La lista completa de verificación de seguridad de WooCommerce (guía 2022)

Publicado: 2021-03-23

La seguridad es una de las principales preocupaciones de cualquier tienda de comercio electrónico. Después de todo, no solo necesita mantener su contenido seguro, también necesita proteger la información del cliente y los datos del pedido.

Entonces, si está considerando iniciar una tienda en línea, o si ya forma parte de sus ingresos, entonces es hora de asegurarse de que ha asegurado completamente su negocio.

Por qué las tiendas online requieren mayor seguridad

Cuando vende en línea, maneja mucha información confidencial: nombres personales, números de tarjetas de crédito, direcciones y más. Una tienda activa recopila información nueva todo el tiempo, por lo que tiene un conjunto de datos en constante crecimiento del que es responsable.

Asegurarse de que su sitio tenga seguridad de primer nivel le permitirá:

  • Proteja la información personal de sus clientes de piratas informáticos y atacantes, permitiéndoles comprar con confianza;
  • Proteja su flujo de ingresos de interrupciones y pérdidas de ventas;
  • Conservar todos los datos de ventas minuto a minuto con fines fiscales y legales;
  • Mantenga su marca y reputación como una empresa en la que se puede confiar; y
  • Evite los costos relacionados con la reconstrucción de su negocio después de un ataque, como la pérdida de ventas debido al tiempo de inactividad, los reembolsos causados ​​por pedidos no cumplidos y los costos de reparación del sitio web.

Cómo identificar un hack

Un hack puede tomar muchas formas, y es posible que ni siquiera se dé cuenta de que su sitio se ha visto comprometido de inmediato.

Para identificar un hack, busque:

  • Nuevas cuentas de administrador que no creaste.
  • Enlaces de spam a malware en comentarios, descripciones de productos o reseñas.
  • Cuadros de alerta inusuales o enlaces que redirigen a sitios de terceros.
  • Alertas de Google de que tu tienda ha sido marcada.
  • Correos electrónicos de clientes extraños, inesperados o faltantes.
  • Tiempos de carga muy lentos o errores de tiempo de espera.

Pero la mayoría de los dueños de negocios están demasiado ocupados trabajando en el inventario, el marketing o el cumplimiento de pedidos para estar constantemente monitoreando problemas o hacks. Es por eso que lo primero que debe agregar es el monitoreo del tiempo de inactividad, que verifica automáticamente que su sitio esté en funcionamiento y le avise si no es así. Esto le permite tomar medidas de inmediato para reparar y restaurar su tienda en línea.

También puede beneficiarse de Jetpack Scan, que es un complemento de escaneo de malware superior que verifica automáticamente su tienda en busca de hacks para que no tenga que preocuparse. Recibirá una alerta si encuentra algo incorrecto e incluso puede solucionar la mayoría de las amenazas conocidas con un solo clic.

Panel Jetpack Scan que muestra el progreso actual del análisis de malware

La lista de verificación de seguridad completa para WooCommerce (14 pasos)

Siempre es mejor detener los ataques antes de que sucedan. Si puede responder "sí" a las siguientes preguntas, ¡entonces ha tenido un excelente comienzo!

1. ¿Está alojando con un proveedor seguro y de buena reputación?

Su anfitrión es la primera línea de defensa contra los ataques. Si no cuentan con las medidas de seguridad adecuadas, sus archivos y su base de datos podrían ser vulnerables, incluso si hace todo lo demás correctamente.

Al elegir un anfitrión, busque uno con:

  • Un cortafuegos incorporado . Un firewall controla quién puede acceder a su servidor y quién no, manteniendo a los piratas informáticos y bots alejados de los archivos de su sitio web.
  • Escaneos de seguridad . Muchos hosts escanean regularmente todos los sitios en su servidor y te avisarán si detectan algo sospechoso, como malware. Algunos proveedores incluso solucionan esos problemas por usted, a menudo por una tarifa adicional.
  • Copias de seguridad Si bien también desea hacer sus propias copias de seguridad (más sobre esto más adelante), es una buena idea tener varias copias de su sitio. Muchas empresas de alojamiento incluyen copias de seguridad en sus planes, mientras que otras las ofrecen como una actualización paga.
  • Un excelente equipo de apoyo . Si encuentra un problema, quiere que haya expertos disponibles para ayudarlo a determinar los próximos pasos. Asegúrese de que su anfitrión tenga un excelente equipo de soporte al que se pueda contactar a través del método más conveniente para usted (chat en vivo, teléfono, etc.)
  • Una buena reputación . Consulte las reseñas de clientes reales y descubra sus experiencias. Esta es la forma más precisa de obtener información sobre un proveedor de alojamiento.

¿No estás seguro por dónde empezar? WooCommerce elaboró ​​una lista de empresas de alojamiento recomendadas que han sido examinadas a fondo.

2. ¿Tiene un certificado SSL?

Un certificado SSL (Secure Socket Layer) encripta la información enviada por sus clientes a su sitio web y autentica la identidad de su sitio. Esto sirve como protección crítica para información como direcciones y datos de tarjetas de crédito. Google también lo considera al determinar las clasificaciones de los motores de búsqueda.

La mayoría de los hosts ofrecen certificados SSL de forma gratuita, aunque algunos cobran una tarifa relativamente mínima.

3. ¿Está utilizando versiones seguras de temas y complementos?

Los complementos y temas anulados son versiones pirateadas de complementos y temas premium y se ofrecen de forma gratuita o por un precio bajo. No solo no son compatibles, tampoco están actualizados, por lo que pueden entrar en conflicto con WordPress u otros complementos. Y, lo que es más preocupante, suelen estar llenos de malware que pueden comprometer su sitio y los datos de sus clientes.

Siempre descargue complementos y temas de fuentes confiables, como el repositorio de WordPress o el mercado de WooCommerce.

las colecciones de extensiones destacadas de WooCommerce Marketplace
Colecciones de extensiones destacadas en WooCommerce Marketplace

4. ¿Está todo actualizado en su sitio de WordPress?

Las actualizaciones de WordPress, temas y complementos no siempre incluyen nuevas características; a menudo corrigen errores y vulnerabilidades que los piratas informáticos pueden aprovechar. Siempre realice actualizaciones cuando estén disponibles para mantener su sitio seguro y evitar conflictos.

¿No quieres estar al tanto de las actualizaciones? Jetpack tiene una opción para automatizar este proceso.

5. ¿Está utilizando la última versión de PHP?

La mayor parte del núcleo de WordPress está escrito en PHP, un lenguaje de programación. Debe actualizar la versión de PHP que usa su sitio por la misma razón que debe actualizar los temas y complementos: para protegerse contra errores y vulnerabilidades.

Puede actualizar su versión de PHP en la configuración de su host o pedirle a su proveedor de alojamiento que se encargue de esto por usted. Ver los últimos requisitos de WordPress.

6. ¿Ha revisado sus permisos de usuario?

A cada usuario de WordPress se le asigna un rol, que incluye un conjunto de capacidades que les permiten realizar ciertas tareas en su sitio web. Los administradores tienen acceso completo a todo y pueden hacer los cambios que deseen; como dueño de la tienda, este debería ser su papel. Sin embargo, los clientes no tienen acceso al backend de su sitio, pero pueden editar la información de su propia cuenta y ver los pedidos actuales y anteriores. Vea una lista completa de roles y permisos de usuario.

De vez en cuando, revise y limpie sus cuentas de usuario. Cada usuario debe tener solo los permisos mínimos necesarios para hacer su trabajo y, si ya no está trabajando con alguien, asegúrese de eliminar su cuenta. Por ejemplo, si trabajó con una agencia de desarrollo web para crear su sitio y el proyecto está completo, probablemente desee eliminar su cuenta a menos que se necesiten actualizaciones consistentes en el futuro.

7. ¿Está utilizando un nombre de usuario y una contraseña seguros?

Los piratas informáticos a menudo usan bots para probar miles de combinaciones diferentes de nombre de usuario y contraseña hasta que encuentran la correcta (esto se denomina ataque de fuerza bruta). Cuanto más fácil sea adivinar su contraseña, más probable es que un pirata informático pueda acceder a su tienda.

Una buena contraseña tiene una letra mayúscula, una letra minúscula, un número y un símbolo, y tiene al menos 20 caracteres. Asegúrese de que, como mínimo, todos los usuarios administradores estén implementando este tipo de contraseña.

Cuando se trata de nombres de usuario, evite títulos comunes como "Administrador" o "Administrador". En su lugar, cree un nombre de usuario específico para cada persona.

8. ¿Ha considerado cambiar su URL de inicio de sesión?

De forma predeterminada, se puede acceder a cada página de inicio de sesión de WordPress en su URL /wp-admin. Si desea implementar medidas de seguridad adicionales, es posible que desee cambiar la URL para que sea más difícil para los atacantes adivinar esta URL. Puede hacer esto editando su archivo .htaccess o, si no se siente cómodo cambiando el código, use un complemento como WP Hide Login.

9. ¿Habilitó la autenticación de dos factores para los administradores?

La autenticación de dos factores agrega una capa adicional de seguridad a su página de inicio de sesión. Para iniciar sesión, no solo debe saber algo (un nombre de usuario y una contraseña), también debe poseer algo físicamente (su dispositivo móvil). Esto hace que sea significativamente menos probable que un pirata informático pueda ingresar a su tienda.

Jetpack facilita la autenticación de dos factores. Cuando inicie sesión en su sitio, recibirá un código especial único en su teléfono, que deberá ingresar para completar el proceso de inicio de sesión. Incluso puede solicitar a todos los usuarios que configuren esto. Obtenga más información sobre la autenticación de dos factores.

10. ¿Estás bloqueando los ataques de fuerza bruta?

Como discutimos anteriormente, los ataques de fuerza bruta ocurren cuando los piratas informáticos usan bots para probar combinaciones de nombres de usuario y contraseñas una y otra vez hasta que encuentran la correcta. Esto no solo pone en riesgo su tienda y los datos de sus clientes, sino que también puede ralentizar su sitio web.

módulo que muestra el número total de ataques maliciosos bloqueados en un sitio

Pero Jetpack bloquea automáticamente estos ataques antes de que lleguen a su sitio, por lo que no tiene que preocuparse.

11. ¿Está escaneando su sitio en busca de malware?

¿Qué sucede si alguien accede a su sitio e inyecta malware? Le gustaría saberlo de inmediato para poder eliminar ese malware y solucionar el problema lo más rápido posible. Pero los piratas informáticos son astutos: no siempre es inmediatamente obvio que se hayan metido.

Jetpack Scan lo alerta de inmediato sobre cualquier actividad sospechosa y, dado que el escaneo se realiza en los servidores de Jetpack, puede acceder a su sitio incluso si se cae. También ofrece soluciones con un solo clic para la mayoría de las amenazas conocidas.

12. ¿Tiene configurado un filtro de correo no deseado?

Los comentarios de spam no solo son molestos; también lo hacen parecer poco profesional y pueden contener enlaces que dirigen a sus clientes a sitios llenos de malware. Pero clasificar cientos de comentarios a la semana lleva mucho tiempo y es frustrante.

gráfico que muestra spam bloqueado en un sitio de WordPress

¡Ahí es donde entra Jetpack Anti-spam! Elimina automáticamente el spam de los comentarios y formularios, por lo que nunca tendrá que verlo. Ahorrará tiempo, protegerá su sitio y brindará una mejor experiencia de usuario, todo al mismo tiempo.

13. ¿Está monitoreando su sitio por tiempo de inactividad?

Si su sitio se cae, podría ser una indicación de un hack. Y, cuanto más tiempo esté inactivo, más ventas perderá. ¡Quiere volver a ponerlo en funcionamiento lo antes posible!

Jetpack ofrece monitoreo gratuito del tiempo de inactividad que verifica su sitio desde ubicaciones en todo el mundo cada cinco minutos. Si su sitio no funciona, recibirá una notificación instantánea para que pueda solucionar el problema de inmediato.

14. ¿Tiene copias de seguridad periódicas fuera del sitio configuradas?

Si algo le sucede a su sitio, la mejor protección que puede tener es una copia de seguridad completa que puede restaurar rápida y fácilmente. Incluso si su host ofrece copias de seguridad, es importante que también haga las suyas propias. ¿Por qué? Porque si su servidor está comprometido, cualquier copia de seguridad almacenada allí también puede estar comprometida.

copia de seguridad en curso en una tienda WooCommerce

Jetpack Backup es una excelente solución. Hay dos opciones de planes:

  1. Copias de seguridad diarias, que guardan una copia de tu sitio una vez al día.
  2. Copias de seguridad en tiempo real , que guardan una copia de su sitio cada vez que actualiza una página, publica una nueva publicación o realiza una venta. Estos son particularmente útiles para las tiendas en línea, porque nunca tendrá que preocuparse por perder la información del pedido.

Jetpack almacena archivos de respaldo en varias ubicaciones, completamente separados de su sitio. Esto significa que si su servidor está comprometido, sus copias de seguridad no lo estarán. ¡Y en la mayoría de los casos, incluso puede restaurar una copia de seguridad si su sitio está completamente inactivo!

Cómo recuperarse en el peor de los casos

Si tu tienda en línea tiene malware y tienes Jetpack Security, recibirás una notificación para que puedas solucionar el problema de inmediato. Su primer paso debe ser verificar su registro de actividad, donde puede ver una lista completa de todo lo que ocurrió en su sitio. Puede usar esta información para determinar cuándo ocurrió el ataque verificando si hay actividad sospechosa, como inicios de sesión desconocidos y páginas editadas.

registro de actividad que muestra todo lo que sucedió en un sitio de WordPress

Entonces, la forma más rápida de recuperarse es con Jetpack Backup. Con solo unos pocos clics, su sitio puede estar en funcionamiento nuevamente con un tiempo de inactividad mínimo. Todo lo que tienes que hacer es seleccionar una copia de seguridad anterior al hack y esperar a que se restaure. ¡Sí, eso es todo!

Una vez que una versión limpia de su tienda esté en funcionamiento, use Jetpack Scan para asegurarse de que no quede malware en su sitio. Jetpack resuelve la mayoría de las amenazas conocidas por usted, por lo que si se encuentra algo, lo más probable es que no tenga que preocuparse por la resolución de problemas.

Finalmente, tómese el tiempo para proteger su sitio cambiando todas las contraseñas y verificando que sus temas, complementos y archivos principales estén actualizados.

¿Necesita ayuda? Jetpack Security incluye soporte prioritario de un equipo técnico experimentado que puede indicarle la dirección correcta.

Mantenga su tienda WooCommerce segura

Tomarse el tiempo para proteger completamente su tienda WooCommerce garantizará que sus clientes puedan comprar con confianza y que no tendrá que preocuparse por sus datos o su reputación.

Y una de las mejores maneras de hacerlo es combinando Jetpack Security y WooCommerce: ¡simplemente tiene sentido! Son dos complementos de WordPress establecidos y respetados que funcionan en sincronía para proteger su sitio web y agregar funciones. Juntos, significan menos piezas móviles, menos complementos externos y una mayor tranquilidad para usted como propietario de un negocio.

Preguntas frecuentes

¿Se puede hackear un sitio web de WooCommerce?

Sí, como cualquier sitio, una tienda WooCommerce puede ser pirateada. Sin embargo, WordPress y WooCommerce incluyen funciones que ayudarán a proteger su contenido y los datos de sus clientes. Y, cuando implementa algunas medidas de seguridad básicas, como elegir un buen host, mantener las cosas actualizadas e instalar el mejor complemento de seguridad, puede estar tranquilo sabiendo que su sitio está en buenas manos.

¿Necesita SSL para un sitio web de WooCommerce?

Un certificado SSL encripta la información (como los datos y las direcciones de tarjetas de crédito) que se envía a su sitio, manteniéndolo a salvo de personas malintencionadas. Si un hacker accede a esa información, podría poner su negocio en riesgo legal y dañar su reputación. Y un certificado SSL no solo lo protege a usted y a sus clientes, sino que también es importante para su clasificación en los motores de búsqueda.

Si bien se recomienda un certificado SSL para cualquier sitio web, es aún más importante para las tiendas en línea debido al tipo de datos que recopilan para procesar las transacciones.

¿Qué certificado SSL es el mejor para los sitios web de WooCommerce?

La mayoría de los principales proveedores de alojamiento incluyen un certificado SSL en sus planes, mientras que otros los ofrecen por una tarifa adicional. Por lo general, estos son fáciles de instalar con solo unos pocos clics.

Sin embargo, si su host no ofrece esto, le recomendamos Let's Encrypt. Es un servicio confiable que ofrece certificados SSL gratuitos para respaldar una web más segura. Nota: muchos de los certificados SSL incluidos en los planes de alojamiento provienen de Let's Encrypt.

Obtenga más información sobre cómo instalar un certificado SSL en su tienda WooCommerce.

¿Cómo fuerzo HTTPS en un sitio web de WooCommerce?

Cuando agrega con éxito un certificado SSL a su tienda, cambia su URL de http://example.com a https://example.com. La "s" en "https" significa SSL.

Cuando fuerza HTTPS en su tienda, un visitante que escriba la versión "http" de su sitio será redirigido automáticamente a la versión "https". Esto garantiza que todo esté encriptado correctamente para cada comprador.

Puede forzar HTTPS agregando algunas líneas de código a su archivo .htaccess o usando un complemento de WordPress. Kinsta proporciona una gran guía para hacer esto.

¿Es WooCommerce más seguro que Shopify?

Shopify es una plataforma alojada que maneja la seguridad por ti. Si bien esto tiene sus beneficios, no tiene que preocuparse por implementar medidas de seguridad, también significa que prácticamente no tiene control sobre su propia protección.

Y tampoco significa que Shopify sea más seguro. Después de todo, los piratas informáticos y los bots no discriminan. Simplemente prueban sitio tras sitio hasta que encuentran uno en el que pueden entrar. Entonces, si implementa las medidas de seguridad adecuadas, su tienda será tan segura y, en muchos casos, más segura que otras en cualquier plataforma.

También es importante tener en cuenta que tanto WordPress como WooCommerce están respaldados por un equipo apasionado por ayudarlo a tener éxito. Trabajan constantemente para mantener la plataforma segura, por lo que es tan importante actualizar regularmente su software.

Esta guía de WooCommerce proporciona más detalles sobre cómo se compara con Shopify.