Cómo tener un blog seguro y legal + opiniones de 7 profesionales

Hoy es 25 de mayo de 2019, lo que significa que ha pasado un año del día D. El 25 de mayo de 2018, en medio de la mayor campaña de spam de la historia, se acababa el mundo porque llegaba el RGPD.

Han pasado muchas cosas a lo largo de este año, y algunas se han ganado un post completo, pero para celebrar el aniversario del Reglamento General de Protección de Datos, he querido traerte un artículo práctico y útil que puedes empezar a aplicar ya en tu blog.

A continuación tienes unos consejos sencillos para tener un blog seguro, y además te los cuento muy bien acompañada: 7 profesionales del mundo digital nos cuentan su versión de estos consejos. ¿Todo listo?

 


También te podría interesar:

🔹Política de privacidad: qué es y cómo hacerla (RGPD) + INFOGRAFÍA

🔹 Cómo cumplir con el RGPD: los formularios de tu blog


🔴 Qué necesito para tener un blog seguro que cumpla la normativa

Si has leído alguno de los otros artículos de este blog, ya sabrás que tienes que observar varios requisitos para cumplir con la normativa en protección de datos en tu blog, tanto dentro de la web como fuera.
Así, debes tener un análisis de riesgos, contratos actualizados con los encargados del tratamiento, cláusulas para cumplir con tu deber de informar a las personas sobre qué harás con sus datos, textos legales debidamente redactados en la web, mecanismos para ejercer los derechos en privacidad… Todo lo que te cuento en la Guía para cumplir con la protección de datos en tu blog, vaya.
Pero ¿qué necesitas para tener un blog seguro? Pues, además de los procedimientos exigidos por la normativa, debes tener mecanismos para garantizar la confidencialidad, disponibilidad e integridad de los datos que manejas, incluyendo la información personal.
Y eso, ¿cómo? Pues, para empezar, de las siguientes maneras:

 

🔴 Consejos básicos para tener un blog más seguro

 

🔓#1. Ten tus plugins actualizados

Fundamental, no hay profesional del mundo WordPress que no te recomiende tener los plugins de tu blog actualizados. La mayoría de las vulnerabilidades en las páginas montadas con WordPress se producen por tener los plugins sin actualizar, o la propia versión de WordPress.

Esta medida puede ayudarte a garantizar los tres pilares de la seguridad de la información, tanto la confidencialidad, como la integridad y la disponibilidad de tu información.

 

🔓#2. Evalúa la seguridad de tus proveedores

Una de las condiciones que establece el RGPD y que más se ignoran, casi sistemáticamente. Como responsable de la web, tienes la obligación de escoger proveedores que cumplan ellos mismos el RGPD, y manejen de forma segura la información personal. Debes ser capaz de asegurarte de alguna manera de que tus proveedores cumplen con el RGPD (y de demostrar que lo has comprobado).

¿Cómo? Puedes empezar por hacer una lista de todos tus proveedores: hosting, redes sociales, diseño web, analítica… y consultar dónde residen y qué dice su política de privacidad. Recuerda que si están fuera de la UE deberás asegurarte de que están en un país seguro según la Comisión Europea o que tienen garantías suficientes.

También puedes ponerte en contacto con ellos y solicitar que te envíen alguno de sus procedimientos obligatorios, y revisar las condiciones del contrato que incorporan, puesto que ahí aparecerán probablemente los contratos de encargo de tratamiento (aunque el responsable debería tener voz en ellos).

 

🔓#3. Revisa qué datos tienes de tus suscriptores

¿Segmentas tu base de datos de suscriptores? ¿Cuántos datos has generado a partir de su información? Ten cuidado, porque los datos que obren en tu poder tienen que respetar, entre otros, el principio de minimización: deben ser los mínimos imprescindibles para cumplir con la finalidad para la que los recogiste en un primer momento.

Por eso es muy útil revisar qué datos tienes de tus suscriptores para tener un blog que cumpla la normativa en protección de datos.

Revisa igualmente que el consentimiento que te otorgaron fue a través de una clara acción afirmativa, no por omisión, porque ya no está permitido con la nueva normativa. Las casillas desmarcadas son tus mejores amigas aquí.

Y por último, dado que los datos que no sirven deben ser suprimidos como regla general, puedes hacer un barrido general y “limpiar” tus bases de datos, teniendo en cuenta el criterio de conservación que hayas reflejado en tu Registro de Actividades de Tratamiento.

🔹 En este post tienes más sobre el Registro de Actividades del Tratamiento

 

🔓#4. Programa tus copias de seguridad

La existencia de una copia de seguridad (mejor si es más de una) puede marcar la diferencia a la hora de garantizar la disponibilidad de tu información, y, de paso, su integridad. Es muy importante que podamos restaurar los datos si alguna vez tenemos algún problema, puesto que estamos obligados como responsables.

Además, las copias de seguridad pueden ser un salvavidas cuando estás haciendo modificaciones o ajustes en tu web o en tu newsletter. ¿A quién no se le ha descolocado todo en el diseño alguna vez, o cree que ha perdido datos de suscriptores?

 

🔓#5. Revisa y actualiza tu Política de privacidad

Seguro que ya has leído el post sobre la Política de privacidad y sabes lo que toca, pero si no, te lo cuento: todo responsable tiene la obligación de informar a las personas de qué hace con los datos personales que le entregan. Por esta razón, reflejar debidamente cómo se lleva a cabo el tratamiento de datos personales en la Política de privacidad es básico para tener un blog “legal”.

Y para reflejarlo debidamente, esta política debe estar actualizada. ¿Cambias de alojamiento web? La actualizas. ¿Nuevo CM? Lo mismo. Porque los usuarios tienen derecho a saber, y solamente si están debidamente informados podrán luego decidir si te dejan sus datos, o no.

🔹Aprende aquí cómo hacer una buena Política de Privacidad

 

🔓 Blog seguro y legal – Hoja de ruta: 5 pasos en 5 días

Ya hemos visto 5 consejos básicos para tener un blog más seguro y legal. No son los únicos, pero sí son algunos de los más importantes y, sobre todo, se pueden repartir en una hoja de ruta a la que dedicar un rato cada día, durante cinco días. Antes de dar paso a los profesionales que han querido acompañarme hoy, échale un vistazo:

Hoja de ruta blog legal y seguro
Hoja de ruta para tener un blog legal y seguro

 

🔴 #7 profesionales te aconsejan sobre seguridad en tu blog

 

Pablo F Yglesias⭐ I. Pablo F. Iglesias – 

Pablo F. Iglesias es un profesional de la reputación online, formador en presencia digital y propietario de un longevo blog (¡7 años nada más!) donde escribe sobre educación, privacidad, tecnología, seguridad y todo lo que puedas pensar que es útil en este mundillo.

 

WordPress de base, y frente a lo que la mayoría piensa, es un CMS bastante seguro. El problema, no obstante, es que la gente no mantiene actualizados sus componentes, y además, al depender de terceros (en el caso de plugins y plantillas), también dependemos de que éstos estén convenientemente actualizando y parcheando los componentes que ellos crean. Por ello, te dejo por aquí algunas recomendaciones que creo importantes tener en cuenta:

Cada cuánto se actualiza un plugin o plantilla: Antes de decidirnos por uno u otro componente, además de, por supuesto, que la propia funcionalidad que nos ofrece encaje con nuestros objetivos, es importante también revisar cuándo fue la última vez que se actualizó y que change log tiene de actualizaciones. Todo esto se puede consultar desde la propia página de plugins y plantillas de WordPress, y de ser un componente de pago, seguramente en la página del desarrollador también lo tenga.

Los plugins ofrecen funcionalidad, las plantillas estética: Podría parecer algo obvio, pero un error muy habitual es utilizar una plantilla de estas de ThemeForest o envato super bonitas que además incluyen muchísimos elementos funcionales. Esto, a la larga, puede ser un problema, ya que lo más probable es que esa plantilla incluya internamente varios plugins… que quizás el desarrollador de la plantilla no tenga pensado actualizar. Por lo que vuelvo al primer punto: si vamos a instarla una de estas plantillas con muchísima funcionalidad, tenemos que fijarnos en la periodicidad y confianza del desarrollador. En un escenario perfecto los plugins deberían ser los únicos componentes que incluyen funcionalidad a la web, dejando la plantilla únicamente como el componente que nos da el diseño.

El usuario administrador: La mayoría de usuarios crean el usuario principal, que tiene los permisos de administrador, y lo dejan tal cual, sin cambiarle siquiera el nombre y el número identificador (que por defecto, y por razones obvias, es el 1), y esto permite a un atacante encontrar de forma más sencilla la manera de comprometer nuestra página. Mi recomendación es que el usuario administrador no sea el usuario que vas a utilizar normalmente (para eso utiliza un usuario con nivel de permisos de editor), y además, cámbiale bien sea accediendo a la base de datos (si tienes conocimientos, claro), bien sea mediante alguno de los múltiples plugins de seguridad que hay en el mercado, su identificador, para que no sea el número 1, y que ni siquiera esté entre los 10 primeros.

La página de login: Así mismo, por defecto WordPress tiene como página de login tupagina.es/wp-admin y tupagina.es/wp-login. Esto se puede cambiar, poniendo nosotros lo que queramos (por ejemplo, tupagina.es/zonainterna), de nuevo bien sea mediante base de datos, o con el uso de un plugin. Lo hacemos una vez y ya nos olvidamos, y con el cambio conseguimos de paso minimizar la exposición de nuestra página a las múltiples campañas de ataques a WordPress automatizadas que pululan por la red.

Twitter: Pablo F. Iglesias

🌐 pabloyglesias.com

 

Oscar StartGo Connection⭐ II. Óscar Aguilera – 

Óscar Aguilera es socio de startGo connection, una agencia que apoya a empresas en su transformación digital, especialmente en lo que se refiere a diseño web, posicionamiento SEO y marketing digital, con un plus para los ecommerce.

 

Todavía existen numerosas páginas y blogs que no están protegidos con el certificado Secure Rocket Layer, más conocido como SSL. Es cierto que, en Julio de 2018, cuando Google anunció que pasaría a penalizar las webs que no dispusieran de él en posicionamiento web y además notificaría en Chrome si son o no las webs seguras, muchas empresas empezaron a instalarlo. Pero, aún así, siguen siendo muchos los sites que no disponen de él.

¿Que hace el SSL? Este protocolo lo que hace es cifrar la comunicación entre el usuario y nuestro servidor donde tenemos alojada la página web, lo que hace prácticamente imposible obtener claves, nombres de usuario o cualquier otro tipo de información sobre un cliente de nuestra web. A día de hoy, tanto en SEO, como en seguridad y RGPD es prácticamente imposible concebir un portal sin el protocolo SSL.

¿Cómo identificamos si nuestro site dispone de SSL y esta bien configurado? Simplemente mirando en el navegador que al lado de nuestra dirección aparece un candado y ademas navegamos sobre https, no sobre http.

Debes tener en cuenta que es el proveedor de tu alojamiento el que dispondrá de certificados SSL para poner en tu dominio, por lo que si no lo tienes aún, deberías dirigirte a ellos. No obstante, si tienes conocimientos básicos, normalmente muchos proveedores ya disponen de Let’s Encrypt, un certificado totalmente gratuito que puedes instalar desde tu panel de control y que tiene detrás grandes empresas como Google, Cisco, Facebook o Siteground.

LinkedIn: Óscar Aguilera

🌐 StartGo Connection

 

Atnonio Mira - SerSeo⭐ III. Antonio Mira – 

Antonio Mira es responsable de SerSeo, una agencia especializada en SEO, SEM, Social Media e Inbound marketing para PYMES. Sus consejos son directos y al grano:

 

Yo recomendaría un plugin de seguridad. En los directorios hay cientos, pero si hay que destacar uno que funciona a las mil maravillas, es el Ithemes Security, que en su versión gratuita te permite crear copias de seguridad de tu site, además de bloquear manualmente direcciones IP que están intentando atacar tu sitio web, previo aviso del plugin. Y no solo te permite el bloqueo, si no que también en ataques de fuerza bruta (sin límite de intentos de acceso a tu site muy común en wordpress), te permite limitar el número de intentos de acceso a tu web. Dispone de una versión PRO muy completa por 52$ al año.

🌐 SerSeo

 

Roberto Diaz Consultor SEO Freelance⭐ IV. Roberto Díaz – 

Roberto Díaz es consultor SEO y Diseñador Web Freelance y en sus ratos libres escribe en su web personal sobre actualidad del mundillo del marketing digital desde una perspectiva técnica y accesible. Sus consejos son cuatro pinceladas directas al grano:

Para tener un blog seguro, lo principal sería:
Tener un buen servidor de hosting. Recomiendo, para estos casos, siempre Raiola o Webempresa.
Tener actualizado nuestrro Core y los plugins. Así evitaremos ataques a nuestra web y que nos inyecten código malicioso, entre otras cuestiones.
Tener copias de seguridad establecidas, para tener margen de maniobra frente a alguna actualización fallida o cualquier otro problema.
Tener adaptada la web a la normativa de protección de datos.

 

Twitter: Roberto Díaz

🌐 Roberto Diaz Consultor SEO Freelance

 

Miguel Florido⭐ V. Miguel Florido – 

Miguel Florido es la persona que fundó Marketing and Web, uno de los blogs de referencia dentro del sector del Marketing Digital y es, además, Director de la Escuela Marketing and Web, amén de formador y conferenciante. Nos deja estos tres consejos para tener un blog seguro:

 

Cuenta con un hosting de calidad, mi blog ha pasado por diferentes hospedajes con resultados muy irregulares hasta que llegué a Raiola Networks donde encontré la paz y la tranquilidad, ya que un blog, como cualquier proyecto en Internet, debe crecer de la mano del crecimiento del hosting y no puede nunca quedarse atrás, o lo que es peor aún, mermar las posibilidades de este.
Mi segundo consejo es que protejas tu contenido, algunas cosas puedes protegerlas a nivel de configuración de wordpress, como por ejemplo poner el feed del blog en modo resumen de esta forma evitas la copia integra de tu contenido por herramientas que leen tu feed, y la otra es analizando quién copia parcial o íntegramente tu contenido, puedes utilizar herramientas como Copyscape o el propio Google Alerts, que es totalmente gratuito y con poner el primer párrafo ya te sirve como una herramienta super efectiva para analizar quién te plagia el contenido. Cuando lo detectes, trata de contactar con el blog o página web para que lo retire, si no es así, puedes denunciarlo por Spam a Google a través de la herramienta Search Console, y de esta forma será desindexado del buscador.
Además de tener siempre actualizada tu versión de wordpress, themes y plugins, te recomiendo que evites utilizar plugins obsoletos y que además añadas algún plugin de seguridad o antivirus como Wordfence o similar.

Twitter: Miguel Florido

🌐 Marketing and Web

 

Alvaro Fontela⭐ VI. Álvaro Fontela – 

Álvaro Fontela es consultor WordPress especializado en WPO y rendimiento web y co-fundador de Raiola Networks. Es, además, ponente y formador, y gestiona su propio blog personal.

 

La principal base técnica para tener un blog seguro es la prevención, siempre lo digo y sé que soy pesado, pero con prevención podemos evitar que nos “revienten” nuestro WordPress y que un atacante pueda dañar datos. La prevención junto a la lógica son tus aliados, ya que el 99% de las infecciones de WordPress ocurren por problemas relacionados con correr riesgos innecesarios por despiste o por ahorrarnos unos eurillos.

Twitter: Álvaro Fontela

🌐 Álvaro Fontela

 

Vatoel Toñi Navas⭐ VII. Toñi Rodríguez Navas – 

Toñi es la cabeza de la agencia Vatoel, una agencia de marketing digital en Granada que trabaja especialmente en el sector agroalimentario.

 

Algunos Web Masters y Seos, confirman que los plugin de una web, son la puerta de entrada al infierno, pues se queda abierta a posibles virus y hackeos.Sin embargo, y sin entrar en demasiados aspectos técnicos, os voy a citar el plugin que utilizamos nosotros y los algunos consejos básicos para tener nuestro blog seguro: Wordfence.
WordFence es una herramienta muy potente, y si lo configuramos correctamente en nuestro WordPress conseguiremos tener seguridad óptima. Entre otras, cosas analiza los malwares y virus para bloquear posibles ataques.Otra cosa a tener en cuenta es que al instalar los plugin del tipo que sean, se deben descargar siempre de sus sitios oficiales. Os dejo una guía muy completa de Wordfence, para el que quiera animarse a configurarlo. Además de este, hay más plugin de seguridad, tales como: Sucuri Security (auditoría, análisis de malware y refuerzo de la seguridad), iThemes Security, Jetpack, SecuPress, Google Authenticator (para Autentificación de Dos Factores), Security Ninja, o Defender.Por último, diría que no contratéis un servicio de alojamiento web que no incluya copias de seguridad gratuitas de tu blog, porque os puede doler la cabeza bastante. En casi todos los hostings medianamente decentes lo incluyen, y la recuperación suele ser gratuita.

Twitter: Toñi Rodríguez Navas

🌐 Vatoel, Marketing online y social media en Granada

 

 

Hasta aquí el post de celebración del primer aniversario del RGPD. Espero que te haya servido, y mil gracias a los colaboradores por tomarse la molestia de escribir unas líneas por aquí.

¿Te han resultado útiles estos consejos?

Entonces, ¡cuéntamelo!

10 comentarios en “Cómo tener un blog seguro y legal + opiniones de 7 profesionales”

  1. Gracia por contar conmigo para este post. Ha sido un placer colaborar con una profesional como tu en RGPD.y por supuesto al lado de otros profesionales del sector. Sin lugar a duda es un tema muy dejado de lado que no tenemos en cuenta hasta que viene la agencia de protección de datos con la guadaña de la multa!!!!

  2. Hola Noe,
    encantada de colaborar contigo y dar mi humilde opinión en referencia a la seguridad y legalidad en nuestros blogs y la de nuestros clientes.
    Y al lado de tanto hombre potente, me siento super woman.😄🧗‍♀️
    Nada, para cuantas veces me necesites,
    Toñi Rodriguez
    Vatoel

Deja un comentario

Información sobre protección de datos
Responsable: Noemí Carro Sánchez Finalidad: Gestión de comentarios de la web Legitimación: Consentimiento de quien comenta Destinatarios: Ninguno, salvo obligación legal y Wordpress Derechos: acceso, rectificación, supresión, portabilidad de los datos, oposición y limitación del tratamiento, retirar el consentimiento, presentar una reclamación ante la AEPD Contacto: contacto@noemicarro.es Más información: Política de privacidad