Al configurar un sitio de comercio electrónico en WordPress, la seguridad debe ser su prioridad número uno. Siempre que esté tratando con información personal o datos financieros de personas, debe tener el doble de cuidado. Si no demuestra que es un proveedor confiable a través de logotipos de seguridad reconocibles, podría perder clientes. Pero no tener en cuenta la seguridad podría resultar en un resultado mucho peor: robo y pérdida de datos.
Esta es la peor pesadilla del propietario del sitio de comercio electrónico. Afortunadamente, no tienes que dejar que esto te suceda. Aquí, discutiré algunos de los problemas de seguridad más comunes que enfrentan los sitios de comercio electrónico basados en WordPress y lo guiaré a través de los pasos que debe seguir para tapar esos agujeros de seguridad de una vez por todas.
Paso 1: SSL
Al trabajar en el espacio del comercio electrónico, una cosa en la que no puede comprometerse es SSL. Eso es Secure Sockets Layer para los no iniciados y protege la información confidencial (tanto suya como de sus clientes) mientras se transmite para su procesamiento. Una buena forma de garantizar la seguridad de los pagos en su sitio es utilizar un sistema popular como PayPal. Esto mantiene toda la información financiera fuera de su sitio y en manos de una empresa que se especializa en proteger transacciones como esta.
Si bien un SSL comodín puede ser costoso, muchas de las mejores opciones de alojamiento de WordPress ofrecen SSL gratuito a través de Let’s Encrypt. Es rápido, fácil y completamente gratuito.
Paso 2: use una plataforma lista para usar
Una forma de aumentar la seguridad del sitio es utilizar una plataforma de comercio electrónico lista para usar. Esto elimina las conjeturas en términos de lo que debe y no debe incluir y hace que sea mucho más fácil comenzar. Existen varias plataformas como WooCommerce, Shopify y otras. Por lo tanto, investigue para encontrar una plataforma de comercio electrónico que se adapte adecuadamente a sus necesidades.
Si decide usar un tema de WordPress en su lugar, es mejor usar solo aquellos que encuentre en el directorio de WordPress o en sitios web de temas de buena reputación. Los temas de baja calidad a menudo carecen de las medidas de seguridad adecuadas, lo que pone en riesgo su sitio y la información de sus clientes.
Paso 3: modificar .htaccess
Otra forma de solucionar posibles problemas de seguridad de WordPress es modificar el archivo .htaccess. Se realizan muchos ataques a sitios en la base de datos que soporta la plataforma. Si la base de datos es atacada, no podrá ejecutar los scripts PHP que hacen que su sitio funcione.
La inyección SQL es una de las formas en que los piratas informáticos se infiltran en su sitio. Lo hacen poniendo sus propios comandos dentro de una URL en su base de datos. Estos comandos pueden obligar a la base de datos a generar información sobre su sitio, incluida la información de inicio de sesión. Las variaciones en este método de piratería pueden hacer que se ejecuten scripts PHP específicos que instalen malware en su sitio. Básicamente, todo esto es una mala noticia para alguien que intenta ejecutar un sitio seguro que sus clientes puedan usar con confianza.
Afortunadamente, puede remediar esto modificando el archivo .htaccess en los archivos de su sitio de WordPress. Hay una excelente colección de fragmentos de código .htaccess que puede colocar en el archivo para reforzar la seguridad del sitio. Una vez implementadas estas reglas, puede evitar que ciertas personas accedan a su sitio, incluidas direcciones IP específicas y solicitudes de URL específicas.
También puede limitar los archivos que pueden ver las personas. Estos comandos también se pueden agregar a .htaccess y le permiten bloquear a cualquier persona mayor para que no acceda a los archivos privados en su servidor. Por lo general, puede lograr esto bloqueando el acceso a las listas de directorios. No es necesario que los visitantes del sitio vean una lista de todos los archivos en nuestro sitio, por lo que bloquear el acceso evitará que los usuarios malintencionados organicen un ataque utilizando esa información.
Paso 4: omita el administrador
Otra cosa que definitivamente desea hacer al configurar su sitio de WordPress de comercio electrónico es asegurarse de que su nombre de usuario y contraseña estén compuestos por una combinación de letras, números y caracteres. Nunca debe mantener su nombre de usuario como el «administrador» predeterminado. Esto es lo que los piratas informáticos «adivinan» como el nombre de usuario con más frecuencia cuando realizan ataques de fuerza bruta (ver más abajo). Y definitivamente no desea facilitarles la vida a los piratas informáticos. Así que crea tu nombre de usuario y contraseña complicada.
Es posible que también desee instalar la autenticación de dos pasos en su sitio. Algo como Factor Keyy Two podría hacer el truco.
Paso 5: limitar los intentos de inicio de sesión
Como mencioné anteriormente, las personas pueden acceder a su sitio mediante ataques de fuerza bruta. Estos ataques se llevan a cabo mediante scripts automatizados que intentan repetidamente iniciar sesión en su sitio una y otra vez. Dado que los scripts se ejecutan miles de veces, es muy probable que finalmente tengan éxito.
Es decir, a menos que establezca una medida de seguridad. Uno de esos dispositivos a prueba de fallos es un limitador de inicio de sesión. Un limitador de inicio de sesión es una herramienta que evita que determinadas direcciones IP o nombres de usuario inicien sesión una determinada cantidad de veces dentro de un período de tiempo específico. Un límite típico de 10 veces en un par de minutos hará que ese usuario o IP incurra en un tiempo de espera de una hora. Los atacantes de fuerza bruta no son efectivos cuando se enfrentan a un limitador de inicio de sesión porque no pueden realizar los miles o millones de intentos de inicio de sesión necesarios para tener éxito. A menudo se moverán de su sitio y buscarán un territorio más fácil.
Hay muchos complementos limitadores de inicio de sesión disponibles, pero déjame contarte algunos que personalmente me gustan. Primero, hay Seguridad de iThemes, que es un complemento robusto diseñado para proteger su sitio de una amplia variedad de ataques. De hecho, incluye más de 30 formas de prevenir ataques al sitio, incluidas tácticas de oscuridad, limitación de inicio de sesión, detección de bots y más.
Y luego esta Limitar los intentos de inicio de sesión, que evita los ataques de fuerza bruta al permitirle limitar el número de veces que una persona puede intentar iniciar sesión. También es totalmente personalizable y proporciona registros opcionales y notificaciones por correo electrónico cuando se producen bloqueos del sitio.
Hay otras opciones, por supuesto, pero estas son solo dos que he encontrado confiables.
Independientemente del tipo de sitio que ejecute, es importante tener en cuenta la seguridad. Pero es aún más importante para aquellos que administran sitios de comercio electrónico. Cuando usted es responsable de la información de otras personas, es vital que haga todo lo que esté a su alcance para protegerla. Eso podría significar usar una plataforma de comercio electrónico lista para usar u optar por que todas las transacciones se procesen fuera del sitio a través de un servicio seguro. O bien, podría requerir ingresar manualmente a los archivos de su sitio de WordPress y agregar algún código para protegerlo de atacantes malintencionados. Y cuando asegurarse de que su nombre de usuario y contraseña estén a la altura no es suficiente, puede incluso limitar los intentos de inicio de sesión para evitar ataques de fuerza bruta.
Todos estos métodos, cuando se usan en conjunto, pueden ayudar a reforzar la seguridad de su sitio y hacer que la experiencia de compra sea más segura para sus clientes. Cuál es el punto principal, ¿no crees?
Ahora te toca a ti. ¿Qué métodos utiliza para mejorar la seguridad del sitio de WordPress para las tiendas en línea? ¿Qué herramientas o complementos son imprescindibles para ti? ¡Me encantaría saberlo todo en los comentarios!
