Audita la seguretat del teu web en 1 hora: checklist pràctic per a no tècnics

La seguretat d'un web no és binària —no és 'segur' o 'insegur'. És un espectre. L'objectiu d'una auditoria bàsica no és trobar vulnerabilitats de zero-day que requereixen habilitats avançades: és eliminar les vulnerabilitats que qualsevol script kiddie amb eines automàtiques podria aprofitar en 5 minuts. Sorprenentment, la majoria de webs de pimes fallen en aquests controls bàsics.

Eines gratuïtes per fer l'auditoria

Abans de começar, et cal saber que les millors eines per a una auditoria bàsica són totes gratuïtes i no requereixen instal·lar res. SSL Labs (ssllabs.com/ssltest) analitza la configuració SSL/TLS del teu servidor en 2 minuts i et dona una nota de A+ a F. Security Headers (securityheaders.com) analitza els HTTP security headers del teu web i t'indica quins manquen. Sucuri SiteCheck (sitecheck.sucuri.net) escaneja el teu web en busca de malware i codi injectat. Mozilla Observatory (observatory.mozilla.org) fa una anàlisi completa de seguretat del teu web.

Totes aquestes eines treballen des del navegador —no necessites accés FTP ni SSH. Pots fer la totalitat de l'auditoria bàsica en menys de 30 minuts amb només el domini del teu web.

• HTTPS i SSL: verifica que el teu web té HTTPS actiu, que el certificat no caduca en els propers 60 dies, i que la puntuació a SSL Labs és almenys B. Una puntuació C o inferior indica configuracions SSL obsoletes (TLS 1.0/1.1) que cal desactivar.
• Security headers: comprova a securityheaders.com que tens almenys: Strict-Transport-Security (HSTS), X-Frame-Options: DENY o SAMEORIGIN, X-Content-Type-Options: nosniff, Content-Security-Policy (tot i que pot ser complex de configurar correctament). Una nota A o B és l'objectiu.
• Malware scan: executa Sucuri SiteCheck amb el teu domini. Si surt alguna alerta vermella (malware detectat, domini en blacklists), és una emergència —contacta el teu hosting immediatament.
• Versions de software exposades: verifica que la capçalera HTTP 'Server' no revela la versió exacta del servidor (ex: 'Apache/2.4.51' és informació útil per a un atacant). Al teu hosting o via Cloudflare pots suprimir o minimitzar aquesta informació.
• Exposició del directori .git: busca manualment a browsers https://elteuweb.com/.git/config. Si carrega contingut, el teu repositori git és accessible públicament —un desastre de seguretat que exposa tot el codi font i potencialment les credencials.
• Credencials per defecte: si uses WordPress, verifica que no existeix l'usuari 'admin'. Canvia el prefix de les taules de la base de dades si és 'wp_'. Estas dos mesures eliminen el 80% dels atacs de força bruta automatitzats.
• robots.txt i sitemap: revisa el teu robots.txt (https://elteuweb.com/robots.txt). Assegura't que no exposa paths sensibles d'administració que no sabies que eren públics.
• Contrasenyes i 2FA: amb un compte de prova, intenta accedir al panell d'administració amb contrasenyes comunes. Si és possible, activa 2FA immediatament. Si el teu CMS no ofereix 2FA natiu, hi ha plugins per a WordPress (Two Factor, WP 2FA).

Quan cal fer una auditoria professional

Una auditoria bàsica com la que hem descrit és suficient per detectar i corregir les vulnerabilitats més habituals. Però no és suficient per a alguns casos: si processes dades mèdiques o financeres, si el teu negoci depe ndria d'una interrupció de servei, si has tingut un incident recent, o si vols certificar-te per a clients que exigeixen estàndards de seguretat.

En aquests casos, una auditoria professional (penetration testing) realitzada per un equip especialitzat —amb metodologia OWASP, anàlisi de codi, proves de intrusió black-box i white-box, i informe de remediació prioritzat— és la inversió correcta. El cost típic d'una pentest bàsica per a una web de pimes és d'entre 1.500€ i 5.000€ en funció de la complexitat. Un incident de seguretat greu costa, de mitjana, 10 vegades més.

Fer una auditoria bàsica mensual és molt més barat que gestionar un incident. 1 hora al mes és la millor assegurança que pots contractar.