Seguridad de WooCommerce: las ocho cosas que debe hacer primero
Publicado: 2021-03-26Si bien las medidas de seguridad están integradas en WordPress y WooCommerce, hay algunas cosas básicas que los nuevos propietarios de tiendas deben hacer para mantener seguros a sus clientes, equipo y datos en el peor de los casos.
Aquí hay ocho cosas que todos los nuevos propietarios de tiendas WooCommerce deben hacer.
1. Elija un host de buena reputación
Su proveedor de alojamiento almacena los archivos y la base de datos de su sitio web, lo que les permite ser vistos por personas de todo el mundo. Su host debe tener medidas para proteger esos archivos de piratas informáticos y malware; elegir el host incorrecto podría ponerlo a usted y a sus clientes en riesgo.
Idealmente, debe encontrar un host que entienda bien WordPress y que indique claramente lo que hacen para priorizar su seguridad. Busque características como:
- Certificados SSL, que protegen los datos de los clientes, como direcciones y números de teléfono.
- Copias de seguridad , para que si algo sale mal, puedas restaurar tu sitio por completo.
- Supervisión y prevención de ataques, para que sepa al instante si se encuentra malware en sus archivos o base de datos.
- Un firewall de servidor, que evita que los piratas informáticos accedan a sus archivos.
- Acceso a soporte las 24 horas del día, los 7 días de la semana, en caso de que lo necesite.
- Software de servidor actualizado , como PHP y MYSQL.
La capacidad de aislar archivos maliciosos, de modo que un virus o malware no pueda moverse a otros sitios o carpetas en el mismo servidor.
Los hosts que evalúe deben tener una página sobre seguridad en su sitio, por lo que debería poder confirmar si su host ofrece o no estas características. Si tiene que profundizar más o enviar correos electrónicos para obtener respuestas, podría ser una señal para mantenerse alejado. Esta lista de proveedores de alojamiento es un excelente lugar para comenzar.
2. Cree (y almacene de forma segura) contraseñas seguras
Si bien la seguridad puede comenzar con su anfitrión, depende de usted seguir adelante. Elija contraseñas seguras para todas y cada una de las cuentas asociadas con su tienda.
Esto significa:
- Usar contraseñas únicas para cada una de sus cuentas.
- Crear una contraseña con una combinación de letras mayúsculas, minúsculas, números y símbolos.
- Evitar palabras, aniversarios, cumpleaños u otras frases que puedan adivinarse fácilmente.
- Priorizar la longitud: cuanto más larga y compleja sea la contraseña, más difícil será descifrarla.
¿Le preocupa si sus contraseñas son realmente seguras o no? No temas: WordPress tiene un generador de contraseñas seguro incorporado que facilita la generación de combinaciones complejas y difíciles de adivinar.
Pero recordar contraseñas difíciles puede ser complicado. Una gran solución es un administrador de contraseñas como LastPass o 1Password (nuestro favorito personal aquí en Woo). Almacenan de forma segura sus contraseñas y las autocompletan de forma segura en sus sitios favoritos.
3. Habilite la autenticación de dos factores (2FA)
Si alguien obtiene acceso a su correo electrónico u otra cuenta, es posible que pueda recopilar suficiente información para restablecer su contraseña e iniciar sesión.
La autenticación de dos factores, más comúnmente abreviada como 2FA, es una forma fantástica de proteger sus cuentas en línea contra intrusos no deseados . 2FA se basa en un segundo paso, generalmente su teléfono inteligente, para validar los inicios de sesión y verificar que usted es el propietario.
Idealmente, debería habilitar 2FA en todas sus cuentas. En circunstancias normales, una persona que obtenga acceso con éxito a su cuenta de correo electrónico podría encontrar la información de inicio de sesión para su tienda y otras cuentas. Pero con 2FA, no tendrán la capacidad de validar físicamente los inicios de sesión a través de su dispositivo móvil.
Es cierto que agregar este segundo paso también agrega un poco más de tiempo a su proceso de inicio de sesión. Pero vale la pena tener la tranquilidad de saber que sus datos confidenciales están seguros.
Puede implementar la autenticación de dos factores de forma gratuita con Jetpack.
4. Prevenir ataques de fuerza bruta
Los ataques de fuerza bruta ocurren cuando los piratas informáticos usan bots para adivinar miles de combinaciones de nombre de usuario y contraseña hasta que finalmente dan con la correcta. Esto no solo puede permitir que los piratas informáticos accedan a su sitio, sino que también puede afectar negativamente su tiempo de carga debido al aumento en el tráfico de la tienda.
La función gratuita de protección contra ataques de fuerza bruta de Jetpack es una excelente manera de detenerlos en su camino. Bloquea automáticamente las direcciones IP maliciosas incluso antes de que lleguen a su sitio, por lo que no tiene que preocuparse por ellas.
5. Agregue una capa adicional de protección del sitio
Ya hemos discutido algunas formas de proteger su sitio, pero para hacer un esfuerzo adicional, considere implementar más herramientas de seguridad de Jetpack. Además de la autenticación de dos factores y la protección contra ataques de fuerza bruta, ofrece:
- Escaneo de malware (pago): Reciba una alerta instantánea si se encuentra malware en su sitio para que pueda solucionar y reparar la mayoría de las amenazas conocidas con un solo clic. Es como tener a alguien vigilando su sitio 24/7.
- Prevención de spam (de pago): elimine automáticamente el spam de comentarios y formularios de contacto que pueden hacerle parecer poco profesional y enviar a los clientes a sitios maliciosos de terceros.
- Un registro de actividad (gratis): esté al tanto de todo lo que sucede en su sitio, desde páginas actualizadas y nuevos productos hasta inicios de sesión de usuarios, junto con quién realizó cada acción y cuándo.
- Monitoreo del tiempo de inactividad (gratis): sepa de inmediato si su sitio se cae, una indicación común de un pirateo, para que pueda volver a funcionar rápidamente.
- Actualizaciones automáticas de complementos (gratis): actualice automáticamente los complementos para mantener su sitio funcionando sin problemas y protegido de los piratas informáticos.
Obtenga más información sobre cómo Jetpack protege su sitio de WordPress.
6. Verifique y ajuste su configuración de FTP
FTP (protocolo de transferencia de archivos) se utiliza para transferir archivos entre dos dispositivos. A través de su proveedor de alojamiento, puede crear cuentas FTP, que le permiten conectarse desde su computadora al servidor de su sitio web. Si un actor malicioso accede a esas cuentas, podría realizar cualquier cantidad de cambios en su sitio.
Pero limitar los permisos en estas cuentas puede reducir o incluso eliminar por completo el potencial de daño. Asegúrese de que solo su cuenta FTP pueda acceder a las siguientes carpetas:
- El directorio raíz
- wp-admin
- wp-incluye
- wp-content
Para obtener más detalles sobre cómo bloquear su FTP, consulte esta sección del Codex de WordPress. Su anfitrión también debería poder ayudarlo a tomar estas precauciones.
7. Siempre actualiza tu sitio
El proceso de actualización de WordPress, WooCommerce y sus complementos o extensiones es absolutamente crítico. Las actualizaciones se publican por un motivo y, a menudo, hacen que su sitio sea más seguro. Si los ignora, podría ponerse en riesgo a usted mismo y a sus clientes.
¿La mejor manera de abordar esto? Reserve un tiempo regular para revisar sus actualizaciones, hacer una copia de seguridad e implementar esas actualizaciones en su sitio. Si no quiere preocuparse por eso, también puede activar la función de actualización automática dentro de WordPress.
8. Haz una copia de seguridad de tu tienda con regularidad
Si alguna vez piratean su sitio, una copia de seguridad es la forma más rápida y mejor de volver a tener una versión limpia y en funcionamiento.
Elija un complemento de respaldo de WooCommerce que se encargue de esto automáticamente; le recomendamos Jetpack Backup:
- Seleccione entre copias de seguridad diarias, que ocurren cada 24 horas, y copias de seguridad en tiempo real, que ocurren cada vez que ocurre una acción (producto comprado, página actualizada, etc.) en su sitio.
- Nunca se preocupe por perder la información del pedido. Ya sea que restaure una copia de seguridad de hace cinco minutos o hace cinco días, toda la información de su pedido se guarda al minuto.
- Restaurar con un solo clic. No se preocupe por un proceso de restauración difícil y que requiere mucho tiempo. Simplemente busque la fecha y la hora a la que desea restaurar y haga clic en un botón.
Al iniciar su tienda, haga de la seguridad una prioridad
Es fácil perder de vista la seguridad en todo el ajetreo y el bullicio del lanzamiento de su tienda, pero no es algo que deba tomarse a la ligera. Mantener la seguridad de los datos de sus clientes debe ser una prioridad absoluta desde el principio.
Al seguir estos sencillos pasos, creará las bases para una tienda segura y confiable que esté bien protegida en el raro caso de un ataque.
¿Tiene alguna sugerencia para los nuevos propietarios de tiendas que recién comienzan a pensar en el tema de la seguridad de WordPress y WooCommerce? Nos encantaría saber de ti en los comentarios.