Lista de verificación de 9 puntos para una tienda WooCommerce segura

WooCommerce es un complemento de comercio electrónico popular para WordPress, que impulsa más del 28% de todas las tiendas en línea. Como software de acceso público, WordPress se puede personalizar y modificar para crear un sitio web único de WooCommerce. Por otro lado, al igual que todos los sitios web en Internet, los sitios web de WordPress también son vulnerables a los piratas informáticos. Y en realidad no tiene que ver con el sitio web central de WordPress, más bien, debido a problemas de seguridad evitables.

En esta publicación, lo guiaremos a través de los principales consejos de seguridad de WooCommerce para evitar que su tienda de comercio electrónico se vea comprometida por usuarios malintencionados. Puede planificarlos e implementarlos de diferentes maneras, pero existe una solución fácil y efectiva para optimizar la seguridad de su sitio, que también analizamos aquí.

Lista de verificación de 9 puntos para fortalecer su seguridad WooCommerce

Aquí hay un vistazo a las formas en que puede aumentar su seguridad de WooCommerce. Algunas de estas medidas de seguridad las puede implementar fácilmente por su cuenta, otras requerirán la intervención de expertos de WordPress.

1. Mantenga sus complementos actualizados

Actualizar sus complementos y temas es esencial, he aquí por qué:

• Los piratas informáticos pueden aprovechar las vulnerabilidades de los complementos y temas, y comenzar a atacar su sitio web a través de esos complementos/temas. Pueden tener éxito al acceder a datos comerciales y de clientes para vender en la dark web, transferir fondos o cometer fraude, entre otros actos ilegales.

• Los complementos obsoletos son responsables del 91 % de las infracciones de seguridad, por lo que es necesario realizar actualizaciones. Además, miles de sitios web son pirateados diariamente. Si los piratas informáticos se salen con la suya con su tienda, pueden transmitir un código malicioso a los usuarios desprevenidos de su sitio. O pueden lanzar un ataque DDoS para ralentizar o cerrar su sitio web, lo que provoca un tiempo de inactividad, que se ha enviado a un costo promedio de $ 5,600 por minuto.

• Las actualizaciones de complementos y temas vienen con correcciones de errores y mejoras de rendimiento. Las últimas versiones solucionan problemas identificados en versiones de software anteriores e incluso pueden agregar nuevas funciones. El mantenimiento de complementos/temas los mantiene utilizables y seguros.

Para actualizar temas o complementos de WordPress, visite la pestaña 'Actualizaciones' en su administrador de WordPress. Recomendamos que primero actualice los temas/complementos en un sitio de prueba, un clon de su sitio web en vivo, para probar los cambios antes de aplicarlos a su sitio en vivo. Esto se debe a que la actualización de un complemento a veces puede causar "errores fatales" debido a que el código del complemento es incompatible con el código utilizado en los archivos principales de WP.

Si tiene experiencia técnica, puede configurar más fácilmente su sitio de ensayo. De lo contrario, un profesional puede configurarlo para usted, lo que ayuda a garantizar que las actualizaciones se puedan instalar correctamente. Puede cuidar su seguridad de WooCommerce y también evitar las consecuencias derivadas de los problemas de actualización.

2. Elija un proveedor de alojamiento de WooCommerce dedicado

¿Necesita un alojamiento especial para WooCommerce? Bueno, dado que el sitio promedio de WooCommerce requiere una gran cantidad de bases de datos y tiene que acomodar un alto tráfico, una empresa de alojamiento de WooCommerce dedicada es una mejor opción que un servicio de alojamiento normal. Desde el punto de vista de la seguridad de WooCommerce, se puede esperar que dicho proveedor brinde soporte especializado que cubra todas las áreas necesarias en su sitio.

Estas son algunas de las características de seguridad que debe revisar cuando busque un proveedor de alojamiento:

• Certificados SSL para habilitar una conexión encriptada y evitar que los piratas informáticos vean nombres, direcciones, contraseñas, números de tarjetas de crédito y otros datos confidenciales.

• Copias de seguridad automatizadas para que su sitio vuelva a funcionar en caso de un ataque.

• Supervisión de ataques para detectar y mitigar ataques en tiempo real.

• Asistencia las 24 horas, los 7 días de la semana por parte de expertos en hosting de WooCommerce disponibles para ayudarlo con sus problemas de seguridad.

• Un entorno de prueba integrado para probar complementos y cambios en su tienda de forma segura antes de publicarlos.

En cuanto al rendimiento, es posible que desee centrarse en la garantía de tiempo de actividad prometida por el proveedor. Si tiene un sitio grande de WooCommerce con muchos productos y atrae un tráfico sustancial diariamente, nada menos que una garantía de tiempo de actividad del 99.9% será suficiente.

3. Configure un firewall usando un complemento de seguridad de WordPress

Incluso si su proveedor de alojamiento le proporciona un firewall, configurar uno a nivel del sitio web agregará otra capa de seguridad, evitando el acceso no autorizado a su red informática. Puede usar un complemento para configurar un firewall y agregar más personalización si tiene conocimientos técnicos avanzados. WordFence es un cortafuegos de confianza para WordPress. Es un complemento de seguridad completo de WordPress, que ofrece un conjunto de funciones, tales como:

• Un firewall de aplicaciones web (WAF) que identifica y bloquea el tráfico malicioso

• Protección contra ataques de fuerza bruta que bloquean a los usuarios después de una cantidad definida de intentos de inicio de sesión incorrectos

• Escaneo de malware para identificar software malicioso que los piratas informáticos podrían haber instalado en su sitio

• Habilita la seguridad de inicio de sesión como reCAPTCHA y autenticación de dos factores

Muchas de las funciones más importantes de WordFence están disponibles con la versión gratuita. La actualización a la versión premium cuesta $ 99 por año e incluye funciones avanzadas como bloqueo de IP en tiempo real y reglas de firewall que protegen los sitios de nuevas amenazas y malware tan pronto como el equipo de WordFence los detecta.

Es posible implementar manualmente las funciones que ofrecen los complementos de seguridad todo en uno como WordFence. Algunos son bastante fáciles de hacer pero tienen requisitos especiales. Por ejemplo, si desea configurar su propio firewall, necesita acceso completo a su servidor, lo cual no es posible a menos que use un servidor dedicado. Además, deberá trabajar en la interfaz de línea de comandos, que es simple y placentera solo si tiene habilidades de desarrollo web.

4. Haga que su página de inicio de sesión sea más segura

El área de administración de su sitio web está bajo la amenaza de ataques de fuerza bruta, que intentan obtener acceso a su administrador de WP probando varias combinaciones de nombres de usuario y contraseñas. Los ataques de fuerza bruta o el uso de credenciales robadas representan más del 80 % de las infracciones dentro de la piratería. Hay algunas acciones de seguridad de WooCommerce que puede tomar para aumentar la seguridad de la página de inicio de sesión del administrador de su tienda:

Cambie su nombre de usuario de 'admin' a otra cosa

Un truco común para los piratas informáticos es explotar el nombre de usuario de administrador predeterminado de WordPress, que es 'admin', para intentar iniciar sesión en su cuenta. Las primeras versiones de WordPress tenían por defecto el nombre de usuario 'admin', por lo que es posible que los propietarios de las tiendas tengan la costumbre de usarlo. Cambiar 'admin' a otro nombre es necesario para reducir el riesgo de ataques de Wp-admin, ¡y no hay nada que hacer! Aquí están los pasos:

1. Ir a > agregar nuevo usuario
2. Cree un nuevo usuario con su nombre de usuario deseado y asígnele el rol de 'administrador'
3. Cierre la sesión de la cuenta anterior de 'administrador' e inicie sesión en la nueva cuenta
4. Regrese a la lista de usuarios y elimine la antigua cuenta de 'administrador'

Habilitar la autenticación de dos factores (2FA)

La autenticación de dos factores requiere dos métodos para verificar su identidad. Actúa como la segunda línea de defensa para restringir el acceso a su cuenta de administrador de WordPress. Puede habilitarlo con una aplicación de autenticación, que agrega 2FA a las cuentas que desea proteger.

Las aplicaciones de autenticación generan un código único que puede usar para confirmar que es usted quien inicia sesión en su cuenta de administrador de WP. Primero deberá configurar un dispositivo de autenticación en su teléfono inteligente o tableta. Durante este proceso, la aplicación generará una clave secreta que guardará en su teléfono escaneando un código QR o escribiendo manualmente el código si su teléfono no tiene cámara. Con esto, el servidor de la aplicación y tu teléfono tienen una copia de la clave secreta. A partir de entonces, cada vez que ingresa su nombre de usuario y contraseña para iniciar sesión, la aplicación envía un código de acceso, generalmente un número de seis dígitos, que debe ingresar para iniciar sesión en su cuenta de administrador.

Aquí hay un ejemplo de cómo configurar 2FA usando WordFence:

1. Descargue una aplicación de autenticación como Google Authenticator en su teléfono inteligente o tableta
2. Instalar y activar WordFence
3. Vaya a la página de 'seguridad de inicio de sesión' en WordFence
4. Abra su aplicación de autenticación y escanee el código QR que se muestra en WordFence
5. Haga clic en 'descargar' en la sección del código de recuperación: esto le brinda un conjunto de códigos que puede usar en caso de que pierda el acceso a su aplicación de autenticación
6. Ingrese el código de 6 dígitos de su aplicación de autenticación
7. Haga clic en 'activar'

5. Solicite contraseñas seguras para las cuentas de la tienda

WooCommerce te ofrece la flexibilidad de crear una tienda que se adapte a tu modelo de negocio. Esto incluye proporcionar diferentes niveles de acceso dentro de los equipos. Asegurar las cuentas de la tienda de todos los miembros de su equipo es una forma sencilla de fortalecer la seguridad de WooCommerce.

Si bien los empleados entienden que sus contraseñas deben ser seguras, tienden a usar contraseñas débiles que pueden piratearse en menos de un segundo. Una política de contraseñas seguras puede reiterar la necesidad de crear contraseñas complejas. En lugar de tener solo algunos roles, como el gerente de la tienda o el administrador, para crear contraseñas seguras, la opción más segura es aplicar una política de complejidad de contraseñas para todos los usuarios.

Una forma de lograr esto es usar el complemento iThemes Security para obligar a las cuentas de la tienda a establecer contraseñas seguras para ellos mismos. Así es como puedes hacerlo:

1. Instalar y activar el complemento
2. En la página de configuración, elija 'eCommerce' como tipo de sitio web
3. Seleccione 'Yo' como usuario
4. Cuando el complemento pregunte '¿quieres proteger tus cuentas de usuario con una política de contraseñas?', establece el interruptor en 'sí'

6. Cree contraseñas únicas para todas las plataformas de comercio electrónico de terceros

Un aspecto de la seguridad de WooCommerce que a menudo se pasa por alto es la vulnerabilidad de las diferentes cuentas que utiliza para los servicios conectados a su tienda WooCommerce frente a los hackeos de contraseñas. Usar la misma contraseña para todos los servicios que ha conectado a su tienda WooCommerce facilita el trabajo de un hacker. Esto es lo que debería considerar hacer en su lugar:

• Establezca contraseñas distintas en todas sus pasarelas de pago como Stripe y PayPal, su alojamiento y cualquier otro servicio de terceros que utilice para su tienda WooCommerce. Incluso si una de sus contraseñas está expuesta, sus otras cuentas estarán seguras.

• Asegúrese de que las contraseñas sean lo suficientemente distintas entre sí. Reutilizar contraseñas simplemente cambiando o agregando un dígito o carácter no es efectivo.

7. Mantén copias de seguridad periódicas de tu tienda

Aunque las copias de seguridad no protegerán su sitio contra los piratas informáticos, garantizan que tenga acceso a sus datos valiosos si su sitio se ve comprometido. Tener copias de seguridad de sus datos puede ayudar a que su sitio vuelva a estar en línea después de un ataque cibernético u otros eventos, como una falla de hardware o un bloqueo debido a un pico de tráfico. Las copias de seguridad diarias garantizan que la información de sus clientes, pedidos y productos se pueda restaurar cuando ocurran eventos imprevistos, y que se mantenga la continuidad del negocio para evitar la pérdida de clientes e ingresos.

Una solución práctica es usar un complemento de copia de seguridad de WordPress en tiempo real como BlogVault. La copia de seguridad en tiempo real ofrece la capacidad de restaurar datos en cualquier momento y es especialmente útil si tiene una base de datos grande que enfrenta la amenaza constante de problemas relacionados con la seguridad.

8. Asegure su base de datos

Su base de datos de WordPress almacena toda la información de su sitio web, lo que lo convierte en un objetivo atractivo. WordPress utiliza MySQL como su sistema de gestión de base de datos. El código PHP en su sitio de WordPress contiene comandos SQL para comunicarse con la base de datos. Una de las formas en que se puede piratear SQL es cuando el pirata informático usa una pieza de código SQL para manipular una base de datos y obtener acceso a información valiosa. Este tipo de ataque es una inyección SQL y es común entre los sitios web controlados por bases de datos.

Afortunadamente, hay formas de proteger su base de datos de WordPress; aquí hay dos para ayudarlo a comenzar:

Cambiar el prefijo de tabla predeterminado

El prefijo de tabla predeterminado para las tiendas WooCommerce es wp_ . Dejar esta configuración por defecto abre su tienda a inyecciones de SQL. Puede cambiar esta configuración en PhpMyAdmin cuando configura su tienda, o usar un complemento como DB Prefix. Asegúrese de hacer una copia de seguridad de su base de datos de WP antes de realizar cambios en los prefijos de la tabla. Y si tiene planeado un poco de mantenimiento de WordPress y actualizaciones de seguridad, puede dirigir a los visitantes del sitio web a una página de mantenimiento o una página temporal.

Asegure su archivo wp-config

El archivo wp-config.php es el archivo más importante de su tienda WooCommerce, ya que contiene toda la información de la base de datos de su tienda, incluidas las contraseñas de administrador. Al mover este archivo desde su posición predeterminada en el subdirectorio raíz a un subdirectorio superior, se vuelve más difícil para los piratas informáticos potenciales localizarlo.

Nota: Codeable no está afiliado a ninguna de las recomendaciones (complementos) mencionadas en la publicación.

9. Contrate a un profesional de seguridad de WordPress examinado

La acción número uno más efectiva que puede tomar para mantener segura su tienda WooCommerce es contratar a un profesional de seguridad de WordPress. Desde la instalación de un certificado SSL básico hasta la implementación de firewalls para protegerse contra ataques de fuerza bruta en sitios de comercio electrónico más grandes, contratar a un profesional de seguridad lo libera para concentrarse en otras partes de su tienda, como administrar pedidos y realizar un seguimiento del inventario.

Cómo encontrar un experto en seguridad de WooCommerce

Tiene muchas opciones, incluido el bricolaje, contratar una agencia o encontrar un profesional independiente en los numerosos mercados en la web. Las agencias que brindan expertos en seguridad de WordPress generalmente incluyen diferentes servicios en un paquete, por lo que si elige esta opción, tenga cuidado con los servicios que no necesite.

En los mercados independientes, puede pagar más para tener una selección de desarrolladores de WP examinados o tendrá que evaluarlos usted mismo. En estos sitios, usted elige las mejores ofertas y no hay garantía de que un profesional independiente haga una oferta en proyectos en los que se sienta competente, simplemente porque el sitio no hace explícito este requisito.

La mejor opción es encontrar un experto en seguridad en Codeable:

• Codeable es una plataforma freelance especializada en WordPress.
• Hace coincidir su proyecto con profesionales examinados de WordPress/WooCommerce que han trabajado en proyectos de seguridad similares al suyo. Esto elimina las conjeturas y ayuda a garantizar que tenga a la persona adecuada para el trabajo.
• Lo que diferencia a Codeable de los mercados autónomos genéricos es que solo trabajará con expertos que puedan ejecutar su proyecto con éxito. Puede disfrutar de la tranquilidad de saber que tiene acceso a los profesionales de seguridad de WooCommerce que han dado su consentimiento para el proyecto después de pensarlo detenidamente.
• Codeable es una excelente opción para proyectos más pequeños o tareas únicas como auditorías de seguridad. Resulta más económico que contratar una agencia y le ahorra mucho tiempo para actividades estratégicas.
• El proceso de contratación es fácil y no tienes la obligación de contratar si cambias de opinión sobre tus planes de seguridad y mantenimiento de WooCommerce.

Asegure su tienda WooCommerce contra amenazas emergentes

Tener un plan de seguridad de Woocommerce le permite responder de manera efectiva a las amenazas de ciberseguridad existentes y nuevas. La gestión proactiva de los problemas de seguridad específicos de WordPress y el comercio electrónico es imprescindible para llevar a cabo negocios sin interrupciones, evitar pérdidas financieras debido a la piratería y mantener la confianza de los clientes.

Los expertos en seguridad de WordPress de Codeable pueden ayudarlo a administrar su riesgo de seguridad.

Envíe su proyecto y mitigue sus preocupaciones de seguridad de inmediato. Codeable es económico y ofrece una garantía de devolución de dinero, por lo que puede probarlo con una pequeña tarea y luego determinar si desea usarlo para un proyecto de seguridad más grande.