Seguridad del sitio de comercio electrónico: auditoría de 10 pasos para tiendas de comercio electrónico

Las tiendas físicas tienen cámaras de seguridad, alarmas, dispositivos antirrobo e incluso guardias. Cuando está en el espacio de comercio electrónico, hay otra capa de protección en la que debe pensar: la seguridad del sitio de comercio electrónico.

Se espera que los clientes le proporcionen una cantidad significativa de sus datos para que puedan realizar compras: nombres, direcciones, números de tarjetas de crédito y, a veces, contraseñas. Con todos estos datos confidenciales, es importante aprender cómo proteger su tienda en línea, y no se trata solo de la información de sus clientes.

En este artículo, le haremos diez preguntas que querrá responder si está interesado en mantener protegida su tienda en línea. Siga leyendo para aprender cómo proteger su sitio web de comercio electrónico.

¿Qué es lo peor que puede pasar?

Las medidas de seguridad del comercio electrónico deben implementarse por una variedad de razones. Ya sea que se trate de cumplir con las normas o de tratar con piratas informáticos, hay muchas cosas que debe tener en cuenta. Especialmente con el cambio creciente al comercio electrónico después de la pandemia, el comercio minorista es un objetivo principal para los ataques cibernéticos.

Las violaciones de datos pueden implicar el robo de información, adivinar contraseñas, phishing o incluso infecciones de malware. Experimentar una infracción no solo le cuesta tiempo, dinero y reputación, sino que también socava la confianza del consumidor.

Otro problema común de seguridad en el comercio electrónico es un ataque de ransomware. Los actores maliciosos pueden detener efectivamente la capacidad de funcionamiento de su tienda a menos que pague una suma considerable. Debido a los ingresos potenciales que podrían perderse, especialmente durante las vacaciones, muchas empresas terminan pagando.

Puede ser una pesadilla lidiar con esto, pero todo esto podría evitarse siguiendo las mejores prácticas de seguridad en el comercio electrónico.

10 consideraciones para la seguridad del sitio de comercio electrónico

Hay muchas cosas que puede hacer para bloquear su sitio como Fort Knox. Revisar estas diez preguntas lo ayudará a proteger su sitio y lo encaminará a convertirse en un experto en seguridad de sitios de comercio electrónico.

Las primeras miradas necesitan segundas miradas

1. ¿Con qué frecuencia mira su página de inicio?

Parece una obviedad, pero ¿cuándo fue la última vez que miró su página de inicio? Generalmente iniciamos sesión en el backend a menos que estemos buscando algo específico. Ese descuido puede llevar a perder señales de alerta. Hay tres principales: pequeños cambios, ventanas emergentes y redireccionamientos.

Pequeños cambios

Los pequeños cambios, como cambiar un logotipo o texto para mostrar la tarjeta de presentación de un pirata informático, son sorprendentemente comunes. Algunos hackers quieren plantar su bandera y ganar notoriedad.

ventanas emergentes

Las ventanas emergentes que publicitan productos que usted no vende son otra señal de advertencia. Ciertamente, puede agregar ventanas emergentes a su sitio para vender sus propios productos, pero siempre es una buena idea vigilarlas para asegurarse de que realmente sean suyas. No olvide desactivar sus bloqueadores de anuncios cuando esté verificando: ¡puede pasar por alto fácilmente una ventana emergente maliciosa!

Redirecciones

Los redireccionamientos inesperados a otros sitios que probablemente sean maliciosos son otra razón para estar alerta. Desea que el tráfico permanezca en su sitio y aumente sus posibilidades de convertir visitantes. Alejar a los clientes no solo lo afecta a usted, sino que también puede poner en riesgo su información y dañar su reputación ante sus ojos.

Ser diligente en la verificación lleva tiempo ahora, pero ahorra un dolor de cabeza más adelante.

Asegurar su base de clientes

2. ¿Cuántos datos de clientes necesita realmente?

Las infracciones suceden incluso a los mejores de nosotros. ¿Qué está realmente en riesgo cuando eso sucede? Los datos de sus clientes quedan expuestos. No es necesario almacenar datos como nombres, direcciones o contraseñas cuando utiliza pasarelas de pago como Stripe.

Sin embargo, mantener esos datos en el archivo es más que suficiente para crear préstamos fraudulentos en caso de incumplimiento. Además, el uso de una pasarela de pago como Stripe lo ayuda a cumplir con PCI DSS.

Una manera fácil de mitigar los riesgos, si es que alguna vez sucede, es no recopilar más datos de los que necesita. Mantenga la menor cantidad de datos posible para asegurarse de que sus clientes no estén en riesgo. No puede comprometer los datos que nunca tuvo en primer lugar.

3. ¿Qué tan seguras son las cuentas de sus clientes?

Puede hacer todo bien... y aun así tener cuentas de clientes comprometidas. ¿Recuerdas la película Hackers de 1995? Su oficial de seguridad informática señala que alguien no se molestó en leer su nota cuidadosamente preparada sobre las contraseñas de uso común. Resulta que, más de 20 años después, eso sigue siendo cierto.

Una forma común en la que se piratean las cuentas de los clientes es a través de ataques de fuerza bruta, en los que un hacker usará crackers de contraseñas fácilmente disponibles (sí, puede buscarlos en Google) y seguirá adivinando hasta que obtenga la correcta.

A nadie le gustan las contraseñas complicadas con caracteres especiales que nunca recordará, pero ciertamente es más seguro, especialmente cuando el dinero que tanto le costó ganar está en riesgo. La autenticación de dos factores es otra gran ayuda, pero sorpresa, sorpresa: eso requiere que las personas se tomen el tiempo para hacerlo.

Por supuesto, es el usuario el que finalmente opta por ser perezoso con respecto a la seguridad de las contraseñas. Y si usted, como propietario de una tienda, no lo hace cumplir, no tendrán que hacerlo. Mira lo que pasó con la seguridad de Ring. Incluso si fue un error del usuario, el tribunal de la opinión pública culpa a Amazon y no a la mala higiene de las contraseñas.

Lograr que sus clientes usen contraseñas seguras es responsabilidad del propietario de la tienda, y no hacerlo puede costarles mucho dinero a los clientes. También puede costarle puntos de reputación porque los clientes molestos pueden recurrir a las redes sociales para hablar sobre sus malas experiencias.

La Técnica Carne y Patatas

4. ¿Está en la plataforma correcta?

Las plataformas de comercio electrónico más conocidas son Shopify, Magento y WordPress/WooCommerce. Una de las razones por las que son tan populares es que son soluciones muy seguras.

Lectura relacionada: 10 razones para elegir WooCommerce >>

Querrá construir su tienda en una plataforma que logre mantenerse a la vanguardia del juego. Las actualizaciones periódicas que abordan las vulnerabilidades de seguridad son imprescindibles en la plataforma que elija. ¿Su primera opción ha tenido filtraciones de datos? ¿Es conocido por las vulnerabilidades que quedan abiertas? Asegúrate de investigar esto antes de comprometerte.

Hay otras consideraciones involucradas más allá de la seguridad del sitio de comercio electrónico, pero esa es otra conversación.

¿Busca una de las plataformas de comercio electrónico más seguras? Nexcess responde a la llamada.

5. ¿Está utilizando el host adecuado?

Sabemos que no todos los anfitriones son iguales. El precio no es el único factor que debería preocuparte. Algunas opciones de alojamiento pueden afectar la seguridad del sitio de comercio electrónico. Tomar la decisión correcta para su tienda es crucial.

Lectura relacionada: Las 10 preguntas principales para hacerle a un proveedor de alojamiento en la nube >>

Cuando utiliza alojamiento compartido, está pagando menos pero potencialmente arriesgando más. Si las cuentas de usuario no se separan correctamente, y una se ve comprometida, eso pone en riesgo a todos en ese servidor. Asegurarse de que su host aplique regularmente parches de seguridad y siga los protocolos de seguridad críticos lo ayuda a evitar un dolor de cabeza más adelante.

También querrá preguntar, ¿cómo monitorean sus redes? ¿Cuál es su protocolo para notificar a los clientes sobre violaciones de seguridad? ¿Proporcionan copias de seguridad automáticas?

La seguridad física de los centros de datos y el lugar donde operan sus servidores es tan importante como la seguridad del sitio de comercio electrónico. Pregunte sobre sus planes para servidores en caso de cortes de energía.

Sin duda, puede optar por un alojamiento más económico en el que se encargue de todas estas cosas usted mismo. También puede optar por servicios de alojamiento administrado que manejen actualizaciones y copias de seguridad mientras le brindan soporte de alojamiento, sugerencias y seguridad de primer nivel.

6. ¿Está actualizado el software de su tienda?

Las actualizaciones y los parches se lanzan con bastante frecuencia y por una buena razón. Las vulnerabilidades de explotación que pueden dejarlo expuesto a ataques están surgiendo cada vez más rápido, dejándolo con la tarea de asegurarse de que está protegido. Cuando no lo hace, abre su sitio a los piratas informáticos que caminan por el buffet de acceso a los datos de todo lo que pueda comer.

¿Qué necesita ser actualizado? Sistemas de administración de contenido, temas, complementos, extensiones y, por supuesto, su servidor. Más allá de mantener su sitio de comercio electrónico seguro y protegido contra vulnerabilidades, también puede evitar que su sitio pierda funcionalidad.

Una excelente manera de controlar todo es utilizar un proveedor de alojamiento que proporcione actualizaciones automáticas. Es una solución fácil que garantiza que su sitio esté siempre listo.

La seguridad no es un trato único: todos sus esfuerzos suman. No puede confiar únicamente en la actualización automática para mantenerse seguro, pero ayuda mucho. Sin embargo, incluso los sitios más seguros pueden ser víctimas de un ciberataque. Es por eso que hay diez puntos en esta auditoría de seguridad, no solo uno.

Haciendo una gran conexión

7. ¿Su host cumple con PCI DSS?

Si acepta pagos con tarjeta de crédito, lo que hacen prácticamente todas las tiendas en línea, debe cumplir con los estándares establecidos por la industria de tarjetas de pago. Puede encontrar una descripción general del cumplimiento aquí, pero hay más de 300 requisitos de seguridad involucrados.

El cumplimiento de PCI DSS puede significar la diferencia entre una venta y un rebote. También puede recibir una multa por incumplimiento, y los costos a menudo son responsabilidad de los comerciantes. Ser un anfitrión compatible le ahorra dinero y garantiza que sus clientes utilicen una pasarela de pago segura.

Aquí hay algunos conceptos básicos que deberá incluir:

• Necesita una red segura, lo que significa instalar un firewall.
• Asegúrese de cambiar sus contraseñas: los valores predeterminados del proveedor no son seguros.
• Cifrar la transmisión de datos.
• Garantice la gestión de vulnerabilidades actualizando periódicamente los programas y versiones antivirus.
• Instituya medidas estrictas de control de acceso y restrinja el acceso a los datos del titular de la tarjeta.
• Utilice identificaciones únicas para todos los que tengan acceso a los datos para monitorear el uso.
• Monitoree y pruebe regularmente las redes.

El cumplimiento de PCI es una de las formas más importantes de proteger su tienda en línea porque si desea realizar ventas, sus clientes deben sentirse seguros al escribir su información de pago. Asegurarse de cumplir con todos los diversos requisitos es una gran razón para utilizar el alojamiento administrado: es una cosa menos en la que gastar tiempo y energía.

8. ¿Está utilizando cifrado SSL?

Seamos claros. Un sorprendente 85% de los consumidores evitará un sitio web no seguro. Si es como nosotros, notará ese pequeño candado en navegadores como Chrome que confirma que el sitio que está navegando es seguro y tiene un certificado válido. ¿De qué certificado están hablando? Es su certificado de capa de sockets seguros.

¿Por qué eso hace una diferencia? Porque si va a entregar datos en este siglo, no querrá convertirse en víctima del robo de identidad, descubrir que sus tarjetas de débito han sido transferidas en caliente o cualquier número de problemas relacionados con el uso de sus datos personales sin su consentimiento. .

Además, en realidad es más difícil encontrar sitios web no seguros. Google, por su parte, penaliza los sitios no seguros y eso significa que ocupan un lugar más bajo en las SERP. Combine ser más difícil de encontrar en primer lugar con los clientes notando que su sitio no es seguro y eso puede traducirse en menos conversiones.

9. ¿Está utilizando un CDN?

Si es nuevo en el espacio de comercio electrónico, es posible que se pregunte por qué está en la lista. ¿No es un CDN lo que usa para que las imágenes y el contenido se carguen más rápido? Bueno, sí. Pero también puede agregar funcionalidad de seguridad a su sitio.

Los proveedores de CDN generalmente brindan funciones de seguridad adicionales, como escaneo de malware, bloqueo de bots de spam y más. Si bien una CDN no evita por completo un ataque DDoS, sin duda puede ayudar a mitigarlo. Piense en él como un guardia de seguridad: una de sus características es que monitorea e identifica el tráfico inusual. Una vez que identifica las direcciones IP que reconoce como maliciosas, bloqueará las solicitudes.

¿Otro bono? Estos procesos no están alojados en su servidor, están alojados a través del servidor CDN, lo que significa que la velocidad de su sitio no se reduce mientras ocurre.

Hay CDN gratuitos y de pago disponibles. Muchos anfitriones también brindan acceso a los suyos. Asegúrese de usar uno que se actualice y parchee con frecuencia; no tiene sentido hacer todo el trabajo solo para usar un CDN con una seguridad mediocre.

10. ¿Proteges tu conexión en espacios públicos?

Gran parte del buen trabajo que está haciendo para proteger su tienda en línea se puede deshacer con un error de novato: usar una conexión no segura. Hoy en día, puede trabajar desde cualquier lugar. Wi-Fi gratuito es la norma en los espacios de ladrillo y mortero. A la gente le gusta la libertad de salir de la oficina (incluso de la oficina en casa) y tomar su taza de café favorita o en una biblioteca tranquila.

Es posible que sienta la tentación de iniciar sesión y aprovechar el acceso gratuito, pero no lo olvide: lo gratuito no siempre es mejor. Si está utilizando una conexión encriptada, a través de una VPN, puede acceder a la red sin preocuparse de quién tiene acceso a sus datos.

Encontrar una VPN segura es fácil con un poco de investigación, y hay muchos hosts que también las ofrecen.

Nexcess facilita la seguridad del sitio de comercio electrónico

Cuando se trata de la seguridad del sitio de comercio electrónico, hay mucho en lo que pensar. A menos que sea una gran empresa con la capacidad de pagarle a un equipo para que vigile, es probable que usted mismo esté haciendo mucho de este monitoreo.

Absolutamente puede manejar todo esto, pero si está buscando concentrar su tiempo en cosas más importantes como vender y actualizar el contenido que atrae a las personas a su sitio, hay una mejor opción.

El alojamiento de WooCommerce completamente administrado de Nexcess se "bloquea" con actualizaciones y copias de seguridad automáticas, un CDN ultrarrápido y el mantenimiento del cumplimiento y los certificados. Lo hacemos rápido, fácil y seguro para que pueda hacer lo que mejor sabe hacer: vender.