5 problemas de seguridad de WooCommerce y plan de protección de 12 pasos

Publicado: 2018-02-01
Kiattisak / stock.adobe.com

Según un informe de la Oficina del Censo de EE. UU., en el cuarto trimestre de 2021 se registraron 218.500 millones de dólares en ventas en línea, lo que equivale a un aumento del 9,4 % con respecto al cuarto trimestre de 2020. Aún más impresionante es el hecho de que el comercio electrónico representó el 12,9 % de ventas minoristas totales en el cuarto trimestre de 2021.

A medida que las compras en línea se vuelven una opción más viable (y conveniente) para los consumidores, es hora de que las empresas de comercio electrónico aborden los obstáculos únicos que se interponen en su camino para cerrar más negocios. Para los usuarios de WordPress, una de las primeras en tener en cuenta deberían ser las posibles amenazas a la seguridad de WooCommerce .

Super Troopers Policia GIF

Esta es la cuestión: sólo porque los clientes están aprendiendo a confiar su dinero e información personal a las empresas en línea no significa que no tengan reservas sobre cuán seguro es comprar en línea. Y tienen buenas razones para estar nerviosos.

Las amenazas a la seguridad de WooCommerce no solo se dirigen a los grandes minoristas. Si su sitio de comercio electrónico tiene algo valioso que vale la pena robar, es posible que algún día su sitio también sea blanco de piratas informáticos .

En lugar de esperar hasta que una de estas amenazas llegue a su sitio, debe trabajar en la creación de un plan de prevención proactivo, ya sea que obtenga ayuda o proteja su sitio web de WordPress usted mismo.

¿La clave para la prevención? Comprender cuáles son las amenazas, dónde atacarán y cómo mantenerlas alejadas . Echemos un vistazo a las mayores amenazas a la seguridad de WooCommerce y a las soluciones para defenderse.

Nuestro equipo en WP Buffs ayuda a los propietarios de sitios web, agencias asociadas y socios autónomos a monitorear sus sitios de WordPress en busca de amenazas a la seguridad del comercio electrónico las 24 horas del día, los 7 días de la semana. Ya sea que necesite que administremos 1 sitio web o admitamos 1000 sitios de clientes, lo respaldamos.

Amenazas a la seguridad de WooCommerce que necesita conocer

Si su empresa tiene presencia en línea, debería preocuparse por la seguridad en general. Pero para las empresas de comercio electrónico que realizan transacciones monetarias a diario, preocuparse por la seguridad no es suficiente. Debería estar obsesionado con cuáles son esas amenazas a la seguridad y cómo mantenerlas alejadas de su sitio.

Estas son las amenazas más comunes a las que se enfrentan los usuarios de WooCommerce:

1. spam

Los comentarios de blogs y los formularios de contacto son una invitación abierta a los spammers que desean dejar enlaces infectados en su sitio o esperándolos a usted y a sus empleados en su bandeja de entrada. Esto no sólo afecta la seguridad del sitio, sino también la velocidad del mismo.

comentarios spam wordpress

2. Ataques de fuerza bruta

La mayoría de nosotros pensamos en los piratas informáticos como detectives de Internet que pasan horas revisando el código fuente para encontrar una debilidad en la seguridad de su sitio. Sin embargo, este no es siempre el caso.

A veces, los piratas informáticos utilizan ataques de fuerza bruta en los que envían muchas contraseñas o frases de contraseña con la esperanza de adivinarlas correctamente.

Ataque de fuerza bruta

Esto es especialmente peligroso para los sitios de WordPress ya que /wp-login.php y /wp-admin/ son las páginas de inicio de sesión predeterminadas. La forma más sencilla de protegerse contra este tipo de ataques es cambiar su dirección de inicio de sesión o utilizar complementos de seguridad para bloquear intentos repetidos de inicio de sesión.

3. Falta de cifrado

¿Alguna vez has notado que la mayoría de los sitios web hoy en día tienen un candado verde en la barra de navegación? Esta es una insignia que indica a los visitantes que el sitio web está protegido mediante SSL. SSL es un protocolo de seguridad que cifra los datos y garantiza que nadie esté secuestrando su conexión.
SSL
En pocas palabras, sin SSL, un tercero podría interceptar los datos que se envían hacia y desde el sitio web. Esto podría ser cualquier cosa, desde contraseñas, información de tarjetas de crédito, archivos confidenciales y más.

Pero eso no es todo. En un esfuerzo por promover la seguridad y la privacidad, Google ha comenzado a penalizar los sitios sin SSL. Por lo tanto, no tenerlo no sólo es inseguro, sino que también puede perjudicar tu tráfico orgánico.

4. malware

Cross-site scripting, inyecciones SQL, publicidad maliciosa, ransomware... Estos son diferentes tipos de malware que tienen como objetivo ingresar al backend de su sitio web con el fin de robar datos confidenciales, tanto suyos como de sus clientes. Cuando el investigador Willem de Groot estudió inicialmente 6.000 tiendas online en 2015, descubrió que más de la mitad de ellas habían sido infectadas por codificación JavaScript maliciosa. A finales de año, casi todas las tiendas habían caído ante la amenaza.

Advertencia de malware de WordPress

Y ese no es el único caso inquietante de inyección de malware.

Estaba eBay, cuya base de datos fue pirateada en 2014. Si bien los clientes no perdieron dinero directamente como resultado de la amenaza a la seguridad, su información de inicio de sesión y contraseña se vio comprometida.

También estuvo Target en 2013, cuya asociación con un proveedor externo con sistemas no seguros condujo a un ataque. Se robaron tarjetas de crédito y datos personales de decenas de millones de clientes y, como resultado, Target tuvo que pagar más de 18 millones de dólares en demandas.

5. DDoS

Los ataques distribuidos de denegación de servicio (DDoS) hacen exactamente lo que su nombre implica: abruman el servidor de un sitio y lo desconectan. El ataque de bot de 2016 contra Dyn es uno de los ejemplos más destacados de este tipo de amenaza.

red de robots

Su plan de seguridad y protección contra amenazas de WooCommerce

Es importante tener en cuenta que los ataques a su sitio no siempre ocurren con el propósito de robar la información de la tarjeta de crédito o los datos personales de sus clientes. Los piratas informáticos y los robots también pueden explorar su sitio para acceder a los datos de su propia empresa. Incluso hay ocasiones en las que el objetivo ni siquiera es de naturaleza financiera.

Independientemente del tipo de amenaza a la seguridad que enfrente, puede imaginar lo costoso que esto podría terminar siendo para sus resultados y su reputación. Entonces, aquí es donde entra en juego el plan de protección contra amenazas.

1. Seguridad del servidor

En primer lugar, asegúrese de utilizar una empresa de alojamiento web en la que confíe y que tenga en cuenta la seguridad de su sitio.

Esto significa que debe haber un firewall del lado del servidor, una opción para agregar una CDN, disponibilidad de certificado SSL y planes de hosting que no requieran que compartas el entorno del servidor con otros sitios web.

En términos de lo que puede hacer para proteger mejor su servidor de alojamiento, repase las mejores prácticas de seguridad de Apache.

2. Seguridad de la pasarela de pago

Los complementos de la pasarela de pago son una parte crucial de la seguridad de las tarjetas de crédito para WooCommerce. En resumen, su proveedor de pagos es quien manejará todas las transacciones de los clientes y garantizará que sus datos estén seguros.

Si tiene dificultades para encontrar un proveedor de pasarela de pago, el complemento de pagos propio de WooCommerce. WooCommerce Payments garantiza que todos los datos confidenciales se envíen directamente al procesador de pagos, sin siquiera almacenarse en la base de datos de su sitio, lo que los mantiene a salvo de los atacantes.

3. Software antivirus y antimalware

Equipe las computadoras de su red con software antivirus y antimalware.

4. Cortafuegos

Lo ideal es que su servidor web tenga un firewall instalado para su servidor. También deberías pensar en conseguir uno para tu computadora y para el sitio web en sí. Muchos complementos de seguridad (como All In One WP Security & Firewall) vienen con un firewall incorporado, por lo que puedes eliminarlo de tu lista y al mismo tiempo reforzar tu seguridad de WordPress.

Complemento de firewall todo en uno

5. Bloqueador de spam

Como se mencionó anteriormente, el spam puede ser problemático para su sitio de comercio electrónico si tiene un blog o un formulario de contacto genérico. Si ese es el caso, utilice el complemento Akismet para mantener las amenazas conocidas alejadas de su sitio.

Complemento antispam de Akismet

6. Certificado SSL

Un certificado SSL ya no es opcional para los sitios de comercio electrónico, al menos según los estándares de Google. Es una forma fácil (y a menudo gratuita) de agregar una capa adicional de cifrado a las transacciones que se realizan allí.

Ciframos el certificado SSL

7. Cumplimiento de PCI

El Consejo de Estándares de Seguridad de PCI tiene pautas estrictas sobre cómo debe proteger su sitio web si participa en el comercio electrónico.

Estas incluyen reglas sobre el tipo de alojamiento web, el nivel de seguridad en el nivel de procesamiento de pagos, etc. Asegúrese de familiarizarse con estos y cumplirlos mientras construye y mantiene su sitio.

Consejo de normas de seguridad PCI

8. CDN

Las CDN son una excelente manera de prevenir ataques DDoS en su sitio web. Piense en una CDN como otra capa de alojamiento para su sitio web de comercio electrónico; esto también significa capas adicionales de seguridad.

9. Complementos de seguridad

Como se mencionó anteriormente, un complemento de seguridad sería una medida inteligente para mantener segura su instalación de WordPress y el front-end de su sitio.

Además de proteger su sitio contra malware y ataques DDoS, los complementos de seguridad también pueden bloquear intentos repetidos de inicio de sesión y alertarlo de que alguien está intentando forzar su sitio con fuerza bruta. Recomendamos iThemes Security Pro para esto.

10. Complementos de copia de seguridad

No olvides tener un complemento de copia de seguridad y restauración. No importa cuán fortalecido esté su sitio de comercio electrónico, los piratas informáticos tienen todo el tiempo del mundo para experimentar con nuevas formas de abrirse camino.

Es fundamental que esté preparado para poder recuperarse rápidamente si algo le sucede a su sitio.

Complemento UpdraftPlus

11. Actualice periódicamente

Cuando el software no cuenta con las actualizaciones requeridas o incluso sugeridas por el proveedor, está poniendo en riesgo su negocio de comercio electrónico. Por lo tanto, mantén todo actualizado y hazlo con regularidad. Esto incluye:

  • Tu computadora
  • La red de tu empresa
  • Su software de servidor
  • Tu versión de PHP
  • El núcleo de WordPress
  • Tus complementos y temas de WordPress

12. Contraseñas

Si bien se podría esperar que los piratas informáticos busquen directamente la información de la tarjeta de crédito (lo cual hacen), también apuntan a la información de inicio de sesión del usuario.

De hecho, un informe de CMSWire dice que el 75% de todos los ataques a sitios de comercio electrónico durante la temporada navideña de 2016 tuvieron como objetivo el inicio de sesión. No hace falta decir que son imprescindibles políticas estrictas de seguridad de contraseñas (incluida la autenticación de dos factores).

Contraseñas de WordPress

Woocommerce vs Shopify ¿Cuál es mejor para la seguridad?

Si recién está comenzando en el comercio electrónico, puede resultar difícil decidir qué plataforma es mejor para su negocio, especialmente cuando se trata de algo tan crucial como la seguridad.

Desafortunadamente, no hay un ganador claro entre Shopify y WooCommerce en lo que respecta a seguridad.

Por un lado, como plataforma alojada, Shopify casi no requiere configuración e incluye muchas funciones de seguridad. Por otro lado, WooCommerce te permite ir mucho más allá en tus medidas de seguridad configurando las cosas tú mismo.

Al final todo se reduce a una elección personal. Los propietarios de empresas con conocimientos de informática pueden elegir WooCommerce por la versatilidad del ecosistema de WordPress, mientras que alguien menos familiarizado con la tecnología podría preferir Shopify.

Resumen

Al final del día, su objetivo es brindar un lugar seguro para que los clientes compren en línea. Y también desea realizar negocios de una manera que mantenga protegidos sus resultados.

Además de las amenazas y soluciones de seguridad de WordPress WooCommerce mencionadas anteriormente, también debería pensar en realizar auditorías de seguridad periódicas en su sitio de WordPress.

Si se siente intimidado por el proceso o no está seguro de tener tiempo para dedicarlo a combatir todos los tipos de amenazas que enfrenta su sitio WooCommerce, contrate a un socio confiable de mantenimiento de WordPress para que lo ayude. O tal vez incluso quieras echar un vistazo a algunas de las mejores plataformas de comercio electrónico o considerar iniciar tu propia boutique en línea.

¿Quieres dar tu opinión o unirte a la conversación?Añade tus comentarios en Twitter.

Guardar Guardar

Guardar Guardar

Guardar Guardar