X

Cómo proteger su sitio WooCommerce (Pasos + Herramientas de seguridad)

Última actualización por Editorial Team
LinkedInPinShares0
how to protect your woocommerce site

¿Quieres proteger tu tienda WooCommerce más allá de las medidas de seguridad habituales de WordPress?

Haces bien. La seguridad de WooCommerce es un juego de pelota diferente ya que estarás manejando datos sensibles como pagos e información personal del usuario.

Las tiendas en línea son un objetivo lucrativo para los piratas informáticos, y como la mayoría de los propietarios de empresas no se toman en serio la seguridad, también se convierten en un blanco fácil. Lo que es aún más preocupante es que el 60% de las empresas online que se enfrentan a una violación de datos abandonan el negocio en un plazo de 6 meses.

Una vez pirateado, el camino hacia la recuperación es duro y costoso. Así que lo mejor es estar preparado con medidas preventivas y proactivas.

En esta guía, le mostraremos cómo proteger su sitio web de WooCommerce desde todos los ángulos para que los hackers no tengan ninguna posibilidad de entrar.

¿Es seguro WooCommerce?

Sí, WooCommerce es una plataforma segura para tiendas de comercio electrónico. Tiene un montón de medidas de seguridad integradas para mantener tu sitio web y sus datos seguros. El plugin también está respaldado por un equipo de expertos y se mantiene regularmente para garantizar que cumple con los estándares de seguridad en constante avance.

Sin embargo, no puede protegerte frente a amenazas de seguridad externas, como vulnerabilidades en temas y plugins de terceros, ataques de fuerza bruta y ataques DDoS. Tendrás que tomar medidas por tu cuenta para proteger tu sitio frente a estos riesgos.

Por qué la seguridad de WooCommerce es tan importante

Todos los sitios web se enfrentan a ciberamenazas y al riesgo de ser pirateados. Y todos los sitios web necesitan tomar amplias medidas de seguridad para proteger su sitio web.

Dicho esto, hay una lista de razones por las que las tiendas WooCommerce corren un mayor riesgo.

  • Tratamiento de datos sensibles de los usuarios: Los clientes comparten información de pago, datos de tarjetas de crédito, direcciones de envío y datos personales que usted debe mantener confidenciales. Si esta información es robada, puede ser vendida en el mercado negro y sus clientes pueden ser víctimas de spam y estafas de marketing.
  • Datos empresariales críticos: Al cobrar pagos por productos, no puede permitirse que se borre o pierda ninguna información del pedido, como los artículos, el envío y los datos de contacto. Los clientes pueden etiquetarle como un fraude si acepta pagos y no realiza las entregas.
  • Riesgo de fraudes y estafas: Los piratas informáticos podrían secuestrar su sitio y vender productos fraudulentos, desviar su tráfico y embaucar a los clientes.

Los clientes esperan que usted adopte las medidas de seguridad adecuadas. Cuando las empresas se enfrentan a una filtración de datos, pierden toda la confianza que habían generado entre sus clientes.

Al final, puede perder clientes, su reputación y su negocio. Con tanto en juego, la seguridad debería ser una prioridad absoluta.

Ahora que sabes lo importante que es la seguridad de WooCommerce, vamos a sumergirnos en los pasos que debes seguir para asegurarte de que tu sitio de comercio electrónico es seguro.

¿Cómo puedo hacer que mi sitio WooCommerce sea seguro?

Las ciberamenazas evolucionan constantemente y los piratas informáticos encuentran nuevas formas de entrar en los sitios web. Así que las medidas de seguridad tradicionales ya no sirven.

Aquí hay 7 consejos de seguridad WooCommerce para asegurar su tienda en línea de inmediato.

  1. Utilice un host de confianza
  2. Activar herramientas de seguridad esenciales
  3. Proteger el inicio de sesión de WooCommerce
  4. Proteger el panel de control de WooCommerce
  5. Gestionar temas y plugins de WooCommerce
  6. Utilizar formularios de pago seguros
  7. Mantener una copia de seguridad de WooCommerce en tiempo real

A continuación, detallamos cómo poner en práctica estas medidas. También te contamos a qué debes prestar especial atención para la seguridad de WooCommerce.

1. Utilice un host de confianza

Su proveedor de alojamiento web es el primer punto de partida, ya que es donde se almacenan los archivos y la base de datos de su sitio web.

Sin una seguridad de alojamiento adecuada, todo su sitio web podría quedar expuesto a los piratas informáticos y al ojo público.

Mientras que un plan de alojamiento barato te permite ahorrar algunos centavos, simplemente no vale la pena. Lo ideal es un alojamiento web que se encargue de la seguridad, la funcionalidad y las necesidades de alojamiento específicas de WooCommerce.

Bluehost es la mejor empresa de alojamiento web y también está recomendada oficialmente por WordPress.org.

bluehost woocommerce plans

Bluehost ofrece planes de alojamiento diseñados para tiendas WooCommerce. Sus planes WooCommerce comienzan en sólo $ 9.95 por mes. También obtendrás un nombre de dominio y un certificado SSL gratis. Además, con este plan, obtendrá:

  • WordPress y WooCommerce preinstalados
  • Tema Storefont preinstalado
  • Tienda online totalmente personalizable
  • Pasarelas de pago seguras
  • CDN de aumento de velocidad gratuito
  • Escaneo diario automático de malware
  • Copia de seguridad diaria gratuita
  • Monitorización del tiempo de inactividad
  • Análisis del tráfico del sitio web

Con el plan WooCommerce de Bluehost, gran parte de los detalles de seguridad están cubiertos.

Además, obtendrás suficiente ancho de banda y espacio de almacenamiento para ejecutar tu tienda WooCommerce sin ningún contratiempo.

También recomendamos Hostinger y SiteGround.

Para obtener más información sobre el alojamiento de WooCommerce, echa un vistazo a nuestro resumen de los mejores planes de alojamiento de WooCommerce para comparar lo que hay disponible en el mercado.

2. Activar las herramientas de seguridad esenciales

Los piratas informáticos están constantemente al acecho intentando piratear sitios web. Lo hacen programando escáneres y bots maliciosos para encontrar sitios vulnerables.

La mejor forma de combatirlo es utilizar herramientas de seguridad con escáner de malware, cortafuegos y cifrado de datos.

1. Utilice un plugin de seguridad de WordPress

Para empezar, tendrás que activar un plugin de seguridad en tu sitio. Estos plugins suelen combinar un cortafuegos, un escáner de malware y un limpiador de malware.

Hay muchos plugins de seguridad, pero no todos le ofrecen la protección que necesita. Necesitas un plugin que escanee, monitorice y bloquee automáticamente las amenazas potenciales antes de que puedan acceder a tu sitio.

El mejor plugin de seguridad para WooCommerce del mercado es Sucuri.

sucuri dashboard

Una vez que añada este plugin de seguridad todo en uno a su sitio, Sucuri lo hará:

  • Añada un cortafuegos robusto para filtrar el tráfico dañino.
  • Escanee y controle regularmente el spam y los códigos maliciosos.
  • Compruebe si hay listas negras en los motores de búsqueda y otras autoridades
  • Supervisar el tiempo de actividad del sitio web
  • Detecte los cambios realizados en DNS (sistema de nombres de dominio) y SSL
  • Enviarle alertas de seguridad instantáneas por correo electrónico, SMS, Slack y RSS

Con Sucuri, también puede añadir medidas de seguridad recomendadas desde su panel de control.

apply and revert hardening

Puede aplicar estas medidas de refuerzo con un solo clic. Esto incluye pasos técnicos como el bloqueo de archivos PHP en directorios donde no necesitan estar.

Sucuri te da una configuración de seguridad robusta pero tiene un alto precio de $199.99 por año. Si eso está fuera de tu presupuesto, puedes probar otros plugins de seguridad como:

  1. Seguridad iThemes
  2. Seguridad a prueba de balas
  3. SiteLock
  4. MalCare

Al seleccionar un plugin de seguridad, asegúrate de que te ofrece todas las funciones que necesitas para proteger tu tienda WooCommerce. La inversión vale la pena porque las limpiezas y recuperaciones de malware serán mucho más caras.

2. Instalar certificado SSL

Su sitio web WordPress transfiere datos entre navegadores y servidores cada vez que un visitante entra en su sitio. Un certificado SSL cifrará estos datos, de modo que si los hackers consiguen robarlos mientras están en tránsito, no podrán hacer nada con ellos porque parecerán un galimatías.

Cuando active SSL, verá un candado junto a su URL en la barra de direcciones del navegador. Tu sitio web también utilizará HTTPS, que es un protocolo seguro para transferir datos.

https-padlock-with-ssl

Algunos proveedores de alojamiento web se encargarán del SSL por usted o le permitirán adquirirlo a un precio razonable.

También puede obtener certificados SSL de proveedores como:

  • Lets Encrypt – Certificados gratuitos y económicos
  • SSL.com – Amplia protección a partir de 36,75 $ al año
  • DigiCert – Certificados de alta seguridad a precios muy variados

Otra buena opción es utilizar el plugin Really Simple SSL. Hace que sea increíblemente fácil instalar un certificado SSL por tu cuenta.

3. Proteger WooCommerce Login

Una de las áreas más atacadas de su sitio WooCommerce es su página de inicio de sesión. Los hackers utilizan un método llamado ataques de fuerza bruta para adivinar tus credenciales y simplemente iniciar sesión.

Así que esta es una de las áreas más importantes que hay que asegurar y hay muchas formas de hacerlo.

1. Aplique credenciales seguras en todo momento: Los piratas informáticos conocen bien los nombres de usuario comunes como “admin” o tu propio nombre, por lo que les resulta fácil adivinarlo. Asegúrate de utilizar un nombre de administrador único y una contraseña segura con letras, números y símbolos para que sea difícil de descifrar.

strong password

Cuando crees tu contraseña, WordPress mostrará una advertencia para contraseñas débiles. Puedes seguir el nivel de seguridad para asegurarte de que creas una contraseña segura.

2. Expire Contraseñas Regularmente: Con cualquier cuenta online, deberías cambiar tu contraseña regularmente. Puedes usar un plugin como Expire User Passwords.


expire password example

Obligará automáticamente a todos los usuarios de su sitio a cambiar de contraseña periódicamente antes de que puedan volver a iniciar sesión.

Limitar los intentos de inicio de sesión: Puedes limitar el número de intentos que tiene un usuario para introducir las credenciales correctas e iniciar sesión. Esto significa que los hackers solo tendrán 3 intentos antes de tener que seguir adelante.

Lost password in WordPress

3. Utilice la autenticación de 2 factores: Esto añade un proceso de verificación en 2 pasos a tu inicio de sesión en el que tienes que proporcionar un código de acceso de un solo uso que se te envía en tiempo real a través de un SMS, correo electrónico o app autenticadora.

2fa-code-sucuri

Esto dificulta enormemente el acceso a los hackers, ya que no podrán verificarse.

4. Restringir el acceso a la página de inicio de sesión: Puede ocultar su página de inicio de sesión y permitir que sólo los usuarios de confianza tengan acceso a ella. Todos los demás usuarios quedarán automáticamente bloqueados para ver esta página.

Si utilizas Sucuri, en la pestaña Control de acceso de tu panel de control, puedes añadir direcciones IP en la lista blanca.

whitelist in sucuri

Al marcar esta casilla, Sucuri permitirá automáticamente que sólo sus usuarios de confianza accedan a la página de inicio de sesión.

5. Añada autenticación HTTP: La autenticación HTTP oculta su página de inicio de sesión y muestra una página en blanco con un cuadro de inicio de sesión en la parte superior de la misma. Un usuario tendrá que introducir primero las credenciales HTTP para acceder a la página de inicio de sesión.


http authentication

Para añadir esto a su sitio, inicie sesión en su cuenta de alojamiento web, acceda a cPanel y busque “Privacidad del directorio”.

Directory privacy

Dentro, de la lista de carpetas, localiza la carpeta wp-admin y edítala.

edit wpadmin privacy

En la siguiente página, primero, activa la opción ‘Proteger este directorio con contraseña’. Ahora cPanel le pedirá que añada un nombre de usuario y una contraseña.

add password to directory

Asegúrese de guardar la configuración antes de salir de esta página. Ahora el directorio de administración de WordPress está protegido con contraseña.

Cuando abras tu página wp-admin, verás un aviso de inicio de sesión para que introduzcas el nombre de usuario y la contraseña que acabas de crear.

4. Panel de control seguro de WooCommerce

Ahora, si un hacker persistente todavía es capaz de entrar en su panel de administración de WordPress, puede hacer que sea difícil para ellos hacer cualquier cosa con él.

Si realizan alguna actividad sospechosa, tu plugin de seguridad la registrará y te alertará. Aparte de eso, puedes añadir estas medidas:

1. Aplicar permisos de rol de usuario

Si tienes varios usuarios trabajando en tu sitio WordPress, puedes limitar los permisos que tienen según su rol.

Si un pirata informático consigue apropiarse de la cuenta de un miembro de tu equipo, se verá limitado en lo que puede hacer.

WordPress te permite crear roles para:

  • Super Admin
  • Administrador
  • Editor
  • Autor
  • Colaborador
  • Abonado

Los roles más poderosos con pases de acceso total son super admin y admin. Recomendamos tener el menor número posible de administradores.

2. Auto-logout Usuarios inactivos

Otro truco que utilizan los hackers es secuestrar las sesiones de navegación y robar las cookies. Esto les permite acceder a su sitio a través de una cuenta de usuario activa sin que usted lo sepa.

La mejor forma de evitarlo es desconectar periódicamente a los usuarios inactivos.

Muchos plugins de seguridad tienen una función de cierre de sesión inactiva o puede utilizar el plugin Inactive Logout.

3. Desactivar el editor de plugins y temas

Si un hacker ha entrado en su sitio, utiliza el editor de plugins y temas para acceder directamente al código de su sitio web.

disable plugi editor

En la mayoría de los casos, no necesitas este editor así que puedes simplemente desactivarlo. Si utiliza Sucuri, puede añadir esta medida con un solo clic en las medidas de endurecimiento de WordPress.

Para desactivarlo por tu cuenta, te sugerimos seguir esta guía de WPBeginner: Cómo desactivar los editores de temas y plugins desde el panel de administración de WordPress.

5. Gestionar temas y plugins de WooCommerce

Los plugins y los temas son creados por desarrolladores externos, por lo que es importante que utilice únicamente software de confianza. Como propietario de una tienda online, nunca debe optar por plugins y temas anulados. Casi siempre vienen con malware preinstalado que infectará tu sitio en cuanto los instales.

Además, los plugins, los temas e incluso el núcleo de WordPress se actualizan con regularidad. Las verás en el panel de WordPress cuando estén disponibles:

updates in wordpress

Las actualizaciones suelen incluir correcciones de errores, nuevas funciones y mejoras del software. Pero a veces los desarrolladores detectan vulnerabilidades y problemas de seguridad. Los corrigen y lanzan una nueva versión actualizada del software. Son los llamados parches de seguridad.

Puede ver si una actualización contiene un parche de seguridad consultando los detalles de la actualización.

view version details of update

Si ves que se trata de una actualización de seguridad, ejecútala inmediatamente para actualizar a la última versión. Al hacerlo, evitarás cualquier riesgo derivado de la vulnerabilidad.

security update

Si le preocupa que las actualizaciones puedan romper su sitio, puede probar la actualización en un sitio de ensayo y luego ejecutarla en su sitio activo.

6. Utilice formularios de pago seguros

Cuando se envía un formulario en su sitio, los datos del cliente se envían a su base de datos MySQL para su procesamiento. Si su formulario no es seguro, un hacker puede introducir código malicioso en el campo del formulario. Esto se infiltrará en su base de datos y su sitio se infectará con malware.

Usted puede asegurarse de que esto no suceda mediante el uso de formularios web que son seguros. WPForms es el constructor de formularios de WordPress # 1 que tiene seguridad incorporada para cada formulario que cree.

anti spam protection in WPForms

Tanto si se trata de un formulario de contacto como de un formulario de pago, la protección antispam ya está activada.

Y si quieres añadir capas adicionales de protección, WPForms te permite activar CAPTCHA en tus formularios.

Advanced noCaptcha and Invisible Captcha

El usuario tendrá que resolver un pequeño rompecabezas o marcar una casilla para demostrar que es humano. Esto puede impedir que los robots envíen el formulario.

7. Mantener una copia de seguridad de WooCommerce en tiempo real

Las copias de seguridad son tu red de seguridad y un absoluto esencial. Cuando las cosas van mal, puede utilizar la copia de seguridad de WordPress para restaurar su sitio. Para las tiendas WooCommerce, no recomendamos el uso de copias de seguridad gratuitas o copias de seguridad de alojamiento web. Las características que ofrecen simplemente no son suficientes.

En primer lugar, su solución de copia de seguridad debe ser compatible con WooCommerce. Hay algunas herramientas que no realizan copias de seguridad de la tabla de base de datos de WooCommerce.

A continuación, necesita copias de seguridad automatizadas en tiempo real. Esto garantizará que cada nuevo pedido se almacene inmediatamente para que no se pierda ninguna información de la transacción.

Y otra cosa que hay que buscar es la tecnología incremental. Esto significa que hará una copia de seguridad sólo del cambio y lo añadirá a la copia de seguridad en lugar de ejecutar una copia de seguridad completa cada vez.

De este modo, el rendimiento y la velocidad de su sitio web nunca se verán afectados por un pesado proceso de copia de seguridad ejecutándose en segundo plano.

Aparte de eso, aquí tienes algunas funciones de las que te beneficiarás:

  • Almacenamiento externo
  • Almacenamiento en varias ubicaciones
  • Copias de seguridad cifradas
  • Restauración con 1 clic
  • Panel de control independiente

Duplicator es el mejor plugin de copias de seguridad para sitios WordPress. Pero recomendamos utilizar un plugin de copia de seguridad que ofrezca copias de seguridad incrementales en tiempo real junto con un archivo de 365 días. Puedes conseguirlo con Jetpack Backups o BlogVault.

Tienen planes dedicados para sitios de WooCommerce y aseguran que tus archivos y base de datos de WooCommerce estén siempre respaldados.

Para más opciones, consulte nuestra comparativa de los mejores plugins de copia de seguridad para WordPress.

Eso es todo lo que tenemos para ti hoy. Esperamos que este post te haya dado todo lo que necesitas para asegurar tu sitio WooCommerce.

Para obtener más información sobre la seguridad de WooCommerce, consulte nuestros recursos sobre:

Estas publicaciones le darán más oportunidades de sellar vulnerabilidades y proteger su sitio web para que pueda administrar su tienda con tranquilidad.

LinkedInPinShares0

Comentarios   Deja una respuesta

Añadir un comentario

Nos alegra que haya decidido dejar un comentario. Tenga en cuenta que todos los comentarios se moderan de acuerdo con nuestra política de privacidad , y que todos los enlaces son nofollow. NO utilice palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

WordPress Launch Checklist

La lista definitiva para lanzar WordPress

Hemos recopilado todos los elementos esenciales de la lista de comprobación para el lanzamiento de su próximo sitio web de WordPress en un práctico ebook.
Sí, envíeme el ¡gratuito!
Copyright © 2015 - 2024 WPBeginner LLC. Todos los derechos reservados. Gestionado por Awesome Motive Inc.

NOTA EDITORIAL: Las opiniones expresadas aquí son sólo las del autor, no las de ninguna empresa de alojamiento, proveedor de plugins, empresa de temas, Syed Balkhi o Fundación WordPress, y no han sido revisadas, aprobadas o respaldadas por ninguna de estas entidades.

DESCARGO DE RESPONSABILIDAD: Hacemos grandes esfuerzos para mantener datos fiables sobre todas las ofertas presentadas. Sin embargo, estos datos se proporcionan sin garantía. Los usuarios siempre deben consultar el sitio web oficial del proveedor para conocer los términos y detalles actuales. Las ofertas de productos que aparecen en el sitio web son de las respectivas empresas de alojamiento, empresas de plugins y empresas de temas de las que IsItWP recibe compensación. Esta compensación puede afectar a cómo y dónde aparecen los productos en este sitio (incluyendo, por ejemplo, el orden en que aparecen). Este sitio no incluye todos los productos de WordPress ni todas las ofertas de productos disponibles.