¿Crees en estos mitos comunes de seguridad de WooCommerce?

Última actualización - 8 de julio de 2021

WooCommerce tiene cientos de miles de usuarios porque es la forma más sencilla de crear una tienda de comercio electrónico con WordPress, un CMS con el que millones de personas están familiarizadas. En cualquier comunidad de ese tamaño, existe una amplia gama de conocimientos y experiencia, sin mencionar muchos mitos y malentendidos.

En este artículo, voy a echar un vistazo a algunos de los mitos relacionados con la seguridad que he encontrado en conversaciones con minoristas de WooCommerce.

Su proveedor de alojamiento web es responsable de la seguridad de WooCommerce

Hay un núcleo de verdad en este mito: los proveedores de alojamiento de WooCommerce deben cuidar la seguridad del centro de datos, la red y el servidor. Deben actualizar el software del servidor, incluido el sistema operativo. Deben asegurarse de que sus servidores no ejecuten software vulnerable. Sin embargo, hay un límite en lo que un proveedor de alojamiento puede hacer para mantener segura una tienda WooCommerce.

No hay nada que un proveedor de alojamiento pueda hacer si el propietario de una tienda WooCommerce instala un complemento o un tema que contiene malware; se olvida de actualizar WordPress, WooCommerce y otros complementos y temas; o utiliza una contraseña fácil de adivinar con la cuenta de administrador predeterminada.

El proveedor de alojamiento y el propietario de la tienda comparten la responsabilidad de la seguridad de WooCommerce. Una tienda puede volverse vulnerable debido a lapsos por parte de cualquiera de los lados de la asociación de hospedaje.

Su tienda no es lo suficientemente importante como para ser pirateada

La suposición falsa que subyace a este mito es que los delincuentes solo se dirigen a las tiendas con decenas de miles de clientes. Parece plausible porque las grandes tiendas son objetivos más valiosos: tienen más recursos, más datos personales para explotar, más visitantes para infectar con malware y más números de tarjetas de crédito para robar.

Pero, en realidad, incluso una pequeña tienda es útil para los delincuentes. El costo de comprometer una tienda WooCommerce vulnerable, o cualquier aplicación web, es mínimo. La mayoría de las tiendas están comprometidas por bots automatizados que usan vulnerabilidades conocidas y debilidades obvias. Los bots escanean miles de tiendas y no les importa si una tienda tiene diez o diez mil visitantes en un día; ambos se verán comprometidos y explotados si no están protegidos adecuadamente.

Las tiendas grandes valen más para los delincuentes, y es posible que les presten la atención que no le dan a las tiendas más pequeñas, pero una aplicación web con una vulnerabilidad de seguridad se verá comprometida eventualmente, independientemente de su tamaño.

Está bien compartir contraseñas de WordPress

Es posible que los minoristas deban otorgar a los desarrolladores, diseñadores u otros empleados acceso de administrador a su tienda WooCommerce de vez en cuando. Hay dos maneras de hacer esto:

1. Dales el nombre de usuario y la contraseña de una cuenta de administrador existente, una que utilice el propietario de la tienda u otra persona de confianza.
2. Cree una nueva cuenta de administrador para ser utilizada solo por el profesional.

El primero de estos es más conveniente a corto plazo, pero tiene implicaciones significativas para la seguridad del sitio. En algún momento será necesario retirar el acceso otorgado, lo que es más difícil si varios usuarios comparten la misma contraseña. En realidad, las cuentas compartidas rara vez se eliminan y las contraseñas compartidas rara vez se cambian. No es inusual que las empresas sean pirateadas por ex empleados descontentos que usan contraseñas antiguas que nunca se cambiaron.

Cuando cada usuario, ya sea administrador o no, tiene su propia cuenta, a cada uno se le puede dar el acceso que necesita y se puede retirar más tarde sin inconvenientes.

Los temas de WordPress no son un riesgo de seguridad

Los temas de WordPress cambian la apariencia de una tienda de WordPress, pero su influencia va más allá de los cambios de diseño superficiales. Un tema de WordPress no es menos una pieza de software que un complemento; un tema inseguro es tan riesgoso como un complemento inseguro. En su mayor parte, los temas descargados de los repositorios oficiales y los sitios web de desarrolladores de temas son seguros si se mantienen actualizados. Los temas provenientes de otros lugares son más riesgosos.

Este mito afecta especialmente a los minoristas de WooCommerce que instalan temas premium anulados (piratas). Es una táctica favorita de los delincuentes para inyectar malware en temas anulados. Cuando los desprevenidos propietarios de tiendas WooCommerce instalan un tema, también instalan una puerta trasera que le da al criminal acceso total al sitio.

Un cortafuegos mantendrá segura su tienda WooCommerce

Hay varios tipos diferentes de cortafuegos, y funcionan para repeler distintas categorías de ataques. El firewall proporcionado por un proveedor de alojamiento de WooCommerce funciona en la capa de red (también llamada Capa 3). Puede detener el tráfico dirigido a puertos particulares o desde direcciones IP específicas. No puede detener los ataques maliciosos que tienen como objetivo explotar fallas en la propia aplicación web; a un firewall de capa 3, parecen solicitudes web legítimas para el puerto 80.

Se necesita un firewall de capa 7 (capa de aplicación) para detectar ataques como ataques de inyección SQL, ataques de secuencias de comandos entre sitios y ataques que tienen como objetivo explotar fallas de software en WordPress, WooCommerce o complementos. También conocidos como firewalls de aplicaciones web (WAF), son una capa de defensa invaluable.

Los mejores proveedores de alojamiento de WooCommerce ofrecen la funcionalidad WAF integrada, pero los minoristas de WooCommerce pueden instalar un WAF a través de los complementos de Sucuri o WordFence .

Actualizar complementos es suficiente para mantener su sitio seguro

¿Se puede piratear una tienda WooCommerce debido a la vulnerabilidad de un complemento cuando todos sus complementos están actualizados? Sí puede. Puede haber vulnerabilidades de día cero en los complementos; es decir, vulnerabilidades que no han sido reparadas porque el desarrollador no las conoce. No hay mucho que el propietario de una tienda WooCommerce pueda hacer al respecto. Pero existe otra fuente de riesgo para las tiendas actualizadas.

Es un error suponer que debido a que es diligente en la actualización de complementos, lo mismo ocurre con los desarrolladores de complementos. El propietario de una tienda WooCommerce puede actualizar religiosamente sus complementos, pero ¿qué sucede si el desarrollador dejó de publicar actualizaciones hace 18 meses? Puede haber una vulnerabilidad que el desarrollador nunca solucionará, y el propietario de la tienda que se enfoca únicamente en las notificaciones de actualización no se dará cuenta.

Además de actualizar los complementos, los minoristas de WooCommerce deben verificar la fecha en que los desarrolladores de complementos lanzaron una actualización. Un complemento que no se ha actualizado durante meses no es necesariamente inseguro, pero garantiza cierto grado de sospecha.

Es una buena idea asegurarse de que el complemento no se haya abandonado y que el desarrollador tenga planes de lanzar una versión actualizada en algún momento. Si no puede verificar que un complemento esté llamando la atención de su desarrollador, considere buscar una alternativa.

Es importante mantener tu tienda WooCommerce segura

WooCommerce es una solución de comercio electrónico potente y fácil de usar, y es tan segura como cualquier otro CMS o aplicación de comercio electrónico. Pero, para mantenerlo seguro, los minoristas deben comprender al menos los conceptos básicos de la seguridad de las aplicaciones web. Con suerte, este artículo ha derribado algunos conceptos erróneos sobre la seguridad de WooCommerce y ayudará a los minoristas a mantener su tienda y a sus clientes seguros.