Si tu institución educativa tiene un sitio web que recoge datos de los alumnos, proteger esos datos es una responsabilidad tanto legal como ética.

Más allá de mantener la confianza con los estudiantes y sus familias, el cumplimiento de las leyes de protección de datos es obligatorio en muchas jurisdicciones. Dos normativas clave a tener en cuenta son:

  • FERPA (Faily Educational Rights and Privacy Act, Ley de Privacidad y Derechos Educativos de la Familia). Esta normativa estadounidense incluye requisitos de cumplimiento, como restringir el acceso a los datos de los estudiantes sólo a las personas autorizadas y obtener el consentimiento por escrito antes de compartir los datos de los estudiantes. El Departamento de Educación de EE.UU. tiene un sitio web dedicado a la privacidad de los estudiantes que contiene muchos recursos sobre la FERPA.
  • GDPR (General Data Protection Regulation, Reglamento General de Protección de Datos). Esta normativa europea incluye una serie de requisitos de cumplimiento, como obtener un consentimiento claro para la recopilación de datos, garantizar la portabilidad de los datos, aplicar los principios de «privacidad mediante el diseño» y notificar rápidamente a los estudiantes y a las autoridades si se produce una violación de los datos. Tenemos un post completo sobre el cumplimiento del GDPR por parte de WordPress.

En este artículo se describen algunas formas prácticas de proteger los datos de los alumnos en los sitios web educativos creados con WordPress. Incluye consejos técnicos, como encriptar los datos de los alumnos, así como otras estrategias importantes, como educar a tu personal sobre la seguridad de los datos.

Entremos en materia..

Utiliza un proveedor de alojamiento seguro

Un proveedor de alojamiento seguro es una de las formas más eficaces de proteger los datos de los alumnos en tu sitio de WordPress. Un alojamiento bien configurado ayuda a evitar accesos no autorizados, violaciones de datos y tiempos de inactividad.

Por ejemplo, Kinsta ofrece alojamiento administrado para WordPress dirigido a instituciones educativas con funcionalidades de seguridad integradas para ayudar a proteger los datos de tu organización, entre las que se incluyen:

  • Infraestructura segura. Kinsta utiliza Google Cloud Platform en el origen y Cloudflare en el edge de la red para garantizar seguridad y rendimiento.
  • Certificado SSL gratuito. Kinsta ofrece certificados SSL gratuitos, lo que es importante porque habilitar un certificado SSL te permite cifrar los datos cuando pasan entre el servidor de tu sitio web y los navegadores de los alumnos.
  • Cortafuegos. Todos los sitios están protegidos por dos cortafuegos de nivel empresarial. El cortafuegos de Cloudflare protege tu sitio en el edge de la red, impidiendo que muchos ataques lleguen al servidor de origen de tu sitio. Tu sitio también está protegido por el cortafuegos de protección basado en IP de Google Cloud Platform.
  • Copias de seguridad automáticas. Kinsta realiza copias de seguridad automáticas diarias de tu sitio en todos los planes y las almacena en una ubicación segura. También puedes aumentar la frecuencia de estas copias de seguridad automáticas, incluso puedes hacerlas cada hora.
  • Autenticación de dos factores (2FA). Puedes utilizar 2FA para asegurar el acceso a tu cuenta de alojamiento.
  • Soporte 24/7. Puedes acceder al soporte por chat en tiempo real las 24 horas del día, los 7 días de la semana, si alguna vez necesitas ayuda con cualquier cosa.
Explicación de la infraestructura de seguridad de Kinsta.
Infraestructura de alojamiento Kinsta.

Independientemente del proveedor de alojamiento que elijas, asegúrate de que aprovechas al máximo todas sus funciones de seguridad.

Cifrar datos y copias de seguridad

La encriptación puede ayudar a proteger los datos de los alumnos cuando están en tránsito y en reposo, garantizando que la información sensible permanezca a salvo de accesos no autorizados.

Para empezar, es esencial utilizar un certificado SSL/TLS y activar HTTPS en tu sitio web de WordPress. Esto encripta los datos mientras se mueven entre los navegadores de los estudiantes y tu sitio de WordPress, evitando que sean interceptados por terceros.

Si almacenas datos de estudiantes, puede que también necesites cifrar los datos en reposo. El enfoque depende de dónde se almacenen los datos:

También es importante cifrar las copias de seguridad que incluyan datos de los alumnos, ya que podrían ser otro vector para que un actor no autorizado acceda a los datos de los alumnos.

Si utilizas Kinsta, no tienes que preocuparte por esto, ya que las copias de seguridad se crean a nivel de servidor y se almacenan de forma segura en Google Cloud Storage en Google Cloud Platform (GCP). Sin embargo, si prefieres más flexibilidad, el add-on de copias de seguridad externas te permite almacenar las copias de seguridad en tu propio almacenamiento de objetos externo, como Amazon S3, donde puedes aplicar el cifrado utilizando las herramientas del proveedor.

Una lista de copias de seguridad de la herramienta de copia de seguridad automática de Kinsta.
Una lista de copias de seguridad de la herramienta de copia de seguridad automática de Kinsta.

Muchos plugins de copias de seguridad de WordPress también incluyen funcionalidades que te permiten cifrar tus copias de seguridad de WordPress. Por ejemplo, BackWPup Pro tiene una función especial de cifrado que puedes utilizar para proteger los datos de los alumnos en las copias de seguridad.

Educa al personal y a los administradores sobre la seguridad de los datos

Proteger los datos de los alumnos es un trabajo de equipo. Incluso si lo configuras todo perfectamente a nivel técnico, un simple error humano, como reutilizar una contraseña débil o manejar mal los datos sensibles, puede provocar brechas de seguridad.

Para prevenir estos riesgos, es importante educar al personal y a los administradores sobre sus responsabilidades al manejar los datos de los alumnos.

Algunos de los temas que debes cubrir son los siguientes:

  • Políticas de contraseñas. Exige al personal que utilice contraseñas únicas y seguras para sus cuentas. También puedes animarles a utilizar un gestor de contraseñas como Bitwarden o LastPass.
  • Prácticas de tratamiento de datos. El personal autorizado debe recibir formación sobre el manejo seguro de los datos de los alumnos. Por ejemplo, encriptar los datos de los alumnos en tu servidor no servirá de nada si el personal comparte archivos sin encriptar por correo electrónico u otros canales no seguros.
  • Prevención del phishing. Debes explicar los tipos habituales de ataques de phishing y cómo puede evitarlos tu personal. Por ejemplo, no haciendo clic en los enlaces de los correos electrónicos, no compartiendo nunca OTP para la autenticación de dos factores, etc. El gobierno del Reino Unido tiene una página estupenda sobre cómo proteger a tu organización de los ataques de phishing.

Restringe el acceso a tu sitio web y a tus datos

Además de educar al personal y a los administradores sobre el manejo adecuado de los datos, debes restringir quién puede acceder a los datos de los alumnos. En general, tener menos personas con acceso a los datos de los alumnos facilita su protección y reduce la posibilidad de que un error humano provoque una violación de datos.

La FERPA, además de mejorar en general la seguridad de los datos, también te exige explícitamente que limites el acceso a los datos de los alumnos sólo a las personas autorizadas.

En WordPress, puedes utilizar el sistema básico de roles de usuario de WordPress para restringir el acceso que tiene cada usuario. WordPress viene con cinco roles de usuario incorporados (o seis si utilizas WordPress multisitio), pero eres libre de crear tus propios roles o editar los roles predeterminados.

Una ilustración que muestra los roles predeterminados de WordPress como una stack de cilindros ordenados según sus capacidades.
Los roles de usuario predeterminados de WordPress.

Cada rol viene con un conjunto predefinido de «capacidades», que controlan las acciones/accesos individuales de los usuarios. Hemos tratado estos temas en nuestra guía detallada sobre roles y capacidades de WordPress.

Para gestionar más fácilmente estos roles y capacidades, puedes utilizar el plugin Editor de roles de usuario.

Ofrece una interfaz sencilla en la que puedes activar o desactivar capacidades específicas con sólo marcar una casilla. Puedes editar las capacidades de los roles de usuario predeterminados de WordPress o crear tus propios roles.

Una imagen que muestra cómo gestionar los roles y capacidades de los usuarios con el Editor de Roles de Usuario.
Cómo gestionar los roles y capacidades de los usuarios con el Editor de Roles de Usuario.

Puedes ir más allá implementando la autenticación de dos factores para todos los usuarios que tengan acceso a datos confidenciales. Puedes configurarlo utilizando un plugin como Wordfence Login Security, que te permite requerir autenticación de dos factores para determinados roles de usuario en tu sitio.

Si exiges la autenticación de dos factores para cualquier rol de usuario que tenga acceso a los datos de los alumnos (junto con la aplicación de contraseñas seguras), puedes reducir en gran medida la posibilidad de que una persona no autorizada obtenga acceso.

Si alojas tu sitio web con Kinsta, también ofrecemos una sólida gestión de roles de usuario para las personas con acceso a tu cuenta de alojamiento. Puedes asignar usuarios a sitios web específicos, reforzar la autenticación de dos factores y mucho más.

Recopila datos de forma responsable (y minimiza la recopilación de datos)

Además de proteger los datos de los alumnos que tienes, también es importante ser consciente de cómo recopilas los datos de los alumnos desde el principio.

Para empezar, debes minimizar los datos que recopilas. Intenta pensar por qué recopilas cada dato y recopila sólo los datos que sean realmente necesarios para el funcionamiento de tu institución educativa.

Luego, cuando recojas esos datos, asegúrate de que lo haces de forma responsable.

Debes tener formularios de consentimiento que recojan el consentimiento explícito para todos los datos de los alumnos que recopiles.

También deberías tener una política de privacidad exhaustiva que explique lo siguiente:

  • Qué datos recopilas.
  • Por qué recopilas esos datos.
  • Cómo almacenas esos datos.

Para ayudarte a crear y mostrar una política de privacidad, puedes utilizar un plugin de WordPress como Complianz.

También es esencial que instales un certificado SSL/TLS y habilites HTTPS para que todos los datos que recopiles a través de tu sitio se cifren cuando pasen del navegador del usuario a tu servidor. De nuevo, el alojamiento para WordPress de Kinsta ofrece certificados SSL/TLS gratuitos.

Por último, debes implementar políticas de retención de datos que dicten cuánto tiempo almacenas los datos, y debes eliminar regularmente los datos que ya no sean necesarios.

Por ejemplo, si sólo necesitas cierta información sobre alumnos activos, no tiene sentido seguir almacenando esos datos una vez que un alumno se gradúa. Una política de retención de datos puede garantizar que los eliminas adecuadamente cuando ya no son necesarios.

Para automatizar algunas de estas políticas de retención de datos, puedes utilizar un plugin de WordPress como Advanced Database Cleaner. Te permite limpiar ciertos datos de tu base de datos en un horario que tú establezcas (o puedes ejecutarlo manualmente cuando sea necesario).

Una imagen que muestra cómo eliminar datos utilizando el plugin Advanced Database Cleaner.
Cómo eliminar datos utilizando el plugin Advanced Database Cleaner.

Protege todas las subidas de archivos y los permisos

Para proteger tu sitio y tus datos de archivos maliciosos, también es importante asegurar las subidas de archivos a tu sitio. Esto puede evitar la subida intencionada o no intencionada de un archivo malicioso a tu servidor que tenga el potencial de causar una violación de datos.

Para empezar, debes restringir los tipos de archivos que se pueden subir a tu servidor. Bloquea todos los tipos de archivos potencialmente maliciosos y sólo permite los tipos específicos de archivos que sean necesarios para tu sitio. En WordPress, puedes controlar los tipos de archivo permitidos utilizando un plugin gratuito como File Upload Types.

Una imagen que muestra cómo utilizar el plugin File Upload Types para restringir los tipos de archivo.
Cómo utilizar el plugin File Upload Types para restringir los tipos de archivo.

También debes controlar estrictamente qué usuarios pueden subir archivos a tu sitio. Como hemos dicho antes, puedes hacerlo utilizando el sistema de roles de WordPress. Más concretamente, puedes utilizar la función upload_files para controlar qué roles de usuario pueden subir archivos.

También es importante configurar tu servidor para limitar el acceso a los archivos subidos, lo que puedes hacer con reglas .htaccess o nginx.conf. También debes asegurarte de establecer los permisos de archivo adecuados para controlar el acceso a esos archivos en tu servidor.

Audita y controla el acceso a los datos de los alumnos

También es esencial monitorizar los datos de tus alumnos y auditar el acceso a los datos de los alumnos.

Por ejemplo, si quieres ver quién ha estado viendo los datos de los alumnos, cualquier modificación de los datos de los alumnos, etc. Esto puede ayudarte a detectar posibles problemas y a asegurarte de que los miembros de tu personal siguen tus políticas de almacenamiento y tratamiento de datos.

Para hacer un seguimiento de los usuarios de WordPress que ven o modifican los datos de los alumnos, puedes utilizar un plugin como WP Activity Log. Además de permitirte ver un registro de acciones dentro de tu panel de WordPress, también puedes configurar alertas por correo electrónico o SMS, que pueden ayudarte a detectar rápidamente cualquier actividad sospechosa.

Un ejemplo del plugin WP Activity Log.
Un ejemplo del plugin WP Activity Log.

Además de registrar la actividad en WordPress, también debes realizar auditorías periódicas para revisar las entradas de la base de datos y los registros de acceso de los usuarios.

Tanto MySQL como MariaDB incluyen herramientas de registro que puedes utilizar, aunque es posible que tengas que habilitarlas:

Utiliza sólo plugins de WordPress de confianza

La amplia gama de plugins de WordPress que hay disponibles es una de las cosas que hace que WordPress sea una herramienta ideal los sitios web de educación.

Sin embargo, cada plugin que instalas en tu sitio también tiene el potencial de causar problemas con la seguridad de los datos. Por esta razón, es esencial investigar a fondo cada plugin y utilizar sólo los de desarrolladores de WordPress fiables y de alta calidad.

Antes de instalar cualquier plugin, asegúrate de que tienes en cuenta los siguientes factores:

  • Soporte y actualizaciones del desarrollador. Asegúrate de que el desarrollador sigue dando soporte activo al plugin y publicando nuevas actualizaciones. Presta especial atención a las actualizaciones de seguridad. Los problemas de seguridad ocurren incluso con el mejor software, pero los desarrolladores se mueven para publicar rápidamente un parche de seguridad y también proporcionan información sobre la vulnerabilidad.
  • Opiniones de usuarios. Pueden ser una gran ventana a las experiencias de otros usuarios y a la calidad general del plugin.
  • Instalaciones activas. Por lo general, debes desconfiar de los plugins con un bajo número de instalaciones activas. Sin embargo, puede haber algunas excepciones. Por ejemplo, si un plugin resuelve un problema muy específico pero procede de un desarrollador de confianza, no debes descartarlo automáticamente.

Además de fijarte en la calidad del plugin y del desarrollador, también debes valorar si el plugin está diseñado de forma compatible con FERPA, GDPR y otras directrices relevantes.

Por ejemplo, aunque un plugin provenga de un desarrollador de alta calidad con un gran historial, puede que no sea una buena opción si el plugin recopila o almacena datos de un modo que no cumple con la FERPA o el GDPR.

Asegúrate de que WordPress, los plugins y los temas se actualizan rápidamente

Mantener actualizados el core, los plugins y los temas de WordPress es crucial para mantener la seguridad del sitio. El software desactualizado puede exponer vulnerabilidades que los actores maliciosos pueden explotar.

Según un informe de seguridad de 2023 de Sucuri, el 39,1% de los sitios web CMS hackeados ejecutaban software obsoleto en el momento de la infección. Además, en 2023, los plugins fueron responsables del 97% de todas las nuevas vulnerabilidades de seguridad en el ecosistema de WordPress.

Para mitigar estos riesgos, es esencial aplicar rápidamente todas las actualizaciones de seguridad al core, los plugins y los temas de WordPress. Las actualizaciones periódicas garantizan que se parcheen las vulnerabilidades conocidas, reduciendo el riesgo de explotación.

Si te preocupa que las actualizaciones de software causen problemas en tu sitio web, puedes probarlas en un sitio staging antes de aplicarlas a tu sitio web en producción. Si alojas tu sitio con Kinsta, puedes crear fácilmente un sitio staging y aplicar algunos o todos los cambios en tiempo real después de haberlos probado.

Como alternativa, Kinsta también ofrece un add-on de Actualizaciones Automáticas para que aplicar las actualizaciones sea aún más fácil:

  • Actualizaciones programadas para plugins y temas. Lo hace para todos los plugins y temas en los días que elijas, asegurando que tu sitio se mantiene al día.
  • Copias de seguridad automáticas antes de las actualizaciones. Realiza automáticamente una nueva copia de seguridad antes de aplicar cualquier actualización, para que tengas un punto de restauración limpio.
  • Pruebas visuales de regresión. Esto significa comparar el aspecto de tu sitio antes y después de una actualización. Si se detecta algún problema, se retrocede automáticamente al punto de restauración.
Una imagen que muestra la herramienta de actualizaciones automáticas de Kinsta.
La herramienta de actualización automática Kinsta.

También puedes considerar un plugin como Easy Updates Manager. Puede ayudarte de varias maneras:

  • Notificaciones por correo electrónico de las actualizaciones disponibles. Puedes recibir un correo electrónico cuando haya disponible una nueva actualización de un plugin, lo que resulta útil si no compruebas el panel de WordPress todos los días.
  • Gestionar las actualizaciones automáticas. Si quieres activar las actualizaciones automáticas de plugins, dispones de herramientas para gestionarlas, como programar cuándo aplicar las actualizaciones.
  • Registro. Puedes ver los registros de las actualizaciones que se han aplicado.
  • Copias de seguridad automáticas. Si utilizas el plugin UpdraftPlus del desarrollador, puede hacer copias de seguridad automáticas de tu sitio antes de actualizar los plugins.

Ten preparado un protocolo de violación de datos

Si sigues todos los consejos anteriores, deberías estar en una posición inmejorable para proteger los datos de tus alumnos.

Sin embargo, sigue siendo importante tener un plan para lo que ocurra si algo va mal, por lo que deberías tener un protocolo predeterminado para cualquier violación de datos.

Para empezar, debes tener un plan de notificación sobre cómo comunicar cualquier violación de datos:

  • Planifica cómo notificar a los usuarios individuales que se vean afectados. Debes hacerlo con rapidez. Por ejemplo, el GDPR exige que lo notifiques a los usuarios en un plazo de 72 horas.
  • Averigua a qué autoridades tienes que notificar las violaciones de datos y cómo puedes ponerte en contacto con ellas.

Muchos plugins de WordPress para el cumplimiento del GDPR pueden ayudarte a informar de las filtraciones de datos a los usuarios que se hayan visto afectados. Por ejemplo, el plugin Complianz cuenta con un Asistente de Informe de Fuga de Datos que puede ayudarte a informar y gestionar las fugas de datos. Otros plugins también ofrecen herramientas similares.

Además de cumplir los requisitos de información, también debes disponer de un plan para restaurar tu sitio web. Por ejemplo, si se produce una filtración de tu sitio web, es conveniente que restaures la copia de seguridad limpia más reciente.

También deberías probar periódicamente la restauración de una copia de seguridad en un entorno staging, ya que esto te da experiencia en el mundo real, de modo que puedas restaurar tu copia de seguridad cuando haya presión.

Si te alojas con Kinsta, puedes restaurar fácilmente una copia de seguridad en tu entorno staging o de producción con sólo pulsar un botón.

Una imagen que muestra cómo restaurar una copia de seguridad en Kinsta.
Cómo restaurar una copia de seguridad en Kinsta.

Resumen

Independientemente de cómo construyas el sitio web de tu institución educativa, es importante proteger los datos de los estudiantes para cumplir leyes como la FERPA de EE.UU. y la GDPR de Europa.

Si utilizas WordPress, puedes aprovechar las funcionalidades básicas de WordPress y la amplia biblioteca de plugins de WordPress para ayudarte a proteger los datos de los alumnos y cumplir la legislación.

Si combinas la configuración adecuada de WordPress y la formación de los usuarios con un alojamiento web fiable y seguro, puedes estar seguro de que los datos de tus alumnos permanecen a salvo.

Para saber cómo el alojamiento paara WordPress de Kinsta puede ayudarte a crear una base segura para el sitio web de tu institución educativa, consulta el alojamiento educativo de Kinsta aquí.

Jeremy Holcombe Kinsta

Editor de Contenidos y Marketing en Kinsta, Desarrollador Web de WordPress y Redactor de Contenidos. Aparte de todo lo relacionado con WordPress, me gusta la playa, el golf y el cine. También tengo problemas con la gente alta ;).