Hoy es 25 de mayo de 2019, lo que significa que ha pasado un año del día D. El 25 de mayo de 2018, en medio de la mayor campaña de spam de la historia, se acababa el mundo porque llegaba el RGPD.
Han pasado muchas cosas a lo largo de este año, y algunas se han ganado un post completo, pero para celebrar el aniversario del Reglamento General de Protección de Datos, he querido traerte un artículo práctico y útil que puedes empezar a aplicar ya en tu blog.
A continuación tienes unos consejos sencillos para tener un blog seguro, y además te los cuento muy bien acompañada: 7 profesionales del mundo digital nos cuentan su versión de estos consejos. ¿Todo listo?
También te podría interesar:
🔹Política de privacidad: qué es y cómo hacerla (RGPD) + INFOGRAFÍA
🔹 Cómo cumplir con el RGPD: los formularios de tu blog
🔴 Qué necesito para tener un blog seguro que cumpla la normativa
🔴 Consejos básicos para tener un blog más seguro
🔓#1. Ten tus plugins actualizados
Fundamental, no hay profesional del mundo WordPress que no te recomiende tener los plugins de tu blog actualizados. La mayoría de las vulnerabilidades en las páginas montadas con WordPress se producen por tener los plugins sin actualizar, o la propia versión de WordPress.
Esta medida puede ayudarte a garantizar los tres pilares de la seguridad de la información, tanto la confidencialidad, como la integridad y la disponibilidad de tu información.
🔓#2. Evalúa la seguridad de tus proveedores
Una de las condiciones que establece el RGPD y que más se ignoran, casi sistemáticamente. Como responsable de la web, tienes la obligación de escoger proveedores que cumplan ellos mismos el RGPD, y manejen de forma segura la información personal. Debes ser capaz de asegurarte de alguna manera de que tus proveedores cumplen con el RGPD (y de demostrar que lo has comprobado).
¿Cómo? Puedes empezar por hacer una lista de todos tus proveedores: hosting, redes sociales, diseño web, analítica… y consultar dónde residen y qué dice su política de privacidad. Recuerda que si están fuera de la UE deberás asegurarte de que están en un país seguro según la Comisión Europea o que tienen garantías suficientes.
También puedes ponerte en contacto con ellos y solicitar que te envíen alguno de sus procedimientos obligatorios, y revisar las condiciones del contrato que incorporan, puesto que ahí aparecerán probablemente los contratos de encargo de tratamiento (aunque el responsable debería tener voz en ellos).
🔓#3. Revisa qué datos tienes de tus suscriptores
¿Segmentas tu base de datos de suscriptores? ¿Cuántos datos has generado a partir de su información? Ten cuidado, porque los datos que obren en tu poder tienen que respetar, entre otros, el principio de minimización: deben ser los mínimos imprescindibles para cumplir con la finalidad para la que los recogiste en un primer momento.
Por eso es muy útil revisar qué datos tienes de tus suscriptores para tener un blog que cumpla la normativa en protección de datos.
Revisa igualmente que el consentimiento que te otorgaron fue a través de una clara acción afirmativa, no por omisión, porque ya no está permitido con la nueva normativa. Las casillas desmarcadas son tus mejores amigas aquí.
Y por último, dado que los datos que no sirven deben ser suprimidos como regla general, puedes hacer un barrido general y “limpiar” tus bases de datos, teniendo en cuenta el criterio de conservación que hayas reflejado en tu Registro de Actividades de Tratamiento.
🔹 En este post tienes más sobre el Registro de Actividades del Tratamiento
🔓#4. Programa tus copias de seguridad
La existencia de una copia de seguridad (mejor si es más de una) puede marcar la diferencia a la hora de garantizar la disponibilidad de tu información, y, de paso, su integridad. Es muy importante que podamos restaurar los datos si alguna vez tenemos algún problema, puesto que estamos obligados como responsables.
Además, las copias de seguridad pueden ser un salvavidas cuando estás haciendo modificaciones o ajustes en tu web o en tu newsletter. ¿A quién no se le ha descolocado todo en el diseño alguna vez, o cree que ha perdido datos de suscriptores?
🔓#5. Revisa y actualiza tu Política de privacidad
Seguro que ya has leído el post sobre la Política de privacidad y sabes lo que toca, pero si no, te lo cuento: todo responsable tiene la obligación de informar a las personas de qué hace con los datos personales que le entregan. Por esta razón, reflejar debidamente cómo se lleva a cabo el tratamiento de datos personales en la Política de privacidad es básico para tener un blog “legal”.
Y para reflejarlo debidamente, esta política debe estar actualizada. ¿Cambias de alojamiento web? La actualizas. ¿Nuevo CM? Lo mismo. Porque los usuarios tienen derecho a saber, y solamente si están debidamente informados podrán luego decidir si te dejan sus datos, o no.
🔹Aprende aquí cómo hacer una buena Política de Privacidad
🔓 Blog seguro y legal – Hoja de ruta: 5 pasos en 5 días
Ya hemos visto 5 consejos básicos para tener un blog más seguro y legal. No son los únicos, pero sí son algunos de los más importantes y, sobre todo, se pueden repartir en una hoja de ruta a la que dedicar un rato cada día, durante cinco días. Antes de dar paso a los profesionales que han querido acompañarme hoy, échale un vistazo:
🔴 #7 profesionales te aconsejan sobre seguridad en tu blog
⭐ I. Pablo F. Iglesias –
Pablo F. Iglesias es un profesional de la reputación online, formador en presencia digital y propietario de un longevo blog (¡7 años nada más!) donde escribe sobre educación, privacidad, tecnología, seguridad y todo lo que puedas pensar que es útil en este mundillo.
WordPress de base, y frente a lo que la mayoría piensa, es un CMS bastante seguro. El problema, no obstante, es que la gente no mantiene actualizados sus componentes, y además, al depender de terceros (en el caso de plugins y plantillas), también dependemos de que éstos estén convenientemente actualizando y parcheando los componentes que ellos crean. Por ello, te dejo por aquí algunas recomendaciones que creo importantes tener en cuenta:
Cada cuánto se actualiza un plugin o plantilla: Antes de decidirnos por uno u otro componente, además de, por supuesto, que la propia funcionalidad que nos ofrece encaje con nuestros objetivos, es importante también revisar cuándo fue la última vez que se actualizó y que change log tiene de actualizaciones. Todo esto se puede consultar desde la propia página de plugins y plantillas de WordPress, y de ser un componente de pago, seguramente en la página del desarrollador también lo tenga.
Los plugins ofrecen funcionalidad, las plantillas estética: Podría parecer algo obvio, pero un error muy habitual es utilizar una plantilla de estas de ThemeForest o envato super bonitas que además incluyen muchísimos elementos funcionales. Esto, a la larga, puede ser un problema, ya que lo más probable es que esa plantilla incluya internamente varios plugins… que quizás el desarrollador de la plantilla no tenga pensado actualizar. Por lo que vuelvo al primer punto: si vamos a instarla una de estas plantillas con muchísima funcionalidad, tenemos que fijarnos en la periodicidad y confianza del desarrollador. En un escenario perfecto los plugins deberían ser los únicos componentes que incluyen funcionalidad a la web, dejando la plantilla únicamente como el componente que nos da el diseño.
El usuario administrador: La mayoría de usuarios crean el usuario principal, que tiene los permisos de administrador, y lo dejan tal cual, sin cambiarle siquiera el nombre y el número identificador (que por defecto, y por razones obvias, es el 1), y esto permite a un atacante encontrar de forma más sencilla la manera de comprometer nuestra página. Mi recomendación es que el usuario administrador no sea el usuario que vas a utilizar normalmente (para eso utiliza un usuario con nivel de permisos de editor), y además, cámbiale bien sea accediendo a la base de datos (si tienes conocimientos, claro), bien sea mediante alguno de los múltiples plugins de seguridad que hay en el mercado, su identificador, para que no sea el número 1, y que ni siquiera esté entre los 10 primeros.
La página de login: Así mismo, por defecto WordPress tiene como página de login tupagina.es/wp-admin y tupagina.es/wp-login. Esto se puede cambiar, poniendo nosotros lo que queramos (por ejemplo, tupagina.es/zonainterna), de nuevo bien sea mediante base de datos, o con el uso de un plugin. Lo hacemos una vez y ya nos olvidamos, y con el cambio conseguimos de paso minimizar la exposición de nuestra página a las múltiples campañas de ataques a WordPress automatizadas que pululan por la red.
Twitter: Pablo F. Iglesias
⭐ II. Óscar Aguilera –
Óscar Aguilera es socio de startGo connection, una agencia que apoya a empresas en su transformación digital, especialmente en lo que se refiere a diseño web, posicionamiento SEO y marketing digital, con un plus para los ecommerce.
Todavía existen numerosas páginas y blogs que no están protegidos con el certificado Secure Rocket Layer, más conocido como SSL. Es cierto que, en Julio de 2018, cuando Google anunció que pasaría a penalizar las webs que no dispusieran de él en posicionamiento web y además notificaría en Chrome si son o no las webs seguras, muchas empresas empezaron a instalarlo. Pero, aún así, siguen siendo muchos los sites que no disponen de él.
¿Que hace el SSL? Este protocolo lo que hace es cifrar la comunicación entre el usuario y nuestro servidor donde tenemos alojada la página web, lo que hace prácticamente imposible obtener claves, nombres de usuario o cualquier otro tipo de información sobre un cliente de nuestra web. A día de hoy, tanto en SEO, como en seguridad y RGPD es prácticamente imposible concebir un portal sin el protocolo SSL.
¿Cómo identificamos si nuestro site dispone de SSL y esta bien configurado? Simplemente mirando en el navegador que al lado de nuestra dirección aparece un candado y ademas navegamos sobre https, no sobre http.
Debes tener en cuenta que es el proveedor de tu alojamiento el que dispondrá de certificados SSL para poner en tu dominio, por lo que si no lo tienes aún, deberías dirigirte a ellos. No obstante, si tienes conocimientos básicos, normalmente muchos proveedores ya disponen de Let’s Encrypt, un certificado totalmente gratuito que puedes instalar desde tu panel de control y que tiene detrás grandes empresas como Google, Cisco, Facebook o Siteground.
LinkedIn: Óscar Aguilera
⭐ III. Antonio Mira –
Antonio Mira es responsable de SerSeo, una agencia especializada en SEO, SEM, Social Media e Inbound marketing para PYMES. Sus consejos son directos y al grano:
🌐 SerSeo
⭐ IV. Roberto Díaz –
Roberto Díaz es consultor SEO y Diseñador Web Freelance y en sus ratos libres escribe en su web personal sobre actualidad del mundillo del marketing digital desde una perspectiva técnica y accesible. Sus consejos son cuatro pinceladas directas al grano:
Tener un buen servidor de hosting. Recomiendo, para estos casos, siempre Raiola o Webempresa.
Tener actualizado nuestrro Core y los plugins. Así evitaremos ataques a nuestra web y que nos inyecten código malicioso, entre otras cuestiones.
Tener copias de seguridad establecidas, para tener margen de maniobra frente a alguna actualización fallida o cualquier otro problema.
Tener adaptada la web a la normativa de protección de datos.
Twitter: Roberto Díaz
🌐 Roberto Diaz Consultor SEO Freelance
⭐ V. Miguel Florido –
Miguel Florido es la persona que fundó Marketing and Web, uno de los blogs de referencia dentro del sector del Marketing Digital y es, además, Director de la Escuela Marketing and Web, amén de formador y conferenciante. Nos deja estos tres consejos para tener un blog seguro:
Mi segundo consejo es que protejas tu contenido, algunas cosas puedes protegerlas a nivel de configuración de wordpress, como por ejemplo poner el feed del blog en modo resumen de esta forma evitas la copia integra de tu contenido por herramientas que leen tu feed, y la otra es analizando quién copia parcial o íntegramente tu contenido, puedes utilizar herramientas como Copyscape o el propio Google Alerts, que es totalmente gratuito y con poner el primer párrafo ya te sirve como una herramienta super efectiva para analizar quién te plagia el contenido. Cuando lo detectes, trata de contactar con el blog o página web para que lo retire, si no es así, puedes denunciarlo por Spam a Google a través de la herramienta Search Console, y de esta forma será desindexado del buscador.
Además de tener siempre actualizada tu versión de wordpress, themes y plugins, te recomiendo que evites utilizar plugins obsoletos y que además añadas algún plugin de seguridad o antivirus como Wordfence o similar.
Twitter: Miguel Florido
⭐ VI. Álvaro Fontela –
Álvaro Fontela es consultor WordPress especializado en WPO y rendimiento web y co-fundador de Raiola Networks. Es, además, ponente y formador, y gestiona su propio blog personal.
Twitter: Álvaro Fontela
⭐ VII. Toñi Rodríguez Navas –
Toñi es la cabeza de la agencia Vatoel, una agencia de marketing digital en Granada que trabaja especialmente en el sector agroalimentario.
WordFence es una herramienta muy potente, y si lo configuramos correctamente en nuestro WordPress conseguiremos tener seguridad óptima. Entre otras, cosas analiza los malwares y virus para bloquear posibles ataques.Otra cosa a tener en cuenta es que al instalar los plugin del tipo que sean, se deben descargar siempre de sus sitios oficiales. Os dejo una guía muy completa de Wordfence, para el que quiera animarse a configurarlo. Además de este, hay más plugin de seguridad, tales como: Sucuri Security (auditoría, análisis de malware y refuerzo de la seguridad), iThemes Security, Jetpack, SecuPress, Google Authenticator (para Autentificación de Dos Factores), Security Ninja, o Defender.Por último, diría que no contratéis un servicio de alojamiento web que no incluya copias de seguridad gratuitas de tu blog, porque os puede doler la cabeza bastante. En casi todos los hostings medianamente decentes lo incluyen, y la recuperación suele ser gratuita.
Twitter: Toñi Rodríguez Navas
🌐 Vatoel, Marketing online y social media en Granada
Hasta aquí el post de celebración del primer aniversario del RGPD. Espero que te haya servido, y mil gracias a los colaboradores por tomarse la molestia de escribir unas líneas por aquí.
¿Te han resultado útiles estos consejos?
Entonces, ¡cuéntamelo!
¡Enhorabuena por el artículo Noemi! Has reunido a grandes profesionales y es un post con gran valor. Me apunto todos tus tips.
¡Muchas gracias, Isa! Estoy de acuerdo, son todos grandes profesionales, una suerte poder contar con ellos 🙂
Me ha encantado el resumen hoja de ruta. Muchas gracias Noemí, es una información muy valiosa de consulta para estar al día con nuestra Web.
Muchas gracias por tu comentario, Mónica 🙂 me alegro mucho de que te resultara de utilidad.
Gracia por contar conmigo para este post. Ha sido un placer colaborar con una profesional como tu en RGPD.y por supuesto al lado de otros profesionales del sector. Sin lugar a duda es un tema muy dejado de lado que no tenemos en cuenta hasta que viene la agencia de protección de datos con la guadaña de la multa!!!!
Gracias a ti Óscar !
Hola Noe,
encantada de colaborar contigo y dar mi humilde opinión en referencia a la seguridad y legalidad en nuestros blogs y la de nuestros clientes.
Y al lado de tanto hombre potente, me siento super woman.😄🧗♀️
Nada, para cuantas veces me necesites,
Toñi Rodriguez
Vatoel
Porque eres Superwoman! Gracias por acompañarme hoy, Toñi 🙂
Ooh!! Muchas felicidades por el buen recopilatorio de expertos que reuniste para que nos den su punto de vista
Gracias a ti por leerlo y tomarte la molestia de comentar, Alex 🙂