Portada Tienda Online Cómo Reforzar la Seguridad de una Tienda Online WooCommerce
Cada día que pasa tenemos más noticias sobre ataques a sitios web, contraseñas filtradas, routers con agujeros de seguridad, etc…
La seguridad debe de ser algo prioritario en cualquier proyecto web y especialmente en una tienda online en la que se venden productos y se almacenan datos sensibles de sus clientes.
Hoy vamos centrarnos especialmente en WooCommerce por la gran popularidad de WordPress.
Al ser el CMS más usado, WooCommerce está en el punto de mira de los atacantes, no porque sea poco seguro, si no porque hay muchas instalaciones de WooCommerce en Internet y es más fácil encontrar una instalación que no esté actualizada o tenga algún problema de seguridad.
Pese a esto, las siguientes recomendaciones pueden ser útiles para cualquier otro gestor de contenidos o tienda online.
Durante el proceso de elección de un hosting web, es normal fijarse en el precio, pero sería un error fijarse unicamente en el precio del producto.
Si un servicio es demasiado barato, posiblemente recortará en servicios y prestaciones, como la seguridad de sus clientes.
En Hostinet la seguridad es una prioridad, por eso todos nuestros planes de hosting web, cuentas con una serie de opciones de seguridad para garantizar todos los alojamientos de nuestros servidores:
Además, en todos los servidores de Hostinet existe un sistema que revisa todas las instalaciones en busca de cualquier tipo de malware instalado en cualquier sitio web.
Si detecta algo, lo aísla y avisa al cliente para que tome la medida oportunas.
Si se está buscando un hosting WooCommerce SSD de garantías, en Hostinet disponemos de planes específicos para WooCommerce, con soporte técnico especializado.
Una contraseña poco segura es como dejar las llaves puestas en la puerta de casa, sin que nosotros estemos dentro.
Es una invitación a los atacantes para que entren y hagan lo que quieran con nuestro sitio web.
Pensar que ningún atacante va a perder el tiempo con nuestro sitio web porque es muy pequeño es un error garrafal.
Por desgracia, la contraseña más usada el año pasado fue 123456, o alguna variación. Lo que demuestra que los usuarios de todo el mundo prefieren sacrificar la seguridad por algo de comodidad.
Existen técnicas para recordar contraseñas seguras que podemos utilizar o simplemente usar algún software que nos genere contraseñas seguras y las almacene. Nosotros sólo deberíamos recordar una contraseña maestra… ¡pero que no sea 123456, por favor!
Los usuarios de WooCommerce deben usar contraseñas seguras al registrarse en la tienda online, pero si los administradores no hacen lo mismo el resultado puede ser dramático.
La autenticación en dos pasos, dos factores o 2FA, es algo cada vez más común entre todo tipo de servicios.
Cada vez más usuarios confían en sus dispositivos móviles para añadir una capa adicional de seguridad en sus accesos.
Su funcionamiento es muy sencillo una vez configurado. Solo hay que introducir los datos de acceso en WordPress de la manera habitual, nombre de usuario y contraseña, pero en vez de acceder directamente, se enviará un código a nuestro teléfono móvil.
Ese código es requerido por WordPress para terminar de dar acceso, por lo que si nuestra contraseña se ha visto comprometida y la está usando un atacante, no le será posible acceder ya que no tendrá acceso al código que se ha enviado a nuestros dispositivo.
La autenticación en dos pasos se ha convertido en el método más efectivo y popular para proteger la seguridad de cualquier acceso, incluido WooCommerce.
WordPress no tiene, al menos por ahora, una forma nativa de implantar 2FA, pero ya existen soluciones en forma de plugins que pueden instalarse y configurarse fácilmente para añadir este extra de seguridad a WordPress y a WooCommerce, como este plugin.
WooCommerce es un plugin de WordPress y lo bueno de WordPress es que existen multitud de plugins para reforzar la seguridad.
La mayoría de estos plugins cuentan con medidas extra para evitar los accesos no deseados de atacantes.
Por ejemplo, limitan el número de intentos de acceso para evitar los ataques de fuerza bruta.
Un ataque de fuerza bruta es, simplemente, probar muchas contraseñas para ver si una de ellas coincide con la del usuario.
Puede parecer muy poco efectivo, pero es muy sencillo de realizar y dada la mala costumbre de muchos usuarios en usar contraseñas poco seguras, algunas veces consiguen su objetivo.
Para que un ataque así tenga éxito, el sistema debe permitirle probar varias veces las contraseñas de acceso, pero si se limitan los intentos a 3 o 5, el atacante sólo podrá probar unas pocas contraseñas antes de acabar baneado por el sistema.
Este baneo sólo durará unas horas, pero suficiente para que el software programado por el atacante deje en paz nuestro sitio web.
Existen muchas opciones en forma de plugins para fortalecer la seguridad de WordPress y WooCommerce, por ejemplo Wordfence, Loginizer, iThemes Security, etc…
Las actualizaciones no son una opción. Cada vez hay más ataques a través de agujeros de seguridad del propio WooCommerce, plugins o themes.
Con las actualizaciones, además de añadir nuevas funcionalidades, se reparan todos los problemas de seguridad que se hayan detectado.
Dejar pasar las actualizaciones por temor a que algo deje de funcionar suele ser algo habitual, pero cada vez más es una mala idea por los problemas de seguridad que puede ocasionar.
Mantener WooCommerce actualizado es muy importante para mejorar la seguridad.
Tampoco podemos olvidarnos de mantener al día las copias de seguridad.
Cualquier problema que tengamos en WooCommerce, puede ser fácilmente solucionado con una copia de seguridad.
Muchos usuarios se olvidan de realizar los backups regularmente y cuando tiene un problema solo disponen de copias muy antiguas y desactualizadas.
Según el tipo de eCommerce, habría que realizar copias de seguridad cada cierto tiempo, si se añaden cientos de productos cada día a la tienda online, lo más inteligente es hacer un backup diario, pero si se actualizan los productos cada cierto tiempo, las copias de seguridad pueden alargarse más en el tiempo.
En cualquier caso, realizar los backups debería de ser una tarea más en la rutina de gestión de cualquier comercio electrónico.