seguridad sana).

Pasos básicos si sospechas que te hackearon:

1. Cambia las contraseñas importantes desde un dispositivo que sepas limpio: panel del sitio, hosting y correo.
2. Avisa a tu proveedor de hosting. Suelen tener equipo y herramientas para ayudarte, y a veces ellos detectan el problema antes que tú.
3. Pon el sitio en mantenimiento si está mostrando contenido malicioso, para no perjudicar a tus visitantes.
4. Restaura desde una copia de seguridad anterior al ataque (por eso el punto 4 es tan importante).
5. Tapa la entrada antes de volver a publicar: actualiza todo, revisa usuarios y borra lo que sobre. Si no encuentras por dónde entraron, te volverán a entrar.
6. Documenta qué pasó y qué datos pudieron verse afectados, por si necesitas avisar a tus clientes.

Qué hacer. Si manejas datos sensibles de clientes o no te sientes seguro limpiando el sitio, contrata ayuda profesional. Vale la pena. Y guarda esta lista en un lugar accesible: en plena crisis no querrás improvisar.

Qué revisar en tu sitio hoy

Si tienes 30 minutos, este es el orden recomendado para empezar:

Empieza por las tres de prioridad alta: son las que más te protegen con menos esfuerzo. El resto puedes repartirlo en los próximos días. Lo importante es que dejes de posponerlo.

Cierre: deja que la parte pública se revise sola

Buena parte de este checklist puedes hacerlo a ojo en una tarde. Pero hay cosas que no se ven a simple vista (las cabeceras de seguridad, los archivos expuestos, la configuración del HTTPS) y revisarlas a mano es lento y fácil de pasar por alto.

Para eso existe Pursecure. Pegas la dirección de tu sitio y, sin instalar nada, revisamos automáticamente todo lo que es visible públicamente: el estado del HTTPS, las cabeceras de seguridad, archivos sensibles que podrían estar expuestos y más. Recibes un puntaje de 0 a 100, los problemas ordenados por gravedad y, para cada uno, cómo arreglarlo, ya sea tú mismo, tu equipo o tu IA con el prompt listo para copiar.

Es gratis para empezar y no necesitas saber de tecnología. Escanea tu sitio gratis en pursecure.app y descubre en un minuto cómo está hoy la seguridad de tu sitio web.

Proteger tu sitio no es un proyecto enorme: es un hábito de revisión. Empieza hoy con lo básico y vuelve cada cierto tiempo. Tu negocio y tus clientes lo agradecerán.