5 consejos de seguridad posteriores al lanzamiento para tiendas WooCommerce

Publicado: 2016-04-12

Como cubrimos en esta introducción a la seguridad de WooCommerce, crear las bases para una tienda segura y bien protegida solo requiere unos pocos pasos. Pero la mayoría de los consejos que ofrecemos son cosas que haría antes de lanzar su tienda, o tal vez inmediatamente después.

La seguridad no es algo en lo que puedas pensar una vez y nunca más. Si no mantiene su tienda actualizada, presta atención a las tendencias de seguridad o fortalece sus defensas a medida que crece y escala, podría estar colocándose en una posición muy vulnerable... y también poniendo en riesgo a sus clientes.

Exploremos algunas formas más en las que puede proteger su tienda después del lanzamiento.

1. Ocultar el número de versión de WordPress

“Está bien”, podrías estar diciendo, “¿qué? ¿Cómo me mantiene esto seguro?”

Bueno, no lo hace, no directamente. Pero si a veces es un poco lento actualizar WordPress, un vistazo rápido a su código fuente podría decirle fácilmente a un atacante potencial que usted es potencialmente más vulnerable a otros ataques .

La versión actual de WordPress se puede encontrar en tres lugares:

La metaetiqueta del generador en su encabezado
La metaetiqueta del generador en su fuente RSS
Cadenas de consulta

Entonces, si usted es una de esas personas bien intencionadas que quiere probar sus actualizaciones por un día o dos y necesita ocultar el número de versión por una buena razón, puede usar el código de Frankie Jarrett para ocultar el número de versión de todos. tres de estos lugares. Dirígete a su publicación para recogerlo, luego pégalo en tu archivo functions.php .

Un breve vistazo al código, cortesía de Frankie Jarrett.

Una vez más, ocultar la versión por sí solo no lo protegerá; absolutamente debe mantener WordPress, WooCommerce y todos sus complementos y extensiones actualizados . Pero también entendemos que a menudo hay una brecha entre la prueba y la implementación, por lo que esto puede ayudarlo a mantenerse seguro mientras tanto.

2. Forzar SSL en sus páginas de pago

La seguridad comienza con una conexión segura. Al seguir este consejo, puede estar absolutamente seguro de que está protegiendo a sus clientes de miradas espías mientras ingresan información confidencial de facturación y envío al finalizar la compra.

Con la configuración "Forzar pago seguro" habilitada en WooCommerce, todas las páginas asociadas con su proceso de pago se verán obligadas a usar HTTPS (es decir, una conexión segura) cada vez que se carguen.

Debido a que solo el navegador de un cliente y su tienda pueden descifrar la información que se envía a través de una conexión HTTPS, marcar esta casilla garantiza que su pago sea seguro y que nadie con intenciones maliciosas pueda echar un vistazo a los números de tarjetas de crédito u otra información confidencial que fluya. y fuera de su tienda.

Subtítulo — Forzar el pago seguro te mantiene a ti y a tus clientes a salvo. El único requisito previo es un certificado SSL.

Esta configuración se puede activar y desactivar en WooCommerce yendo a WooCommerce > Pago y activando o desactivando la segunda casilla de verificación.

Tenga en cuenta que se requiere un certificado SSL válido para que esta configuración funcione correctamente en su tienda. Si aún no ha adquirido un certificado SSL, lea esta guía para obtener más información sobre por qué son importantes y cómo obtener uno por poco o ningún costo.

Puede obtener más información sobre esta configuración en WooCommerce leyendo esta página en nuestros documentos.

3. Haga que las copias de seguridad y los escaneos de seguridad sean un evento diario

En nuestra primera publicación sobre seguridad, recomendamos usar un software confiable para escanear su sitio en busca de posibles vulnerabilidades, ataques de fuerza bruta o malware. Ahora que ha lanzado, es hora de llevar las cosas al siguiente nivel.

Con su tienda en funcionamiento, tanto las copias de seguridad como los escaneos de seguridad deberían realizarse a diario . Las copias de seguridad son cruciales porque le brindan algo a lo que recurrir en caso de pérdida de datos, mientras que los escaneos de seguridad evitan que tal pérdida (o infección) ocurra en primer lugar.

Puede configurar la frecuencia de las exploraciones, las copias de seguridad y las notificaciones a su gusto, pero recomendamos una copia de seguridad diaria y una exploración diaria como mínimo . Algunas soluciones ofrecen copias de seguridad en tiempo real y escaneos más frecuentes (la protección de inicio de sesión de fuerza bruta de Jetpack también es en tiempo real), pero puede escalar la frecuencia hacia arriba o hacia abajo como prefiera.

Si todavía está buscando una solución de seguridad y copia de seguridad confiable y efectiva, los planes Jetpack Premium vienen con copias de seguridad, y los clientes de WooCommerce pueden ahorrar un 15 % al instante . Consigue Jetpack para estar tranquilo desde el primer día.

4. Cambie el prefijo predeterminado utilizado en sus bases de datos de WordPress

Por extraño que parezca, hay algunas personas desagradables que organizan ataques en sitios web para su propia diversión. Si bien puede pensar que su tienda es 100% segura, existen algunas vulnerabilidades menores que estos spammers y piratas informáticos encontrarán y explotarán, si tienen la oportunidad.

Una vulnerabilidad potencial conocida proviene del uso de la configuración predeterminada de la tabla de la base de datos durante la configuración e instalación de WordPress. Cambiar esta configuración podría ayudar a evitar que se inyecte código malicioso en su servidor.

El prefijo predeterminado para las tablas de la base de datos utilizadas para almacenar información de WordPress es wp_. Debido a que la mayoría de los propietarios de las tiendas no cambian este prefijo durante la configuración (o ni siquiera tienen la opción de hacerlo, dependiendo de su host/procedimiento de instalación), usar el predeterminado podría ponerlos en riesgo de un ataque de inyección SQL (entre otros ) , todo porque los piratas informáticos saben muy bien cómo se nombran estas tablas predeterminadas.

A estas alturas, por supuesto, probablemente ya hayas configurado WordPress y WooCommerce. Pero no es demasiado tarde para cambiar esta configuración. Una o dos consultas SQL ejecutadas en phpMyAdmin lo aclararán en poco tiempo.

Con un SQL bien ubicado, puede cambiar el nombre de los prefijos de su tabla y agregar otra capa de seguridad a su instalación de WordPress. (Crédito de la imagen: cavando en WP)

Eche un vistazo a este detallado e increíblemente útil tutorial paso a paso de Digging Into WP para aprender cómo cambiar los prefijos de la tabla de su base de datos a algo mucho más complejo y mucho, mucho más seguro.

¿Las consultas SQL no son lo tuyo? Existen algunos complementos gratuitos que lograrán lo mismo, pero tenga cuidado: permitir el acceso sin restricciones a su base de datos SQL puede ser peligroso . Como mínimo, desinstale un complemento como este una vez que haya terminado con él para que no haya posibilidad de cambios de nombre no intencionales en el futuro.

5. Deshazte de tu cuenta de “administrador”

Este consejo final puede parecer molesto para algunos de ustedes, o tal vez incluso como conocimiento general para otros. Pero es crucial, por lo que queríamos tomarnos el tiempo para enfatizarlo aquí.

No se recomienda usar la cuenta de administrador predeterminada integrada en WordPress cuando está ejecutando una tienda en línea . Al igual que los prefijos de la tabla de la base de datos, los piratas informáticos saben que esta cuenta (muy probablemente) existe de manera predeterminada, lo que les brinda una mejor oportunidad para ingresar por la fuerza bruta.

Incluso las cuentas que suenan similares , como "administrador de prueba", "administrador" o "propietario", ponen en riesgo su tienda; son fáciles de adivinar. Como explica la página Attacking WordPress en HackerTarget.com (no se preocupe, es un recurso de asesoramiento, no un procedimiento para piratear), una vez que un pirata informático sabe que existe una cuenta, puede usar rápidamente una herramienta para adivinar su contraseña :

[…]. Se probaron 500 contraseñas con la cuenta "testadmin" (que se descubrió durante la enumeración de usuarios). ¡Esas 500 contraseñas fueron probadas en 1 minuto y 16 segundos! Mientras se ejecutaba la prueba, el sitio seguía respondiendo; un administrador del servidor web no tendría idea de que el ataque tuvo lugar sin algún tipo de sistema de monitoreo de registros de seguridad.

Es posible que se hayan equivocado con la contraseña, pero ahora saben algo más: esta cuenta existe. (Crédito de la imagen: HackerTarget.com)

La moraleja de la historia: su(s) cuenta(s) de administrador debe(n) tener un nombre único y que sea poco probable que alguien con intenciones maliciosas lo adivine . Use un apodo único, un nombre completo con varias iniciales en medio o algo que no se pueda adivinar fácilmente (por ejemplo, su nombre y apellido o el nombre de su tienda).

Y recuerde usar contraseñas seguras , de modo que incluso si alguien adivina el nombre de su cuenta, no podrá iniciar sesión. Si necesita un repaso sobre lo que es seguro y lo que no, consulte la sección #2 en esta publicación.

Tómese la seguridad en serio una vez que su tienda esté en línea

Si bien hay muchas cosas que puede hacer para que una tienda sea segura antes del lanzamiento, la seguridad debe ser una preocupación constante para los propietarios de las tiendas, no una cosa de "una y listo" . Si sigue estos consejos y mantiene su tienda y WordPress actualizados, estará en una excelente posición para mantener a sus clientes, y a su equipo, sanos y salvos.

¿Tiene alguna pregunta sobre los consejos de seguridad recomendados en esta publicación? O mejor aún, ¿algún consejo avanzado propio para compartir? Agradecemos sus comentarios y pensamientos en los comentarios a continuación.