Protegir la Web Corporativa de la teva PIME: Guia de Seguretat Web

La pagina web es la cara visible de la teva empresa a Internet. Pero tambe es una porta d’entrada per als ciberatacants. Un lloc web compromes pot servir per robar dades dels teus clients, distribuir malware als visitants, redirigir trafic a llocs fraudulents o simplement destruir la reputacio del teu negoci.

Segons l’informe de Sucuri 2024 sobre seguretat web, el 60% dels llocs hackejats utilitzen WordPress i la majoria de les infeccions es deuen a plugins desactualitzats, contrasenyes febles o configuracions insegures. El positiu es que la gran majoria d’aquests atacs son prevenibles amb mesures basiques.

Les amenaces mes comunes contra webs de PIMEs

1. Injeccio SQL (SQLi)

Un atacant introdueix codi SQL maliciós a traves de formularis de la web (contacte, cerca, login) per accedir a la base de dades. Pot extreure informacio de clients, contrasenyes, dades de pagament o fins i tot esborrar tota la base de dades.

Exemple real: Un formulari de contacte sense validacio permet que un atacant escrigui '; DROP TABLE clients; -- al camp de nom, executant un comandament que esborra la taula de clients.

2. Cross-Site Scripting (XSS)

L’atacant injecta codi JavaScript maliciós a la web que s’executa al navegador dels visitants. Pot robar cookies de sessio, redirigir a llocs de phishing o mostrar formularis falsos.

3. Forca bruta contra el tauler d’administracio

Atacs automatitzats que proven milers de combinacions d’usuari i contrasenya contra el login de WordPress (/wp-admin), Joomla o qualsevol CMS. Si la contrasenya es feble, l’atacant pren el control total del lloc.

4. Explotacio de plugins i temes vulnerables

Els plugins desactualitzats son la causa numero u de hackejaments a WordPress. Una vulnerabilitat en un plugin popular pot afectar milions de llocs simultaneament.

5. Defacement (desfiguracio)

L’atacant modifica la pagina principal per mostrar un missatge propi, generalment politic o d’autopromocio. Dany reputacional directe.

6. Atacs DDoS

Inundacio de trafic que satura el servidor i deixa la web inaccessible. Pot durar hores o dies i causar perdues directes de negoci.

Seguretat per a WordPress (el 43% de la web)

Si la teva web corporativa usa WordPress (com el 43% de tots els llocs d’Internet), aquestes son les mesures essencials:

Mesures immediates (dia 1)

1. Actualitza tot: WordPress core, tots els plugins i el tema. Activa les actualitzacions automatiques menors: afegeix define('WP_AUTO_UPDATE_CORE', 'minor'); a wp-config.php.

2. Elimina plugins i temes inactius: Un plugin desactivat pero instal.lat segueix sent un punt d’atac.

3. Canvia l’usuari “admin”: Si el teu usuari d’administracio es diu “admin”, canvia-li el nom. Es el primer que proven els atacs de forca bruta.

4. Contrasenya forta: Minim 16 caracters, generada per un gestor de contrasenyes.

5. Limita intents de login: Instal.la un plugin com “Limit Login Attempts Reloaded” o “WPS Hide Login” per canviar la URL d’acces.

6. Certificat SSL: La teva web ha d’usar HTTPS. La majoria de hostings ofereixen Let’s Encrypt gratuit.

Mesures de proteccio avancada

7. Plugin de seguretat: Instal.la’n un (no diversos, es fan interferencia):

8. Permisos de fitxers: Configura els permisos correctes al servidor:

   • Directoris: 755
   • Fitxers: 644
   • wp-config.php: 400 o 440

9. Capceleres de seguretat HTTP: Afegeix al fitxer .htaccess o a la configuracio del servidor:

   • X-Content-Type-Options: nosniff
   • X-Frame-Options: SAMEORIGIN
   • X-XSS-Protection: 1; mode=block
   • Strict-Transport-Security: max-age=31536000; includeSubDomains
   • Content-Security-Policy: default-src 'self' (ajustar segons necessitats)

10. Desactiva XML-RPC: Si no uses l’app mobil de WordPress ni serveis que ho requereixin, desactiva XML-RPC. Es un vector d’atac habitual.

11. Desactiva l’edicio de fitxers des del tauler: Afegeix a wp-config.php: define('DISALLOW_FILE_EDIT', true);

12. Backups automatics: Configura backups diaris amb UpdraftPlus (gratuit) a un emmagatzematge extern (Google Drive, Dropbox, S3).

Mesures de hosting

13. PHP actualitzat: Usa la versio de PHP mes recent suportada per WordPress (PHP 8.2 o superior al 2026).

14. WAF (Web Application Firewall): Un WAF filtra el trafic maliciós abans que arribi a la teva web:

    • Cloudflare (pla gratuit): DNS proxy amb proteccio basica DDoS i WAF limitat. El pla Pro (20 USD/mes) inclou WAF complet.
    • Sucuri WAF (199 USD/any): WAF cloud especialitzat en WordPress.
    • Hosting amb WAF integrat: Alguns hostings (SiteGround, Kinsta) inclouen WAF a nivell de servidor.

15. Aillament de comptes: Si tens diversos llocs al mateix hosting, assegura’t que estan aillats. Un lloc compromes no ha de poder accedir als fitxers d’un altre.

Seguretat per a webs no-WordPress

Si la teva web usa un altre CMS (Joomla, Drupal, PrestaShop) o es una web a mida, els principis son els mateixos:

• Actualitza sempre: CMS, plugins, llibreries, frameworks.
• Validacio d’entrada: Tota dada que introdueix l’usuari ha de ser validada i sanejada al servidor, mai nomes al navegador.
• Consultes parametritzades: Mai construeixis consultes SQL concatenant cadenes. Usa prepared statements.
• HTTPS obligatori: Redirigeix tot el trafic HTTP a HTTPS.
• Capceleres de seguretat: Les mateixes que per a WordPress.
• WAF: Cloudflare funciona amb qualsevol web.

Com verificar la seguretat de la teva web

Aquestes eines gratuites et permeten analitzar la seguretat del teu lloc:

Rutina recomanada: Passa aquestes eines un cop al mes i corregeix els problemes identificats.

Que fer si la teva web ha estat hackejada

1. No entris en panic, pero actua rapid.
2. Posa la web en mode manteniment: Per evitar que els visitants es vegin afectats.
3. Canvia totes les contrasenyes: WordPress, base de dades, FTP, hosting, correu.
4. Escaneja amb Sucuri SiteCheck i Wordfence: Identifica els fitxers infectats.
5. Restaura des d’un backup net: Es la forma mes fiable de netejar una infeccio.
6. Actualitza tot: WordPress, plugins, temes, PHP.
7. Revisa els usuaris: Elimina qualsevol usuari administrador que no reconeguis.
8. Sol.licita revisio a Google: Si la teva web apareix amb l’avis “Aquest lloc pot haver estat hackejat”, sol.licita una revisio des de Search Console.
9. Investiga la causa: Com va entrar l’atacant? Plugin vulnerable? Contrasenya feble? Hosting compartit?
10. Implementa les mesures d’aquest article: Per evitar que torni a passar.

Checklist de seguretat web

• WordPress, plugins i temes actualitzats a l’ultima versio
• Plugins i temes inactius eliminats
• Contrasenya d’admin forta (16+ caracters) i unica
• URL de login personalitzada (no /wp-admin)
• Intents de login limitats
• HTTPS actiu amb certificat SSL valid
• Plugin de seguretat instal.lat i configurat
• Capceleres de seguretat HTTP configurades
• XML-RPC desactivat (si no es necessita)
• Edicio de fitxers des del tauler desactivada
• Permisos de fitxers correctes (755/644)
• PHP actualitzat (8.2+)
• Backups automatics diaris a emmagatzematge extern
• WAF actiu (Cloudflare o similar)
• Escaneig mensual amb eines online

Conclusio

La seguretat de la teva web corporativa no es un luxe: es una necessitat basica. Un lloc hackejat danya la confianca dels teus clients, perjudica el teu posicionament SEO i pot comportar sancions legals si es filtren dades personals.

La bona noticia es que el 90% dels hackejaments es prevenen amb mesures basiques: actualitzacions al dia, contrasenyes fortes, un plugin de seguretat ben configurat i backups regulars. Inverteix dues hores a passar la checklist d’aquest article i la teva web estara significativament mes protegida.

Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.