Cómo proteger su tienda en línea para las vacaciones: una auditoría de seguridad del sitio web de 10 puntos

Publicado: 2020-12-09

Si tiene una tienda en línea, es probable que vea un fuerte aumento en el tráfico durante la temporada navideña. Con nuevos clientes que ingresan su información de pago y direcciones personales en su sitio web, es más importante que nunca proteger su tienda en línea en preparación para las vacaciones.

Noviembre y diciembre son los meses de mayor actividad comercial del año, lo que hace que cualquier tiempo de inactividad relacionado con un ataque o una violación de seguridad sea más caro que en cualquier otra época del año. El tiempo de actividad de su sitio web nunca ha sido más valioso, y es por eso que este es el momento perfecto para realizar una auditoría de seguridad de su tienda en línea.

Preguntas importantes para la seguridad de su sitio web

Al final de la auditoría de seguridad de su sitio web, debería poder responder estas 10 preguntas:

1. ¿Está mi tienda en la plataforma correcta?
2. ¿Está mi tienda en el servidor web correcto?
3. ¿Mi tienda cumple con PCI-DSS?
4. ¿Recopilo demasiados datos sobre mis clientes?
5. ¿Estoy cifrando la comunicación entre mis clientes y mi tienda?
6. ¿Están seguras las cuentas de mis clientes?
7. ¿Está actualizado el software que ejecuta mi tienda en línea?
8. ¿Estoy visitando con regularidad el front-end de mi sitio?
9. ¿Estoy usando CDN y WAF?
10. ¿Protejo mi conexión cuando trabajo en espacios públicos?

Una auditoría de seguridad del sitio web de 10 puntos

No se preocupe si no sabe cómo responder algunas o todas estas preguntas. Sabrá cómo responder a todas estas preguntas al final de esta publicación.

A medida que revisamos el resto de esta publicación, es posible que desee tomar notas sobre los resultados de su auditoría, así como sobre las acciones a tomar. Esta auditoría también es un excelente servicio para sus clientes de diseño web (en cualquier época del año).

Comencemos con la auditoría de seguridad de su sitio web en preparación para la temporada navideña.

Descargue el PDF: una auditoría de seguridad de sitios web de comercio electrónico de 10 puntos

Descargar ahora

1. ¿Está mi tienda en la plataforma correcta?

Shopify, Magento y WordPress son tres de las plataformas más populares que la gente usa para crear sus tiendas. Ninguna de estas plataformas sería una solución de comercio electrónico popular si no fuera segura. Las tres plataformas tienen sus fortalezas y debilidades, por lo que debe investigar un poco para descubrir cuál se adapta mejor a sus necesidades.

Una auditoría rápida de su plataforma actual podría incluir las siguientes preguntas:

1. ¿La plataforma envía actualizaciones con frecuencia para abordar las vulnerabilidades de seguridad?
2. ¿La plataforma emplea / utiliza un equipo dedicado a garantizar que se cumplan los estándares de seguridad?
3. ¿Tiene la plataforma un historial de violaciones de datos a gran escala o vulnerabilidades que quedaron abiertas?
4. ¿Cuál es la reputación de la plataforma como segura?

Una cosa a tener en cuenta es lo fácil que sería trasladar su tienda a otra plataforma u host. Si necesita alejarse de Shopify, puede migrar Shopify a WooCommerce. Sin embargo, no será tan fácil como mover una tienda de WordPress a un nuevo servidor web. WordPress también permite una mayor personalización y flexibilidad para las herramientas que puede utilizar.

2. ¿Está mi tienda en el servidor web correcto?

Poner su sitio web en el mismo alojamiento compartido que el blog de su amigo es una mala idea. ¿Por qué? Un sitio web de comercio electrónico agrega mucha complejidad que requiere una mayor experiencia para asegurar adecuadamente. No creaste una tienda porque soñabas con convertirte en un experto en ciberseguridad, por lo que debes descargar esa responsabilidad a tu anfitrión.

Invertir en una solución de alojamiento centrada en el comercio electrónico como el alojamiento administrado de WooCommerce de Liquid Web o el alojamiento de WordPress administrado es el camino a seguir. Divulgación completa, Liquid Web es nuestra empresa matriz, pero es un excelente alojamiento para usted. Vaya a la tienda de precios y busque otra empresa de alojamiento que compita con ese valor a ese precio. Tener un host de comercio electrónico administrado le permitirá ahorrar mucho tiempo y molestias en la administración de su sitio; tiempo que puede utilizar para hacer crecer su negocio.

3. ¿Mi tienda cumple con PCI-DSS?

Si acepta pagos con tarjeta de crédito, debe cumplir con los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI-DSS). Según el PCI Security Standards Council oficial, " Si acepta o procesa tarjetas de pago, se le aplican los estándares de seguridad de datos de PCI". Estos estándares incluyen más de 300 requisitos de seguridad diferentes, pero aquí hay una descripción general de las mejores prácticas de PCI-DSS:

Estándar de seguridad de datos PCI

METAS	REQUISITOS DE PCI DSS
Construya y mantenga una red segura	1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta 2. No utilice valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
Proteja los datos del titular de la tarjeta	3. Proteja los datos almacenados del titular de la tarjeta 4. Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas
Mantener un programa de gestión de vulnerabilidades	5. Usar y actualizar regularmente software o programas antivirus. 6. Desarrollar y mantener sistemas y aplicaciones seguros.
Implementar medidas de control de acceso sólidas	7. Restringir el acceso a los datos de los titulares de tarjetas según la necesidad de conocer de la empresa. 8. Asigne una identificación única a cada persona con acceso a la computadora. 9. Restringir el acceso físico a los datos del titular de la tarjeta.
Monitorear y probar redes con regularidad	10. Rastrear y monitorear todo el acceso a los recursos de la red y los datos de los titulares de tarjetas 11. Probar periódicamente los sistemas y procesos de seguridad.
Mantener una política de seguridad de la información	12. Mantener una política que aborde la seguridad de la información para empleados y contratistas.

Cuando elige tomar los números de tarjetas de débito de las personas, cumplir con estos requisitos será de gran ayuda para evitar que un atacante malintencionado agote su cuenta bancaria. Le recomiendo encarecidamente que obtenga el asesoramiento de un experto para asegurarse de que cumple con los requisitos de PCI-DSS.

4. ¿Recopilo demasiados datos sobre mis clientes?

Cuanta más información recopile sobre sus clientes, más información puede verse comprometida durante una infracción. En estos días, difícilmente podemos pasar una semana sin escuchar que alguna empresa fue víctima de una violación de datos que expuso los datos de los clientes. Por ejemplo, en la violación de Doordash, los números de teléfono, las direcciones de correo electrónico, las direcciones personales y las contraseñas hash del cliente se vieron comprometidas. Esa combinación de información podría ser todo lo que se necesita para obtener un préstamo fraudulento.

Nunca debe recopilar más información sobre sus clientes de la que necesita. Si vende productos digitales que no se renuevan automáticamente, ¿por qué recopilaría y almacenaría la dirección postal?

También debería considerar el uso de una pasarela de pago como Stripe. Las pasarelas de pago le permiten descargar pagos con tarjeta de crédito, por lo que su tienda puede aceptar pagos en línea sin procesar ni almacenar números de tarjetas de crédito. Stripe también lo ayudará a cumplir con PCI-DDS.

Desafortunadamente, siempre habrá atacantes en línea y no faltarán informes de sitios comprometidos. Limitar la información que recopila sobre sus clientes limitará la cantidad de información expuesta durante una infracción. No puede perder datos confidenciales de clientes que no tiene.

5. ¿Estoy cifrando la comunicación entre mis clientes y mi tienda?

SSL cifra la comunicación que sus clientes escriben en su navegador y envían a su sitio. Con SLL, cuando alguien ingresa su nombre de cuenta y contraseña, estará protegida cuando esa información se envíe al servidor de su sitio para su confirmación. Cifrar el nombre de usuario y la contraseña dificultará que un atacante intercepte el nombre de usuario y la contraseña en tránsito desde su navegador a su servidor.

No vamos a dedicar demasiado tiempo a esto porque asumiremos que todos ya están usando un certificado SSL en su sitio. Puede consultar nuestra formación https de WordPress si no está familiarizado con SSL. Si está utilizando un host especializado en comercio electrónico, es probable que su sitio ya utilice SSL de forma segura.

6. ¿Están seguras las cuentas de mis clientes?

Un ataque de fuerza bruta es el tipo de ataque más común en las cuentas de sus clientes. La fuerza bruta es un tipo de ataque en el que un hacker intenta adivinar una combinación aleatoria de nombres de usuario y contraseñas hasta encontrar la correcta. La razón por la que los ataques de fuerza bruta son tan populares es que la barrera de habilidad de entrada es muy baja. Puede encontrar muchas herramientas gratuitas para descifrar contraseñas con una búsqueda rápida en Google.

La buena noticia es que el uso de un complemento de seguridad de WordPress como iThemes Security Pro en su sitio de WordPress facilita evitar que los ataques al inicio de sesión de sus clientes tengan éxito.

Según la investigación del blog de seguridad de Google, debe seguir estas 5 reglas para detener el 100% de los ataques de fuerza bruta:

Recomendación	Descripción	Solución
Limitar intentos fallidos de inicio de sesión	Limite el número de intentos de inicio de sesión incorrectos que un bot puede intentar antes de ser bloqueado.	La función de protección de fuerza bruta de iThemes Security Pro WordPress le brinda el poder de establecer el número de intentos fallidos de inicio de sesión permitidos antes de que se bloquee un nombre de usuario o IP. Un bloqueo deshabilitará temporalmente la capacidad del atacante para realizar intentos de inicio de sesión. Una vez que los atacantes hayan sido bloqueados tres veces, se les prohibirá incluso ver el sitio.
Forzar contraseñas seguras	Una contraseña que tenga al menos 12 caracteres, sea aleatoria e incluya una gran cantidad de caracteres como "ISt8XXa! 28X3" hará que sea muy difícil de descifrar.	Exigir a los usuarios que pueden realizar ediciones en WordPress que utilicen contraseñas seguras. El uso de un complemento de seguridad de WordPress como iThemes Security Pro para obligar a los usuarios privilegiados a utilizar contraseñas seguras ayudará a aumentar la seguridad de inicio de sesión de WordPress.
Rechazar contraseñas comprometidas	Cuantos más usuarios tenga que reutilicen contraseñas, más débil será la seguridad de inicio de sesión de WordPress.	Evite que sus clientes utilicen contraseñas comprometidas conocidas. iThemes Security Pro aprovecha la API HaveIBeenPwned para detectar si ha aparecido o no una contraseña en una violación de datos. Si se encontró una contraseña en una violación de datos, iThemes Security le pedirá que actualice la contraseña de su cuenta de inmediato.
Utilice la autenticación de dos factores	No hay mejor manera de proteger las cuentas de sus clientes que requiriendo la autenticación de dos factores de WordPress. La autenticación de dos factores requiere un código adicional junto con su nombre de usuario y contraseña de WordPress para iniciar sesión.	Con un complemento de seguridad de WordPress, como iThemes Security Pro, puede agregar la autenticación de dos factores de WordPress a su sitio de WordPress. Habilite el método de correo electrónico o aplicación móvil de dos factores. También puede utilizar la función de inicio de sesión sin contraseña de WordPress para facilitar aún más el inicio de sesión con la seguridad de dos factores.
Limitar los intentos de autenticación externa	Hay otras formas de iniciar sesión en un sitio de WordPress además de usar un formulario de inicio de sesión. Con XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP. El método de amplificación de fuerza bruta permite a los atacantes realizar miles de intentos de nombre de usuario y contraseña utilizando XML-RPC en solo unas pocas solicitudes HTTP.	Con la configuración de ajustes de WordPress de iThemes Security Pro, puede bloquear varios intentos de autenticación por solicitud XML-RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno por cada solicitud contribuirá en gran medida a asegurar su inicio de sesión de WordPress.

Es posible que esté pensando que nunca dificultaría el inicio de sesión de sus clientes. Realmente entiendo de dónde vienes, pero permíteme compartir una breve historia que podría hacerte cambiar de opinión.

Un miembro de mi familia tenía una de sus cuentas pirateadas. Tenga en cuenta que el pirata informático solo pudo descargar los productos que el miembro de la familia compró de forma gratuita. No se almacenó ninguna de su información personal (ver el n. ° 4), por lo que no encontraron nada. Sin embargo, este miembro de la familia todavía estaba molesto. La empresa donde se violaron las cuentas les otorgó un reembolso completo y les aseguró que su cuenta estaría segura una vez que actualizaran su contraseña.

Entonces, al escuchar esto, decidí hacer mi mejor impresión de Sherlock Holmes y comenzar una investigación. Pude determinar que el pirata informático probablemente encontró la dirección de correo electrónico y la contraseña del miembro de la familia en uno de los múltiples volcados de violación de datos. Mi familiar había estado usando la misma combinación de contraseña y nombre de usuario durante años. Les mostré todas las infracciones de la base de datos de las que su dirección de correo electrónico había sido parte de haveibeenpwned.com y les animé a actualizar su contraseña en todas sus cuentas antes de que esas cuentas también fueran pirateadas.

Después de enterarse de que su contraseña estaba disponible para que cualquiera la usara, ¿cree que culparon a la elección de una contraseña débil oa la empresa de que su cuenta se haya visto comprometida? Si dijera que culpaba a la empresa, estaría en lo cierto. Cuando cuentan la historia del pirateo, ¿cree que es más probable que hablen negativamente sobre la empresa o sus malas prácticas de contraseñas? A pesar de que la culpa era de ellos, todavía pensaban que la empresa tenía la responsabilidad de proteger su cuenta.

Entonces, ¿qué podemos aprender de esto? Depende de nosotros, como propietarios de tiendas, exigir contraseñas seguras y autenticación de dos factores para proteger las cuentas de los clientes. Porque cuando la cuenta de un cliente es pirateada, es probable que los propietarios de las tiendas sean los culpables.

La buena noticia es que el complemento iThemes Security Pro tiene una nueva función de inicio de sesión sin contraseña de WordPress que le permite exigir a los usuarios que usen contraseñas seguras y autenticación de dos factores sin tener que ingresar una contraseña o un código de autenticación adicional . Ahora puede ofrecer toda la seguridad sin sacrificar la usabilidad.

7. ¿Está actualizado el software que ejecuta mi tienda en línea?

Las actualizaciones de software no son solo para nuevas funciones o correcciones de errores. Las actualizaciones también pueden incluir parches de seguridad para vulnerabilidades de seguridad conocidas. La ejecución de software obsoleto con exploits conocidos es una de las razones más comunes por las que los sitios web son pirateados. Es crucial para la seguridad de su sitio de WordPress que tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez a la semana para realizar actualizaciones.

Con la función de administración de versiones del complemento iThemes Security Pro, puede habilitar las actualizaciones automáticas de WordPress para asegurarse de obtener los últimos parches de seguridad. Actualizar su software es lo más fácil que puede hacer para ayudar a proteger su tienda en línea.

8. ¿Estoy visitando con regularidad el front-end de mi sitio?

¿Cuándo fue la última vez que revisó el front-end de su sitio o incluso miró su página de inicio? Como propietarios de sitios ocupados, normalmente iniciamos sesión directamente en el backend de nuestros sitios para agregar nuevos productos, contenido y realizar actualizaciones del sitio. Revisar las páginas y los productos de su sitio puede ayudarlo a encontrar signos de infección. Debe buscar estos 3 signos de infección cuando inspeccione el front-end de su sitio o cuando pregunte si mi sitio de WordPress ha sido pirateado.

Revise su página de inicio para ver si hay cambios: el objetivo principal de algunos trucos es rastrear un sitio web o ganar notoriedad. Por lo tanto, solo cambian su página de inicio por algo que les parezca divertido o para dejar una tarjeta de visita pirateada.
Busque cualquier ventana emergente maliciosa o spam : ¿Hay algún producto que se anuncie en su sitio que no vende?
Encontrar redireccionamientos inesperados : ¿hace clic en uno de los enlaces de sus productos solo para ser redirigido a una tienda maliciosa que intenta recopilar los datos de sus clientes?

El uso de la función de detección de cambios de archivos de iThemes Security Pro puede ayudarlo a estar al tanto de cualquier cambio inesperado realizado en su sitio. Es crucial recibir alertas sobre un ataque exitoso en su sitio; cuanto antes se identifique la infracción, más podrá mitigar el daño causado.

9. ¿Estoy usando CDN y WAF?

El uso de una red de entrega de contenido (CDN) como Cloudflare CDN puede ayudar a proteger su tienda de los ataques DDoS. El CDN está en un servidor diferente al de su sitio y puede inspeccionar las solicitudes a su sitio antes de que lleguen a su sitio. Un ataque de denegación de servicio (DDos) es cuando un atacante intenta interrumpir o derribar su sitio con una avalancha de tráfico de Internet. Dependiendo de su plan de alojamiento, es posible que no se requiera mucho tráfico adicional para que su sitio caiga.

Una CDN puede ayudar a mitigar un ataque DDoS de dos formas diferentes. Lo primero que hará una CDN es monitorear e identificar activamente que su sitio está siendo atacado, lo cual es crítico. No puede detener un ataque que no está configurado para detectar. Una vez que se identifican las direcciones IP maliciosas, la CDN evitará que las solicitudes de las direcciones IP lleguen a su sitio.

También debería considerar el uso de un firewall de aplicaciones web (WAF). Un WAF puede identificar y filtrar el tráfico malicioso antes de que llegue a su sitio. A diferencia de un Firewall de aplicaciones web PHP, un WAF como el que ofrece Cloudflare WAF no está en el mismo servidor que su sitio. Por lo tanto, todo el filtrado de seguridad se realiza fuera del sitio y no agrega ninguna carga adicional ni ralentiza su sitio.

10. ¿Protejo mi conexión cuando trabajo en espacios públicos?

Una de las mejores cosas de administrar una tienda en línea es que puede trabajar en cualquier lugar. Desafortunadamente, se sabe que el wifi público es muy inseguro, lo que hace que las bibliotecas públicas, los hoteles, las cafeterías y los aeropuertos sean lugares privilegiados para que los piratas informáticos intercepten las comunicaciones y recopilen contraseñas.

Una vez trabajé con un cliente de iThemes Security Pro que no podía entender cómo su cuenta de administrador seguía siendo pirateada incluso después de cambiar su contraseña. Después de un poco de ida y vuelta, descubrí que les gusta trabajar desde su biblioteca local y que estaban conectados al wifi sin usar una red privada virtual (VPN).

Una red privada virtual le permite comunicarse de forma segura con su banco o tienda en línea cifrando su tráfico de Internet. Dado que el cliente de iThemes Security Pro no estaba usando una VPN, su tráfico no estaba encriptado y su contraseña seguía siendo interceptada por un actor malintencionado. Después de que les sugerimos que intentaran usar una VPN en la biblioteca local, nos informaron que el uso de la VPN puso fin a los ataques.

Si necesita más pruebas sobre la inseguridad del wifi público, aquí hay un excelente artículo de USA Today donde un periodista escribió sobre su experiencia de ser pirateado mientras usaba wifi en vuelo: Me piratearon en el aire mientras escribía una historia de Apple-FBI.

Conclusión: mejores prácticas de seguridad en línea

Se puede evitar que la mayoría de los ataques a su tienda en línea tengan éxito con una pequeña acción de su parte. ¡Ahora es un buen momento para realizar una auditoría de seguridad y asegurarse de que su sitio sea seguro durante la temporada navideña!

complemento de seguridad de wordpress

Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web de WordPress

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con la autenticación de dos factores de WordPress, la protección contra la fuerza bruta, la aplicación estricta de contraseñas y más, puede agregar una capa adicional de seguridad a su sitio web.

Obtén iThemes Security Pro

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.