Blogging & Tips WordPress

5 Protocolos de Seguridad Clave para los Sitios con WooCommerce en WordPress

Los sitios de WooCommerce ciertamente tienen necesidades únicas en términos de seguridad web, y a medida que el comercio electrónico aumenta en todo el mundo, también lo hace el riesgo de fraude y las violaciones de seguridad.

La seguridad en línea es realmente un requisito básico, al igual que la calificación de la inspección sanitaria de un restaurante, y cualquier problema que surja en su tienda en línea puede socavar la confianza de sus visitantes web.

Aunque no existe una garantía del 100% en lo que respecta a la seguridad, puede proteger a sus visitantes y a su negocio aplicando estos protocolos clave.

1. Implementar medidas de seguridad a nivel servidor

Cuando se trata de la seguridad de un sitio web, su servidor de alojamiento es la primera línea de defensa. Incluso si usted tiene los mejores plugins y medidas de seguridad en su sitio de WordPress, una brecha en el nivel de alojamiento hará que esas herramientas sean inútiles.

Cuando evalúe las opciones de alojamiento, considere que un entorno más dedicado significa que hay menos riesgo de que otro sitio en el servidor comprometa el suyo. Tenga mucho cuidado al colocar un sitio de WooCommerce en un entorno de alojamiento compartido y económico con una seguridad mínima.

Busque opciones de alojamiento de WordPress de calidad donde haya medidas de seguridad a nivel de servidor, como protecciones y limitaciones de escritura en disco. La protección de escritura en disco significa que el servidor de alojamiento limita los procesos que pueden escribir en el disco, lo que hace más difícil para un hacker explotar una vulnerabilidad de un tema o un plugin. Del mismo modo, las limitaciones de escritura en disco significan que cualquier intento de escribir en el disco se registra, lo que puede ayudar a detectar actividades maliciosas.

Mientras que un certificado SSL es ahora una mejor práctica para todos los sitios, es un requisito para los sitios de WooCommerce para las normas de seguridad PCI. Por lo tanto, asegúrese de configurar (y renovar) su certificado SSL con la empresa de alojamiento.

Por último, su servidor de alojamiento y su sitio web deben ser actualizados regularmente a la última versión de PHP. Las versiones más antiguas de PHP suelen tener vulnerabilidades de seguridad que ya no están parcheadas. Al igual que actualiza WordPress y sus plugins, su sitio web y su servidor deberían ejecutar la última versión de PHP tanto por seguridad como por rendimiento. WordPress ha empezado a animar a los propietarios de sitios web a estar al tanto de estas actualizaciones anotando las versiones de PHP obsoletas en la comprobación del estado del sitio de WordPress.

2. Estar al tanto de los plugins y las actualizaciones de seguridad

Actualizar regularmente los plugins y estar al tanto de las versiones del núcleo de WordPress son una de las medidas de seguridad más importantes. Una fuente común de infección para los sitios hackeados es una vulnerabilidad en un plugin o tema obsoleto. En 2019, Sucuri informó que el 56% de los sitios hackeados estaban desactualizados en el momento de la infección.

Para los sitios de WooCommerce, es fundamental estar al tanto de las últimas actualizaciones de WooCommerce, ya que estas suelen incluir parches de seguridad y correcciones de mantenimiento. Por ejemplo, la actualización 4.6.2 de WooCommerce se publicó en noviembre de 2020 e incluía una corrección de un error que permitía a los usuarios anónimos crear una cuenta durante el proceso de compra, incluso si esta configuración estaba desactivada en el panel de control. WooCommerce animó a los propietarios de sitios a implementar esta actualización inmediatamente. Retrasar este tipo de actualizaciones puede dejar su sitio de comercio electrónico expuesto a estos riesgos de seguridad.

Algunos propietarios de sitios pueden posponer las actualizaciones de los plugins por temor a que estas actualizaciones puedan causar que las cosas se rompan en el sitio o dar lugar a un problema de mantenimiento de WooCommerce. Por esta razón, es una gran práctica realizar todas las actualizaciones de plugins en un área de pruebas o entorno de producción antes de implementarlas en su sitio en vivo.

Incluso si estás manteniendo activamente algunos plugins, es posible que uno de esos plugins instalados sea abandonado por su desarrollador. WordPress elimina activamente este tipo de plugins del repositorio porque pueden suponer un riesgo para la seguridad y el rendimiento.

Sin embargo, con más de 50.000 plugins disponibles en el repositorio de WordPress y numerosas extensiones de WooCommerce, puede ser difícil detectar estas eliminaciones. El plugin gratuito o de pago WordFence puede ser un gran recurso y, una vez instalado, WordFence enviará notificaciones si algún plugin instalado en tu sitio ha sido eliminado y supone un riesgo para la seguridad.

3. Configurar la supervisión de la seguridad

Aunque la seguridad a nivel de alojamiento y el mantenimiento regular reducirán las oportunidades para los hackers, todavía no cubrirá todas las bases. Desafortunadamente, hay constantemente nuevas amenazas en el horizonte, algunas de las cuales son ataques automatizados a sitios de WordPress y WooCommerce. Es imposible bloquear esos 24/7 por tu cuenta. Gracias a las herramientas de monitoreo de seguridad, no tendrás que hacerlo.

Considera la posibilidad de configurar una monitorización de seguridad 24/7 en tu sitio de WooCommerce para detectar cualquier malware o brecha en el sitio. Tanto la versión gratuita como la premium del plugin WordFence y los servicios de pago de Sucuri son opciones populares para los sitios de WordPress. Estas soluciones ofrecen un escáner de malware y alertan a tu equipo de cualquier actividad sospechosa. Los servicios de pago también pueden incluir una eliminación automática de malware, que puede ayudar a limpiar rápidamente el sitio después de cualquier problema de seguridad.

Como otra práctica de seguridad, es mejor minimizar el número de cuentas de administrador de WordPress. Revise las cuentas cada pocos meses y elimine activamente cualquier empleado anterior o antiguo proveedor que ya no deba tener acceso al sitio.

Para un sitio de comercio electrónico en el que cualquier tiempo de inactividad puede afectar a las ventas, es posible que también desee considerar la seguridad adicional con un firewall de aplicaciones web (WAF) a través de servicios como Cloudflare o Sucuri. Esto puede proteger el sitio contra el tráfico de bots maliciosos o un ataque DDoS, que tiene la intención de derribar su servidor o sitio web inundándolo con malas solicitudes.

4. Cumplimiento de PCI-DSS y medidas antifraude

Aunque los protocolos de seguridad anteriores pueden aplicarse también a los sitios informativos, esta medida se aplica específicamente a los sitios de comercio electrónico.

Todos los sitios web que procesan transacciones con tarjetas de crédito deben cumplir la norma PCI-DSS (PCI-DSS – Payment Card Industry Data Security Standard). Estas normas mundiales se establecieron para ayudar a reducir el fraude con tarjetas de crédito.

Una de las mejores maneras de cumplir con estos requisitos es utilizar una pasarela de pago segura. Stripe, PayPal y Authorize.Net son opciones populares. WooCommerce también apoya estos estándares al no almacenar nunca los detalles de las tarjetas de crédito dentro del sitio. Si está creando su propio sitio de comercio electrónico, asegúrese de no configurar nunca un formulario básico que almacene la información de la tarjeta de crédito dentro del sitio. En su lugar, utilizar uno de los mejores plugins de pasarela de WooCommerce es la opción más segura.

Desafortunadamente, incluso si está siguiendo estas normas y utilizando una pasarela de pago segura, su tienda en línea puede verse afectada negativamente por el fraude de comercio electrónico. Es bastante común ver a los usuarios probar cuentas de tarjetas de crédito robadas en un sitio de comercio electrónico. La extensión WooCommerce Anti-Fraud es un gran recurso para detectar transacciones fraudulentas. El plugin etiqueta cada transacción con una puntuación de riesgo y puede ser configurado para cancelar o pausar automáticamente las transacciones sospechosas.

Por último, es importante proteger su sitio contra los bots automatizados que podrían estar creando cuentas falsas y pedidos de invitados en el sitio. La mejor defensa es configurar el recaptcha de Google en todos los formularios de pago de WooCommerce utilizando la extensión Recaptcha for WooCommerce.

5. Realización de copias de seguridad diarias de la base de datos

Este último protocolo de seguridad es su red de seguridad. Mientras que todos los pasos anteriores le ayudarán a evitar las brechas de seguridad, si el peor escenario ocurre y su sitio es hackeado, tener una copia de seguridad de su sitio de WordPress y la base de datos es un salvavidas.

Cuando un sitio es hackeado, normalmente se realiza un proceso de limpieza y se elimina todo el malware y los archivos infectados. Lamentablemente, hay algunos casos en los que un sitio es hackeado de forma tan grave que la información y los archivos críticos se pierden en el proceso. En este caso, tener una copia de seguridad limpia del sitio es vital y significa que usted no tiene que reconstruir todo el sitio.

Hay entornos de alojamiento que ofrecen una copia de seguridad automática diaria del sitio a nivel de servidor. Si no tiene esta opción, también puede utilizar un plugin de WordPress para realizar copias de seguridad automáticas del sitio de forma diaria o semanal.

Dependiendo de su solución, vigile la configuración en términos de cuánto tiempo se almacenan los archivos. Estos archivos de copia de seguridad suelen ser bastante grandes. Si las copias de seguridad se almacenan en el nivel del sitio o del servidor, esto puede aumentar el tamaño de la base de datos de su sitio, lo que conduce a mayores costos de alojamiento. Una forma de mitigar esto es establecer puntos de control y asegurarse de que las copias de seguridad más antiguas sólo se almacenan durante un cierto período de tiempo.

Sin embargo, tenga cuidado al restaurar automáticamente una copia de seguridad para los sitios de WooCommerce, porque sobrescribirá cualquier transacción que haya llegado desde que se tomó la copia de seguridad. Un equipo de desarrollo web capacitado puede asegurarse de utilizar correctamente los archivos si se enfrenta a un problema de seguridad.

Acerca del Autor

Andres

Agregar un Comentario

Clic Aqui para Publicar un Comentario

Publicidad

Síguenos en Facebook