Seguridad web y SEO, más allá del HTTPs

Hace ya unos años que Google anunció que pasaba a valorar la presencia del protocolo de seguridad HTTPs como señal de posicionamiento. En su momento, esta noticia abrió el debate sobre si la seguridad de una web influía en su posicionamiento. Pese a ello, en muchos casos se reducen las medidas de seguridad implementadas en una web por motivos SEO a la instalación del certificado SSL.

Pero, ¿La relación entre el SEO y la seguridad de una web empieza y termina en el protocolo HTTPS? La realidad es que una seguridad web deficiente puede traer muchos problemas y, en ocasiones, llegar a aniquilar el posicionamiento de una web. Pensad en meses y meses, incluso años de trabajo de optimización SEO mermados por no invertir en la protección de nuestro portal. Las pérdidas económicas en estos casos son una realidad, como relata GoDaddy en su de sitios web de pequeñas empresas, superando en algunos casos los 5000$.

Vamos a analizar qué relación existe entre el SEO y la seguridad, las consecuencias negativas que puede traer una mala o nula práctica de seguridad en nuestra web y cómo actuar para detectar, prevenir y solucionar problemas de posicionamiento derivados de la misma.

¿Qué relación hay entre SEO y la seguridad de una web?

A priori, dejando de lado el protocolo HTTPs que comentaremos más adelante, no existe una relación directa o causal entre el posicionamiento orgánico y la seguridad de una web.

¿Dónde se establece entonces la relación entre el SEO y la seguridad web? Principalmente en las consecuencias negativas que derivan, por ejemplo, de un ataque de inyección de código malicioso a nuestra web. Durante este tipo de situaciones lo más seguro es que los principales motores de búsqueda, con Google a la cabeza, eliminen de sus resultados nuestra web.

Si además no somos capaces de reaccionar rápidamente, detectando y solucionando el problema de forma ágil, las pérdidas de tráfico orgánico se prolongarán en el tiempo y será más difícil recuperarnos del desplome.

Por ello, podemos afirmar que entre el SEO y la seguridad de una web existe relación, respaldada principalmente por las penalizaciones de los motores de búsqueda en las que podemos incurrir ante un ataque a nuestra web.

Consecuencias negativas para el SEO de no cuidar la seguridad de una web

Como hemos visto, la inexistencia de medidas de seguridad en una web puede desembocar en consecuencias muy negativas para el SEO. Las principales, las resumimos a continuación:

• Desindexación de la web. La medida más drástica que tomará Google si detecta que nuestro sitio web ha sido infectado por algún tipo de malware, ingeniería social o similar es la desindexación completa de la web. Evidentemente, dejaremos de recibir tráfico orgánico. Y si nuestro negocio en Internet basa una parte importante de sus visitas en el SEO, las consecuencias pueden llegar a ser devastadoras.
• Etiquetado del Snippet en los resultados. Otra de las acciones que aplica Google al detectar que la seguridad de nuestra web se ha visto comprometida es añadir un texto de advertencia para los usuarios en el Snippet de nuestra web que muestra en las páginas de resultados. Aunque no impide el acceso a la web, la presencia de este texto ejercerá un efecto disuasorio en los usuarios, que preferirán acceder a otro portal antes que a uno infectado.
• Percepción de los usuarios. Aunque de forma indirecta, si nuestra imagen de marca se ve dañada por el hackeo de nuestra web, repercutirá negativamente en el SEO. Pensad, por ejemplo, en la impresión que dejaría un portal bancario si miles de sus usuarios visitaran la web y se encontraran con una alerta de seguridad. La confianza en la empresa se vería mermada y disminuirían las búsquedas de marca.
• Imposibilidad de rastreo. Los ataques a una web, especialmente los de fuerza bruta o DDoS, pueden perjudicar al rendimiento e incluso dejar inactivo nuestro servidor. Esto implica que si en ese momento el bot de Google intenta rastrear nuestra web, no podrá hacerlo.

¿La seguridad puede considerarse entonces como un factor de posicionamiento en Google?

No. Aunque el ataque a una web pueda tener repercusiones negativas en el tráfico orgánico, no se trata de un factor de posicionamiento como tal. Con una excepción: la presencia del certificado de seguridad HTTPs, avalada por Google como señal de posicionamiento.

¿Cómo monitorizar la seguridad de tu web?

Sabiendo ya las nefastas consecuencias que puede tener un ataque a nuestra web, tenemos que implementar recursos que nos permitan detectar cuándo se ha infectado nuestro portal. Principalmente, por dos motivos.

Por un lado, por la evidente amenaza de seguridad que puede afectar tanto a nuestra web como a los usuarios que la visiten.

Por otro lado, si conseguimos detectar la infección antes que Google, podremos evitar las penalizaciones asociadas.

Estos son algunos de los métodos que os permitirán analizar de forma puntual o periódica vuestro sitio web y detectar si se ha producido una infección:

• Operador de búsqueda “site:”: con una simple consulta podemos verificar si nuestro sitio web está indexado en Google (por ejemplo, site:latevaweb.com). En caso negativo, una de las causas posibles es un ataque a nuestro portal.
• Search Console: la herramienta de Google para analizar el tráfico de búsqueda incluye un apartado llamado “Problemas de seguridad” en el que se nos informará de cualquier problema detectado por Google.
• Rastreo periódico de la web. Si realizamos rastreos con frecuencia de nuestra web, podemos detectar si existen contenidos generados por un ataque, incluso páginas de Spam.
• Herramientas externas. Algunas empresas ofrecen servicios de monitorización externa que nos informan cuando se produce un ataque a nuestra web. Incluso algunos proveedores de alojamiento incorporan este tipo de herramientas.
• Safe Browsing de Google. Este portal, además de abogar por las buenas prácticas en el campo de la seguridad web, incorpora una herramienta para analizar si una web está afectada por alguna amenaza. Y si queremos ir un paso más allá, también podemos utilizar la API Safe Browsing para automatizar vía código esta comprobación.
• Pérdida de tráfico orgánico. Aunque parezca obvio, si detectamos que hemos perdido visitas procedentes de Google u otros motores de búsqueda, una de las posibles explicaciones es el hackeo y posterior penalización de nuestra web.

Medidas básicas para mejorar la seguridad de tu web

Tras aprender a detectar cuándo nuestro sitio web ha sido atacado y nuestro tráfico orgánico se ha visto afectado, podemos pasar a implementar medidas de seguridad para prevenir estas situaciones.

Evidentemente, sería prácticamente imposible abarcar todas las acciones a nivel de seguridad web que podemos aplicar teniendo en cuenta todas las variables implicadas: tecnología de servidor, lenguaje de programación, proveedor de alojamiento, gestor de contenidos, etc.

En este sentido, vamos a listar algunas de las medidas de seguridad más básicas para aplicar en casi cualquier tipo de sitio web:

• HTTPs: la instalación de un certificado de seguridad SSL es una práctica muy común. De hecho, la mayoría de proveedores hosting la ofrecen de forma gratuita. Tened en cuenta que este tipo de certificado suelen incluir únicamente el dominio principal de nuestra web, con y sin www. Existen certificados más avanzados que cubren la totalidad del sitio web. Una vez habilitado, es necesario comprobar que se ha implementado de forma correcta.
• Configuración del fichero .htaccess: sin entrar en detalles técnicos, a través de este fichero podemos blindar algunos puntos sensibles de nuestra web. Por ejemplo, restringiendo el acceso a determinados ficheros y carpetas del servidor, o bloqueando específicamente User-agents sospechosos.
• CDN: el uso de una red de distribución de contenidos puede contribuir a aumentar la seguridad de vuestra web. Habitualmente, estos servicios incorporan medidas como Firewalls o prevención de ataques de denegación de servicio.
• Seguridad de los usuarios que editan la web: un área habitualmente olvidada es la incorporación de medidas de seguridad en los equipos que tienen acceso al administrador de la web o a su código fuente. Un virus en un ordenador del programador encargado de subir una nueva página a una web puede derivar en la infección de todo nuestro portal.
• Contraseñas adecuadas: “123456” o “password” son algunas de las contraseñas más habituales en los últimos años. Debemos evitar este tipo de prácticas en todos los accesos de nuestra web.
• Actualizar la tecnología: las actualizaciones que afectan al servidor o a los gestores de contenido son importantes. Un volumen importante de sitios web se infecta por utilizar versiones antiquísimas de CMS, plugins o módulos de servidor.
• Auditorías de seguridad: herramientas online como Observatory de Mozilla analizan nuestra web en busca de vulnerabilidades habituales. Solventándolas evitaremos muchos de los ataques más habituales.

¿Cómo recuperarte ante una penalización de Google?

Tanto si hemos aplicado medidas de seguridad a nuestra web, como si hemos ignorado por completo este campo, puede llegar el fatídico día en que nuestra web sea infectada. Y aún peor, que Google la penalice.

Si nos encontramos en esta situación, tendremos que seguir una serie de pasos para recuperarnos de la penalización:

• Eliminar la infección. Nuestra prioridad debe ser eliminar cualquier trazo del código introducido por el ataque. Si somos rápidos, en algunos casos evitaremos que Google detecte el problema. Incluso mientras trabajamos en la solución, podemos enviar un código de respuesta 503, que le indicará al bot de rastreo de Google que la web no está disponible temporalmente.
• Prevenir futuros ataques. Si detectamos el agujero de seguridad, deberemos implementar las medidas necesarias para evitar que se vuelva a producir un ataque.
• Alta en Search Console. Si no lo hemos hecho antes, deberemos incorporar Search Console en nuestra web.
• Monitorizar Search Console. En el apartado Problemas de seguridad se nos indicará si Google ha detectado alguna infección en la web y, en algunos casos, las páginas afectadas. Si es así, deberemos utilizar el formulario de solicitud de reconsideración para indicar a Google que ya hemos solucionado el problema, cómo lo hemos hecho y pedir la indexación o eliminación de la alerta. Nos conviene incorporar detalles específicos del proceso para que Google cuente con toda la información posible de nuestro caso.
• Realizar un test de rastreo. Es muy recomendable verificar que, una vez eliminada la infección, la web puede ser rastreada correctamente.
• Esperar. El proceso de reconsideración por parte de Google puede alargarse días, incluso semanas. En este espacio de tiempo, podemos valorar incorporar fuentes de tráfico alternativas para reducir el impacto de la penalización a nuestra web.

En resumen…

Aun siguiendo estos últimos pasos, es posible que nunca recuperemos el posicionamiento que habíamos logrado. El impacto negativo que puede llegar a tener una caída parcial o total del tráfico orgánico producida por una penalización en Google hace imperativo trabajar en la seguridad de una web. En La Teva Web, agencia de SEO en Barcelona, hemos vivido de primera mano casos de estas características: desde infecciones parciales que deterioran la imagen de marca, hasta desindexaciones completas que anulan la captación de tráfico de webs enteras.

Aunque Google sólo establezca el vínculo directo entre el HTTPs y los factores de posicionamiento, la realidad es que SEO y seguridad web tienen que ir de la mano.