Security Review
Entender si el sitio está expuesto antes de que lo entienda otro.
Una auditoría seria no es un escaneo genérico. Es leer el sitio como sistema: frontend, admin, formularios, deploy, archivos sensibles, flujos email, hosting, dependencias y superficie real de ataque. Tras acuerdo y definición del alcance, también podemos revisar los archivos fuente relevantes para entender dónde el riesgo es real, qué puede remediarse y cuándo conviene reconstruir sobre una base más segura.
Check inicial dentro de la auditoría
No vendemos un “check de seguridad web” como servicio separado, porque una empresa no necesita otro puntaje ambiguo. Necesita entender si el riesgo es real y qué debe corregirse primero. Por eso el check preliminar está integrado en la auditoría y sirve para guiar la revisión técnica.
Señales críticas
Formularios, admin y archivos expuestos
Verificamos si endpoints, backups, archivos antiguos, errores técnicos, accesos admin o flujos de contacto están expuestos o pueden abusarse.
Riesgo operativo
CMS, deploy y dependencias
Revisamos diferencias entre repositorio y servidor, plugins o componentes no gobernados, configuración incoherente y problemas en la cadena de publicación.
Remediación
Prioridades antes de los fixes
Separamos lo urgente, el hardening útil y el ruido para que el presupuesto vaya a los riesgos que importan.
Qué analizamos
- formularios, endpoints mail, token, sesión y abuso por bots;
- panel admin, flujo CMS, auth bridge y deploy;
- configuración expuesta, backups, archivos sensibles y rutas peligrosas;
- revisión dirigida línea por línea de los archivos relevantes, cuando el acuerdo, el alcance y el acceso lo permiten, apoyada por nuestro escaneo propietario para detectar patrones anómalos, backdoors, payloads latentes y lógica de bypass;
- dependencias, lógica de aplicación,
.htaccess, robots y estructura de publicación.
Remediación y BST Fortress
La auditoría no debe quedarse en una lista de problemas. Cuando el contexto técnico lo permite y la intervención está autorizada, usamos el método operativo BST Fortress para cerrar vulnerabilidades, sanear puntos débiles, reducir superficie de ataque y reforzar flujos críticos sin comprometer la función comercial del sitio.
Si el sitio es demasiado frágil, incoherente o ya no se puede gobernar de forma fiable, el resultado correcto no es forzar parches débiles. Preparamos un informe técnico claro y recomendamos una reconstrucción segura, conservando lo que tiene valor y eliminando lo que seguiría generando riesgo.
Señales que indican riesgo
- no sabes con certeza dónde están backups, logs, archivos antiguos o credenciales;
- el formulario recibe spam, leads falsos, errores o mensajes duplicados;
- el CMS usa plugins, temas o componentes heredados que nadie gobierna;
- el servidor online ya no coincide claramente con el repositorio;
- sitemap, canonical, hreflang o robots no están gestionados de forma intencional;
- quieres rediseñar el sitio sin arrastrar vulnerabilidades dormidas.
Qué recibes
- evidencia técnica concreta, no opiniones vagas;
- prioridades claras entre lo urgente, el hardening y el ruido;
- un camino de remediación que se pueda ejecutar y verificar.
Nota importante
Una buena auditoría evita dos errores caros: rehacerlo todo cuando no hace falta, o conservar justo la pieza que seguirá creando problemas después del rediseño.
FAQ
¿El check de seguridad está incluido en la auditoría?
Sí. Lo usamos como primera fase de la auditoría, no como producto separado que crea confusión.
¿La auditoría es solo un escaneo automático?
No. La automatización ayuda, pero el trabajo decisivo es el razonamiento manual sobre formularios, admin, archivos, configuración, deploy y prioridades de remediación.
¿Cuándo conviene solicitarla?
Cuando el sitio genera leads, gestiona datos sensibles, usa CMS o plugins no gobernados, recibe spam en formularios, muestra errores sospechosos o va a ser rediseñado sin heredar riesgos antiguos.