Al configurar un sitio de comercio electrónico en WordPress, la seguridad debe ser su prioridad número uno. Siempre que esté tratando con información personal o datos financieros de personas, debe tener el doble de cuidado. Si no demuestra que es un proveedor confiable a través de de logotipos de seguridad reconocibles, podría perder clientes. Pero no tener en cuenta la seguridad podría resultar en un resultado mucho peor: robo y pérdida de datos.
Esta es la peor pesadilla del propietario del sitio de comercio electrónico. Por suerte, no debes de dejar que esto te suceda. Aquí, discutiré algunos de los problemas de seguridad más comunes que enfrentan los sitios de comercio electrónico basados en WordPress y lo guiaré a través de de los pasos que debe seguir para tapar esos agujeros de seguridad de una vez por todas.
Paso 1: SSL
Al trabajar en el espacio del comercio electrónico, una cosa en la que no puede comprometerse es SSL. Eso es Secure Sockets Layer para los no iniciados y protege la información confidencial (tanto suya como de sus clientes) mientras se transmite para su procesamiento. Una buena forma de asegurar la seguridad de los pagos en su sitio es utilizar un sistema popular como PayPal. Esto mantiene toda la información financiera fuera de su sitio y en manos de una compañía que se especializa en proteger transacciones como esta.
Aún cuando un SSL comodín puede ser caro, muchas de las mejores opciones de alojamiento de WordPress ofrecen SSL gratuito a través de de Let’s Encrypt. Es rápido, fácil y completamente gratuito.
Paso 2: use una plataforma lista para usar
Una forma de aumentar la seguridad del sitio es utilizar una plataforma de comercio electrónico lista para usar. Esto elimina las conjeturas en términos de lo que debe y no debe incluir y hace que sea mucho más fácil comenzar. Existen varias plataformas como WooCommerce, Shopify y otras. De esta manera, investigue para encontrar una plataforma de comercio electrónico que se adapte adecuadamente a sus necesidades.
Si decide usar un tema de WordPress en su lugar, es mejor usar solo aquellos que encuentre en el directorio de WordPress o en sitios web de temas de buena fama. Los temas de baja calidad habitualmente carecen de las medidas de seguridad adecuadas, lo que pone en riesgo su sitio y la información de sus clientes.
Paso 3: modificar .htaccess
Otra manera de solucionar posibles problemas de seguridad de WordPress es modificar el archivo .htaccess. Se realizan muchos ataques a sitios en la base de datos que admite la plataforma. Si la base de datos es atacada, no podrá ejecutar los scripts PHP que hacen que su sitio funcione.
La inyección de SQL es una forma en que los piratas informáticos se infiltran en su sitio. Lo hacen colocando sus propios comandos dentro de una URL en su base de datos. Estos comandos pueden obligar a la base de datos a generar información sobre su sitio, incluida la información de inicio de sesión. Las variaciones en este método de piratería pueden hacer que se ejecuten scripts PHP específicos que instalen malware en su sitio. Básicamente, todo esto es una mala noticia para alguien que intenta ejecutar un sitio seguro en el que sus clientes pueden sentirse seguros al usarlo.
Por suerte, puede remediar esto modificando el archivo .htaccess en los archivos de su sitio de WordPress. Hay una excelente colección de fragmentos de código .htaccess que puede colocar en el archivo para reforzar la seguridad del sitio. Una vez implementadas estas reglas, puede evitar que ciertas personas accedan a su sitio, incluidas direcciones IP específicas y solicitudes de URL específicas.
Al mismo tiempo puede limitar los archivos que pueden ver las personas. Estos comandos al mismo tiempo se pueden agregar a .htaccess y le posibilitan bloquear a cualquier persona mayor para que no acceda a los archivos privados en su servidor. Por lo general, puede alcanzar esto bloqueando el acceso a las listas de directorios. No es necesario que los visitantes del sitio vean una lista de todos los archivos de nuestro sitio, por lo que bloquear el acceso evitará que los usuarios malintencionados organicen un ataque utilizando esa información.
Paso 4: omita el administrador
Otra cosa que definitivamente desea hacer al configurar su sitio de comercio electrónico de WordPress es asegurarse de que su nombre de usuario y contraseña estén compuestos por una combinación de letras, números y caracteres. Nunca debe mantener su nombre de usuario como el «administrador» predeterminado. Esto es lo que los hackers «adivinan» como el nombre de usuario con más frecuencia cuando realizan ataques de fuerza bruta (ver más abajo). Y definitivamente no quieres facilitarles la vida a los hackers. Por ende crea tu nombre de usuario y contraseña complicada.
Es posible que al mismo tiempo desee instalar la autenticación de dos pasos en su sitio. Algo como Factor Keyy Two podría hacer el truco.
Paso 5: limitar los intentos de inicio de sesión
Como mencioné previamente, las personas pueden tener acceso a su sitio a través ataques de fuerza bruta. Estos ataques se llevan a cabo a través scripts automatizados que intentan repetidamente iniciar sesión en su sitio una y otra vez. Puesto que los scripts se ejecutan miles de veces, es muy probable que en conclusión tengan éxito.
Dicho de otra forma, a menos que establezca una medida de seguridad. Uno de esos dispositivos a prueba de fallos es un limitador de inicio de sesión. Un limitador de inicio de sesión es una herramienta que evita que determinadas direcciones IP o nombres de usuario inicien sesión una determinada cantidad de veces dentro de un período de tiempo específico. Un límite típico de 10 veces en un par de minutos hará que ese usuario o IP incurra en un tiempo de espera de una hora. Los atacantes de fuerza bruta no son efectivos cuando se enfrentan a un limitador de inicio de sesión debido a que no pueden realizar los miles o millones de intentos de inicio de sesión necesarios para tener éxito. Muchas veces se moverán de su sitio y buscarán un territorio más fácil.
Hay muchos complementos limitadores de inicio de sesión disponibles, pero déjame contarte algunos que personalmente me gustan. Primero, hay Seguridad de iThemes, que es un complemento robusto diseñado para proteger su sitio de una amplia variedad de ataques. De hecho, incluye más de 30 formas de prevenir ataques al sitio, incluidas tácticas de oscuridad, limitación de inicio de sesión, detección de bots y más.
Y después esta Limitar los intentos de inicio de sesión, que evita los ataques de fuerza bruta al permitirle limitar la cantidad de veces que una persona puede intentar iniciar sesión. Al mismo tiempo es completamente customizable y proporciona registros opcionales y notificaciones por correo electrónico cuando se producen bloqueos del sitio.
Hay otras opciones, de todos modos, pero estas son solo dos que he encontrado confiables.
No importa qué tipo de sitio ejecute, es importante tener en cuenta la seguridad. Pero es aún más importante para aquellos que administran sitios de comercio electrónico. Cuando es responsable de la información de otras personas, es vital que haga todo lo que esté a su alcance para protegerla. Eso podría significar usar una plataforma de comercio electrónico lista para usar u decantarse por que todas las transacciones se procesen fuera del sitio a través de de un servicio seguro. O bien, podría requerir acceder manualmente a los archivos de su sitio de WordPress y agregar algún código para protegerlo de atacantes malintencionados. Y cuando no sea suficiente asegurarse de que su nombre de usuario y contraseña sean correctos, puede incluso limitar los intentos de inicio de sesión para evitar ataques de fuerza bruta.
Todos estos métodos, cuando se usan en conjunto, pueden contribuir a reforzar la seguridad de su sitio y hacer que la experiencia de compra sea más segura para sus clientes. Cuál es el punto principal, ¿no crees?
Ahora te toca a ti. ¿Qué métodos utiliza para mejorar la seguridad del sitio de WordPress para las tiendas en línea? ¿Qué herramientas o complementos son indispensables para ti? ¡Me encantaría saberlo todo en los comentarios!
