Los sitios de WooCommerce ciertamente tienen necesidades únicas en términos de seguridad web y, a medida que aumenta el comercio electrónico en todo el mundo, también lo hace el riesgo de fraude y violaciones de seguridad.
La seguridad en línea es realmente un requisito básico, al igual que la calificación de inspección sanitaria de un restaurante, y cualquier problema que surja en su tienda en línea puede socavar la confianza de su visitante de la web.
Si bien no existe una garantía del 100% en lo que respecta a la seguridad, puede proteger a sus visitantes y negocios implementando estos protocolos clave.
1. Implementación de medidas de seguridad a nivel de servidor
Cuando se trata de seguridad de sitios web, su servidor de alojamiento es la primera línea de defensa. Incluso si tiene los mejores complementos y medidas de seguridad en su sitio de WordPress, una brecha en el nivel de alojamiento hará que esas herramientas sean inútiles.
Al evaluar las opciones de alojamiento, tenga en cuenta que un entorno más dedicado significa que hay menos riesgo de que otro sitio en el servidor comprometa el suyo. Tenga mucho cuidado al colocar un sitio de WooCommerce en un presupuesto, entorno de alojamiento compartido con una seguridad mínima.
Busque opciones de alojamiento de WordPress de calidad donde existan medidas de seguridad a nivel del servidor, como protecciones y limitaciones de escritura en el disco. Protección contra escritura en disco significa que el servidor de alojamiento limita los procesos que pueden escribir en el disco, lo que dificulta que un pirata informático explote la vulnerabilidad de un tema o complemento. En una forma similar, limitaciones de escritura en disco significa que se registra cualquier intento de escribir en el disco, lo que puede ayudar a detectar actividad maliciosa.
Mientras un Certificado SSL ahora es una mejor práctica para todos los sitios, es un requisito para los sitios de WooCommerce para los estándares de seguridad de PCI. Por lo tanto, asegúrese de configurar (y renovar) su certificado SSL con la empresa de alojamiento.
Por último, su servidor de alojamiento y su sitio web deben actualizado a la última versión de PHP. Las versiones anteriores de PHP a menudo tienen vulnerabilidades de seguridad que ya no se reparan. Al igual que actualiza WordPress y sus complementos, su sitio web y servidor deben ejecutar el PHP más reciente tanto por seguridad como por rendimiento. WordPress ha comenzado a alentar a los propietarios de sitios web a mantenerse al tanto de estas actualizaciones al señalar las versiones obsoletas de PHP en el Comprobación del estado del sitio de WordPress.
2. Mantenerse al tanto de las actualizaciones de complementos y seguridad
Realizar actualizaciones periódicas de complementos y mantenerse al tanto de las versiones principales de WordPress es uno de los pasos de seguridad más importantes. Una fuente común de infección para los sitios pirateados es una vulnerabilidad en un complemento o tema desactualizado. En 2019, Sucuri informó que 56% de los sitios pirateados estaban desactualizados en el momento de la infección.
Para los sitios de WooCommerce, es fundamental estar al tanto de las últimas actualizaciones para WooCommerce, ya que a menudo incluyen parches de seguridad y correcciones de mantenimiento. Por ejemplo, el Actualización de WooCommerce 4.6.2 se lanzó en noviembre de 2020 e incluyó una solución para un error que permitía a los usuarios anónimos crear una cuenta durante el pago, incluso si esta configuración estaba desactivada en el panel de control. WooCommerce alentó a los propietarios de sitios a implementar esta actualización de inmediato. Retrasar este tipo de actualizaciones puede dejar su sitio de comercio electrónico expuesto a tales riesgos de seguridad.
Algunos propietarios de sitios pueden posponer la realización de actualizaciones de complementos por temor a que estas actualizaciones puedan hacer que las cosas se rompan en el sitio o resulten en un Problema de mantenimiento de WooCommerce. Por esta razón, es una buena práctica realizar todas las actualizaciones de complementos en un área de prueba o en un entorno de producción antes de implementarlas en su sitio en vivo.
Incluso si mantiene activamente sus complementos, es posible que su desarrollador abandone uno de esos complementos instalados. WordPress elimina activamente este tipo de complementos del repositorio porque pueden representar un riesgo para la seguridad y el rendimiento.
Sin embargo, con más de 50.000 complementos disponibles en el repositorio de WordPress y numerosas extensiones de WooCommerce, puede ser difícil detectar estas eliminaciones. El complemento de WordFence gratuito o de pago puede ser un gran recurso y, una vez instalado, WordFence enviará notificaciones si alguno de los complementos instalados en su sitio ha sido eliminado y representa un riesgo para la seguridad.
3. Configure la supervisión de seguridad
Si bien la seguridad del nivel de alojamiento y el mantenimiento regular reducirán las oportunidades para los piratas informáticos, aún no cubrirá todas las bases. Desafortunadamente, constantemente hay nuevas amenazas en el horizonte, algunas de las cuales son ataques automatizados en sitios de WordPress y WooCommerce. Es imposible bloquearlos las 24 horas del día, los 7 días de la semana por su cuenta. Gracias a las herramientas de monitoreo de seguridad, no tendrá que hacerlo.
Considere configurar Supervisión de seguridad 24 horas al día, 7 días a la semana en su sitio de WooCommerce para detectar cualquier malware o brechas en el sitio. Tanto la versión gratuita como la premium del Complemento de WordFence y SucuriLos servicios de pago son opciones populares para los sitios de WordPress. Estas soluciones ofrecen un escáner de malware y alertarán a su equipo de cualquier actividad sospechosa. Los servicios pagos también pueden incluir una eliminación automática de malware, que puede ayudar a limpiar rápidamente el sitio después de cualquier problema de seguridad.
Como otra práctica de seguridad, es mejor minimizar el número de cuentas de administrador de WordPress. Revise las cuentas cada pocos meses y elimine activamente a los empleados o proveedores anteriores que ya no deberían tener acceso al sitio.
Para un sitio de comercio electrónico donde cualquier tiempo de inactividad puede afectar las ventas, es posible que también desee considerar la seguridad adicional con un firewall de aplicaciones web (WAF) a través de servicios como Cloudflare o Sucuri. Esto puede proteger el sitio contra el tráfico de bots malintencionados o un ataque DDoS, cuyo objetivo es inutilizar su servidor o sitio web al inundarlo con solicitudes incorrectas.
4. Cumplimiento de PCI-DSS y medidas antifraude
Si bien los protocolos de seguridad anteriores también se pueden implementar en sitios informativos, esta medida se aplica específicamente a los sitios de comercio electrónico.
Todo sitio web que procese transacciones con tarjeta de crédito debe cumplir con PCI-DSS – Estándar de seguridad de datos de la industria de tarjetas de pago. Estos estándares globales se establecieron para ayudar a reducir el fraude con tarjetas de crédito.
Una de las mejores formas de cumplir con estos requisitos es utilizar una pasarela de pago segura. Stripe, PayPal y Authorize.Net son opciones populares. WooCommerce también es compatible con estos estándares al no almacenar nunca los detalles de la tarjeta de crédito dentro del sitio. Si está configurando su propio sitio de comercio electrónico, asegúrese de nunca configurar un formulario básico que almacene información de tarjetas de crédito dentro del sitio. En cambio, usar uno de los mejores complementos de puerta de enlace de WooCommerce es la opción más segura.
Desafortunadamente, incluso si sigue estos estándares y utiliza una pasarela de pago segura, su tienda en línea puede verse afectada negativamente por el fraude del comercio electrónico. Es bastante común ver a los usuarios probando cuentas de tarjetas de crédito robadas en un sitio de comercio electrónico. los Antifraude de WooCommerce La extensión es un gran recurso para detectar transacciones fraudulentas. El complemento etiqueta cada transacción con una puntuación de riesgo y se puede configurar para cancelar o pausar automáticamente transacciones sospechosas.
Por último, es importante proteger su sitio contra bots automatizados que podrían estar creando cuentas falsas y pedidos de invitados en el sitio. La mejor defensa es configurar Google recaptcha en todos los formularios de pago de WooCommerce utilizando el Recaptcha para la extensión WooCommerce.
5. Realización de copias de seguridad diarias de la base de datos
Este último protocolo de seguridad es su red de seguridad. Si bien todos los pasos anteriores lo ayudarán a evitar violaciones de seguridad, si ocurre el peor de los casos y su sitio es pirateado, tener una copia de seguridad de su sitio y base de datos de WordPress es un salvavidas.
Cuando un sitio es pirateado, normalmente pasará por un proceso de limpieza y eliminará todo el malware y los archivos infectados. Lamentablemente, hay algunos casos en los que un sitio es pirateado de manera tan grave que la información y los archivos críticos se pierden en el proceso. En este escenario, tener una copia de seguridad limpia del sitio es vital y significa que no tiene que reconstruir todo el sitio.
Existen entornos de alojamiento que ofrecen una copia de seguridad diaria automática del sitio a nivel de servidor. Si no tiene esta opción, también puede utilizar un complemento de WordPress para realizar copias de seguridad automáticas del sitio diaria o semanalmente. O siga esta guía sobre cómo hacer una copia de seguridad de WooCommerce para asegurarse de que su sitio de comercio electrónico sea seguro.
Dependiendo de su solución, observe la configuración en términos de cuánto tiempo se almacenan los archivos. Estos archivos de copia de seguridad suelen ser bastante grandes. Si las copias de seguridad se almacenan en el sitio o en el nivel del servidor, esto puede aumentar el tamaño de la base de datos de su sitio y generar mayores costos de alojamiento. Una forma de mitigar esto es configurar puntos de control y asegurarse de que las copias de seguridad más antiguas solo se almacenen durante un cierto período de tiempo.
Sin embargo, tenga cuidado al restaurar automáticamente una copia de seguridad de los sitios de WooCommerce, ya que sobrescribirá cualquier transacción que haya entrado desde que se realizó la copia de seguridad. Un equipo de desarrollo web capacitado puede asegurarse de utilizar correctamente los archivos si se enfrenta a un problema de seguridad.