niftytraits - digital studio

Seguridad / Vizcaya

Despliegue en CDN y seguridad sin servidor en Vizcaya: la web que no puedes hackear

Arquitectura web segura con Astro en Vizcaya: despliegue en CDN, cero ejecución en servidor, sin base de datos. Cómo eliminar los vectores de ataque más comunes en webs corporativas.

Vizcaya: industria, tecnología y una superficie de atago digital que puedes reducir

Las empresas de Vizcaya —industria, tecnología, servicios B2B, finanzas— manejan datos sensibles y no pueden permitirse un incidente de seguridad en su web corporativa. Sin embargo, muchas webs construidas con WordPress tienen puertas abiertas: un panel de administración accesible, una base de datos MySQL con información de contactos, plugins con vulnerabilidades conocidas.

Astro no es un CMS, sino un generador de sitios estáticos. Esto cambia fundamentalmente el modelo de seguridad: no hay nada que ejecutar en el servidor, no hay base de datos que consultar, no hay panel de administración que proteger.

El modelo de seguridad de una web estática en CDN

Una web con Astro se despliega en una CDN (Content Delivery Network). El proceso es:

  1. El código se construye localmente o en un CI/CD.
  2. El resultado son archivos HTML, CSS, JS e imágenes.
  3. Esos archivos se suben a la CDN.
  4. La CDN los replica en servidores de todo el mundo.

Cuando un usuario visita la web, la CDN le sirve los archivos desde el servidor más cercano. No hay ejecución de código en el momento de la visita. No hay base de datos que consultar.

Vectores de ataque eliminados:

  • Inyección SQL: no hay base de datos.
  • XSS desde el CMS: no hay CMS que comprometer.
  • Fuerza bruta al panel de admin: no hay panel de admin.
  • Ejecución remota de código: no hay código que ejecutar en servidor.
  • Ataques a plugins: no hay plugins.
  • Escalado de privilegios: no hay usuarios ni roles en la web.

Ataques DDoS: por qué una web estática es resistente

Un ataque DDoS inunda un servidor con peticiones hasta saturarlo. En una web dinámica (WordPress), cada petición consume recursos del servidor: ejecuta PHP, consulta la base de datos, usa memoria.

En una web estática servida por CDN, cada petición solo requiere enviar un archivo. Las CDN están diseñadas para absorber tráfico masivo. Cloudflare, por ejemplo, maneja ataques de terabitios sin que el cliente lo note.

Para una empresa vizcaína que depende de su web para captar clientes B2B, esta resistencia elimina un riesgo operativo importante.

Cabeceras de seguridad y HTTPS por defecto

Las CDN permiten configurar cabeceras de seguridad HTTP que protegen al navegante:

  • Content-Security-Policy: restringe qué scripts y recursos puede cargar la página.
  • Strict-Transport-Security: obliga a conexión HTTPS.
  • X-Content-Type-Options: evita que el navegador interprete archivos de forma incorrecta.
  • Referrer-Policy: controla qué información se envía al hacer clic en enlaces.

Con WordPress, algunas de estas cabeceras requieren plugins o configuración manual del servidor. Con Astro + CDN, se configuran desde el panel de la CDN o desde el archivo de despliegue.

Sin copias de seguridad de base de datos

Uno de los mayores riesgos de seguridad en WordPress es la pérdida de la base de datos. Si un atacante la borra o corrompe, la web puede quedar inservible hasta restaurar el backup. Las copias de seguridad son obligatorias y deben hacerse con frecuencia.

Con Astro, todo el contenido está en archivos Markdown versionados en Git. Recuperar la web después de un incidente es tan simple como clonar el repositorio y reconstruir. No hay base de datos que restaurar.

Cuándo esta seguridad no es suficiente

La arquitectura estática elimina los vectores de ataque del servidor, pero no protege contra:

  • Ataques de phishing que suplanten la marca, independientemente de la tecnología.
  • Robo de credenciales de servicios externos (email, CDN, DNS).
  • Ataques a la cadena de suministro (dependencias npm comprometidas).
  • Vulnerabilidades en el navegador del usuario final.

Para una protección completa, la seguridad debe integrarse en toda la cadena: desarrollo, dependencias, acceso a infraestructura y formación del equipo.

Preguntas frecuentes sobre seguridad y CDN

¿Necesito un certificado SSL si uso CDN?

La mayoría de CDN incluyen SSL automático. Cloudflare, Netlify y Vercel proporcionan certificados gratuitos y los renuevan automáticamente. No tienes que gestionarlos manualmente.

¿Qué ocurre si la CDN sufre un ataque?

Las CDN como Cloudflare o Fastly están diseñadas para resistir ataques masivos. Si un nodo cae, el tráfico se redirige a otros nodos. La probabilidad de que la web deje de estar disponible por un ataque a la CDN es mínima comparada con un servidor WordPress.

¿Puedo tener formularios de contacto sin exponer datos en el servidor?

Sí. Los formularios envían los datos a servicios externos (Web3Forms, Formspree) que los reenvían por email. Los datos nunca se almacenan en tu servidor ni en tu base de datos. El riesgo de brecha es mínimo.

¿Cómo se protege el repositorio Git donde está el contenido?

El repositorio debe tener autenticación de dos factores, acceso por SSH o tokens, y revisión de pull requests. El contenido en Markdown no es ejecutable, por lo que incluso si alguien accede al repositorio, no puede ejecutar código en el servidor.

¿Astro tiene vulnerabilidades conocidas como framework?

Astro es un framework relativamente nuevo con un historial de seguridad limpio. Al ejecutarse en build time y no en producción, las vulnerabilidades del framework afectan al proceso de construcción, no a los visitantes de la web. Las dependencias npm se auditan con herramientas como npm audit o Snyk.