Guía para proteger los sitios web de WooCommerce

WooCommerce es una de las soluciones de comercio electrónico más populares, gratuitas y flexibles para crear tiendas en línea. Con más de 48 millones de descargas, controla más del 28% de todos los sitios de comercio electrónico.

Esta gran popularidad también ha convertido a WooCommerce en uno de los principales objetivos de los piratas informáticos y otros estafadores cibernéticos. Si está ejecutando una tienda WooCommerce o planea construir una, es posible que desee saber qué puede hacer en su tienda para mantenerla segura.

Aunque WooCommerce y WordPress vienen con funciones de seguridad integradas, la práctica de algunas medidas de seguridad básicas agregaría una capa adicional de seguridad a su tienda WooCommerce.

Este artículo enumera algunos de los consejos de seguridad más importantes y eficaces que puede aplicar en su sitio web para proporcionar a sus clientes de WooCommerce un entorno de compra seguro en su tienda.

Averigüemos qué son y cómo funcionan.

Elija un proveedor de alojamiento confiable
Elegir un proveedor de alojamiento confiable y seguro es el primer paso para garantizar la seguridad de su tienda WooCommerce. La seguridad debe ser una de las cosas importantes que debe buscar en su proveedor de alojamiento.

Puede hacer uso de la lista de verificación a continuación para comprender cómo su anfitrión potencial maneja la seguridad de los sitios web alojados en él.

Monitoreo de la red: mediante un monitoreo constante, podrá estar atento al tráfico sospechoso o incidentes y prevenir el ataque desde el principio.
Escaneo de antivirus y malware
FTP seguro: asegúrese de que su proveedor de alojamiento admita SFTP, la versión segura de FTP.
Utilice contraseñas seguras

Las cuentas que tienen contraseñas débiles a menudo son víctimas de ataques de fuerza bruta. Esto hace que sea importante elegir una contraseña segura para todas las cuentas asociadas con su tienda WooCommerce.

Las contraseñas más seguras son una combinación de letras mayúsculas, minúsculas, números y símbolos. Contraseñas tan complejas y largas dificultarán que los piratas informáticos las descifren.

Si no desea perder tiempo creando contraseñas seguras, WordPress tiene una función incorporada "Mejores contraseñas" que genera una contraseña segura para sus usuarios. También puede utilizar el generador de contraseñas seguras de Chrome para crear y administrar sus contraseñas por usted.

Evite el uso de "Admin" como su nombre de usuario
La mayoría de los sitios web siguen la combinación de nombre de usuario y contraseña para iniciar sesión en los sitios web. Y muchos propietarios de WooCommerce usan Admin o el nombre de su tienda como nombre de usuario para su cuenta. Esto hace que su sitio web sea vulnerable a los ataques, ya que se dirigen a cuentas de administrador que tienen autoridad completa sobre su sitio.

Por lo tanto, es mejor no usar "admin" como su nombre de usuario de administrador. Puede cambiar su nombre de administrador de WordPress navegando a Usuario> Agregar nuevo en su panel de WordPress.

Ingrese todos los detalles requeridos y elija un nombre de usuario único. Ahora, cree una nueva cuenta y seleccione ' Administrador ' de los roles de usuario de WordPress disponibles.

Haga clic en el botón Agregar nuevo usuario .

Ahora debe cerrar sesión en su wp-admin e iniciar sesión con la cuenta recién creada. Puede eliminar la cuenta de usuario 'admin' anterior.

Habilitar la autenticación de dos factores (2FA)
La implementación de la autenticación de dos factores es otro gran paso para proteger su tienda WooCommerce.
Una vez que habilite esta función en su tienda WooCommerce, quien intente iniciar sesión en el panel de WordPress deberá proporcionar sus credenciales, así como una contraseña segura que se genera en tiempo real. Esta podría ser una contraseña de un solo uso enviada a un número de teléfono móvil o identificación de correo electrónico.

Este mecanismo evita que personas no autorizadas accedan a su sitio web incluso si tienen la contraseña. El único inconveniente de este procedimiento es que le toma más tiempo iniciar sesión en su tienda.

Agregar certificado SSL (Secure Socket Layer)
La mayoría de las URL de los sitios web contienen HTTPS como prefijo. Pero hay algunas URL de sitios web que tienen HTTP como prefijo o que se muestran no seguras en la barra de direcciones, ¿qué implica eso?

Estos sitios web se consideran no seguros ya que no tienen un certificado SSL instalado. Cuando agrega SSL a su sitio web, su prefijo de URL cambia de HTTP a HTTPS, es decir; la versión segura.

SSL es importante para garantizar la transmisión segura de datos entre el navegador del usuario y su tienda WooCommerce. La mayoría de los hosts ofrecen un SSL gratuito con su paquete o puede comprar uno y agregarlo a su sitio web utilizando un complemento de WordPress.

Ejecutar su tienda WooCommerce sin un certificado SSL podría afectar su negocio de múltiples maneras. En primer lugar, las personas no confiarían en su sitio web con su información de pago para realizar transacciones y Google no clasificará su sitio web para obtener los mejores resultados, los cuales afectarán en gran medida su tráfico y, en última instancia, las ventas.

Limitar los intentos de inicio de sesión
Este es un importante mecanismo de prevención contra los ataques de fuerza bruta, que es uno de los métodos más comunes utilizados por los piratas informáticos para ingresar a su sitio web.

Este tipo de ataque tendrá una gran probabilidad de éxito si lo llevan a cabo bots, ya que los bots son capaces de probar miles de combinaciones en solo un segundo. Incluso esas contraseñas seguras que creó pueden no soportar tales ataques.

Por lo tanto, la mejor manera de evitar tales ataques es limitando los intentos fallidos de inicio de sesión en la página de inicio de sesión de su sitio web. Como la configuración predeterminada de WordPress permite a sus usuarios iniciar sesión tantas veces como quieran, tendrá que buscar otras formas de habilitar esto para su tienda WooCommerce.

Puede usar un firewall de aplicación web o un complemento de WordPress para configurar intentos de inicio de sesión limitados para su sitio web.

Mantenga su sitio actualizado
WordPress y WooCommerce implementan actualizaciones frecuentes para resolver los problemas de seguridad en las versiones anteriores y para agregar nuevas funciones. Como WooCommerce se basa en WordPress, un sitio de WooCommerce determinado es en general exactamente tan seguro como la propia instalación de WordPress. Esto apunta a la necesidad de actualizar su versión de WordPress cuando se lanza una nueva actualización.

Si actualmente está ejecutando WordPress 4.3.xy la versión 4.4 está disponible, no es obligatorio actualizar a la nueva versión. Mientras que si se lanza una 4.4.2, debe actualizar a esta versión lo antes posible, ya que el último dígito "2" indica que es una actualización de seguridad.

Antes de comenzar con el proceso de actualización, se recomienda crear una copia de seguridad de los datos de su sitio web, en caso de que algo salga mal con la actualización. También es una buena práctica probar primero las actualizaciones importantes en un sitio de ensayo.

Por lo tanto, en general, mantener su tienda WooCommerce correctamente actualizada lo ayudará en gran medida a mantenerla segura.

Realice copias de seguridad regulares de WooCommerce
A diferencia de los sitios web normales, perder los datos de su tienda WooCommerce puede tener efectos desastrosos, ya que contiene los datos de sus clientes, datos de pedidos, etc., que tienen un gran impacto en los ingresos de su sitio web.

Por lo tanto, es necesario mantener una copia de seguridad de su tienda para evitar el riesgo de perder todos sus valiosos datos de WooCommerce. Puede crear copias de seguridad de sitios web de 3 formas diferentes; copia de seguridad manual, copia de seguridad automática a través de complementos y copia de seguridad de su host.

Puede elegir la forma en que se sienta cómodo para crear copias de seguridad. Si planea usar un complemento, UpdraftPlus sería una excelente opción, ya que le ofrece varias ubicaciones de almacenamiento y permite copias de seguridad programadas con su versión gratuita.

Habilitar el firewall de aplicaciones web
La ejecución de un servidor de seguridad de aplicaciones web ayuda a proteger su sitio contra cualquier tráfico malintencionado incluso antes de que llegue a su sitio web. Hay dos tipos de cortafuegos; Cortafuegos de sitios web a nivel DNS y un cortafuegos a nivel de aplicaciones. Puede agregar un firewall a su sitio web utilizando uno de los complementos de WordPress.

El complemento Wordfence es una excelente opción para agregar un firewall a su sitio web. Una campaña de ataque reciente dirigida a recolectar credenciales de base de datos de 1.3 millones de sitios descargando sus archivos de configuración fue bloqueada efectivamente por sitios web que se ejecutan en versiones gratuitas o premium de Wordfence.

Un firewall es imprescindible para su sitio web si desea proteger su tienda WooCommerce de cualquier tipo de ataque dirigido a ella.

Elija sus complementos y temas con prudencia
Las vulnerabilidades no detectadas de complementos y temas podrían allanar el camino para que los atacantes ingresen a su sitio web y causen daños. Por lo tanto, debe asegurarse de elegir solo los complementos y temas que se actualizan regularmente. Dado que es posible que las versiones gratuitas no se actualicen con tanta frecuencia como sus versiones premium, es mejor optar por versiones premium para garantizar actualizaciones y soporte.

Pero, si eso no es posible, asegúrese de que todos los complementos y temas de sus sitios web se actualicen con frecuencia y de desactivar y eliminar los complementos que se hayan eliminado del repositorio de complementos de WordPress lo antes posible.

Utilice una contraseña de base de datos segura y cambie el prefijo de la base de datos
Como se mencionó anteriormente, los ataques dirigidos a la base de datos de su sitio web también están aumentando, lo que apunta a la necesidad de proteger la contraseña y el nombre de usuario de su base de datos MySQL. Si cree que la base de datos de su sitio web tiene una contraseña débil, cámbiela por una más segura.

El prefijo de la base de datos también debe cambiarse ya que WordPress usa wp_ como prefijo para todas las tablas en su base de datos de WordPress de forma predeterminada, lo que la hace vulnerable a los ataques (ya que es más fácil para los piratas informáticos adivinar el nombre de la tabla).

Utilice un complemento de seguridad
Si no puede manejar manualmente todos los requisitos de seguridad de su tienda, puede agregar un complemento de seguridad a su sitio y dejar que se encargue de todas las tareas de mantener su sitio seguro. La mayoría de los complementos de seguridad vienen con algunas de las características importantes, como firewall de aplicaciones web, escáner de malware, auditoría de la actividad de seguridad del sitio, intentos de inicio de sesión limitados y monitoreo de listas negras, etc.

Estos son algunos de los complementos de seguridad más populares para su sitio web WordPress-WooCommerce.

Wordfence
Sucuri
Todo en uno WP Security
Seguridad de iThemes

Todos estos complementos vienen con versiones gratuitas y premium. Según sus requisitos y las características del complemento, puede elegir su versión gratuita o premium.

Practique el principio del menor privilegio
El principio del privilegio mínimo es la idea de que cualquier usuario debe tener solo los privilegios mínimos necesarios para realizar su función. Esto elimina el uso indebido de los privilegios del usuario y reduce el daño en caso de que ocurra un ataque.

También es una buena práctica cerrar sesión en un sistema si no necesita usarlo y evitar hacer clic en enlaces en correos electrónicos, chats, etc., mientras está conectado a su cuenta asociada con su tienda.

Deshabilitar Pingbacks y Trackbacks
Los pingbacks y trackbacks son métodos para alertar a los blogs que los ha vinculado. Pero es mejor deshabilitarlos en sus tiendas WooCommerce, ya que puede hacer que su sitio web reciba una gran cantidad de spam.

Puede desactivar esto fácilmente en su sitio web anulando la selección de la función navegando a Configuración> Discusiones desde su panel de WordPress.

Utilice pasarelas de pago seguras
Las pasarelas de pago son una parte integral de las tiendas WooCommerce. Es muy importante agregar las pasarelas de pago más seguras en su tienda para garantizar la seguridad de sus datos y los de sus clientes. Stripe, PayPal, Authorize.net, etc., son excelentes opciones para pasarelas de pago seguras.

Resumen
El artículo enumera 15 formas importantes y más efectivas que puede probar en su tienda WooCommerce para mantenerla segura. Aquí hay un vistazo rápido a cada uno de ellos.

• Elija un proveedor de alojamiento confiable
• Utilice contraseñas seguras
• Evite usar admin como su nombre de usuario
• Habilitar la autenticación de dos factores
• Agregar certificado SSL (Secure Socket Layer)
• Limitar los intentos de inicio de sesión
• Mantenga su sitio web actualizado
• Realice copias de seguridad periódicas
• Habilitar el firewall de aplicaciones web
• Elija complementos y temas sabiamente
• Utilice una contraseña de base de datos segura y cambie el prefijo de la base de datos
• Usa complementos de seguridad
• Practique el principio de privilegio mínimo
• Deshabilitar Pingbacks y Trackbacks
• Utilice pasarelas de pago seguras

Si tiene mejores sugerencias para proteger las tiendas WooCommerce, compártalas en la sección de comentarios y ayude a garantizar una mejor seguridad para todas las tiendas WooCommerce.