La mayoría de los sitios web que veo no tienen ni lo básico en seguridad. No hablo de ataques sofisticados — hablo de cosas simples que cualquier sitio debería tener y que muchos ignoran.
HTTPS: lo mínimo de lo mínimo
Si tu sitio no tiene HTTPS (el candado en el navegador), Google lo marca como "no seguro" y tus visitas desconfían antes de leer una palabra. Hoy cualquier hosting decente te da certificado SSL gratis. No hay excusa para no tenerlo.
Validar todo lo que entra
Formularios de contacto, campos de búsqueda, URLs — cualquier dato que un usuario pueda ingresar es un punto de entrada potencial. La regla es simple: nunca confíes en lo que llega del navegador. Valida en el frontend para la experiencia del usuario, pero valida de nuevo en el backend porque ahí es donde realmente importa.
Headers de seguridad
Son configuraciones que le dicen al navegador cómo comportarse con tu sitio. Las más importantes:
- Content-Security-Policy: Controla qué scripts y recursos puede cargar tu página. Previene ataques de inyección.
- X-Frame-Options: Evita que tu sitio se muestre dentro de un iframe de otro sitio (previene clickjacking).
- Strict-Transport-Security: Fuerza que siempre se use HTTPS.
Mantener todo actualizado
Si usas WordPress, plugins desactualizados son la causa número uno de hackeos — es una de las razones por las que muchos optan por alternativas como Next.js. Si usas dependencias de npm, revisa vulnerabilidades conocidas. Si usas un CMS, actualízalo. La mayoría de los ataques exitosos explotan cosas que ya tienen parche — solo que nadie lo instaló.
No necesitas ser paranoico
No necesitas invertir miles en seguridad. Con HTTPS, validación de datos, headers bien configurados y dependencias actualizadas ya estás mejor que el 90% de los sitios. Lo importante es no ignorar lo básico. Si quieres saber qué más necesita tu sitio para que Google lo posicione, revisa qué necesita tu web para aparecer en Google.