Crear una tienda online con WooCommerce es realmente sencillo, y en pocos minutos puedes tener tu negocio online en marcha, pero toda web conlleva responsabilidades, y una tienda online muchas más, con tus clientes.
Por ello, si normalmente es importante asegurar WordPress, si tienes una tienda online con WooCommerce es vital que la seguridad sea una prioridad para ti y tus clientes.
Podrías pensar que con tener un WordPress seguro sería suficiente pero no, hay algunos detalles importantes que debes tener en cuenta, así que vamos a ver qué debes tener en cuenta para asegurar una tienda online WooCommerce, o cualquier tienda online.
Índice de contenidos
1. Contrata un hosting seguro que sea compatible PCI
Sé que me repito mucho pero es absolutamente imprescindible la elección del hosting, pues de nada sirve lo que hagas en tu instalación si la casa que lo aloja está llena de grietas y, en el caso que nos ocupa, ni siquiera cumple necesidades básicas para un comercio online.
Aunque WooCommerce aún no es compatible con las normas PCI, por cuestión de papeleo, pronto lo será, pero tu hosting debe cumplir con estos estándares, que aseguran el tratamiento seguro de la información de tus clientes, como nos explicaba Hristo no hace mucho.
Lo que te garantiza el cumplimiento PCI es que tu servidor cumple unas reglas que garantizan que es suficientemente seguro como para realizar transacciones online y almacenamiento de datos de clientes.
Esta primera regla, suele ser la gran olvidada, pero es la base fundamental para crear una tienda online profesional.
Si quieres contratar un hosting seguro compatible con las reglas PCI te recomiendo sin duda alguna SiteGround, que además están especializados y comprometidos con WordPress.
2. Instala un certificado seguro SSL
Otro básico de seguridad para tu tienda online WooCommerce es instalar un certificado seguro SSL en tu dominio para ofrecer conexiones seguras https en vez de http.
Con un certificado SSL todas las transacciones de tu tienda online viajarán codificadas y encriptadas, garantizando la seguridad de la información de tus operaciones y clientes.
Hasta no hace mucho instalar un certificado SSL era caro, pero actualmente puedes instalar un certificado SSL Let’s Encrypt totalmente gratuito, avalado por los grandes de Internet.
Por supuesto, no olvides marcar la casilla de los ajustes de WooCommerce para forzar el pago seguro.
3. Instala un plugin de seguridad
Ni se te ocurra vivir peligrosamente. Instala un plugin de seguridad como WordFence o Sucuri que, al menos, proteja tu tienda online de intentos masivos de acceso, requiera contraseñas seguras y proteja tus archivos y la información de tus datos.
También puedes reforzar el control de acceso con un plugin de identificación en 2 pasos.
Si no te convence ningún plugin en su conjunto, al menos asegura lo siguiente:
- Limitación de accesos masivos a la pantalla de login de WordPress.
- Comprobación de contraseñas seguras.
- Control previo de registros de usuarios.
- Protección de archivos y carpetas.
- Evita la inyección de código.
4. Desactiva pingbacks y trackbacks
No, no necesitas pingbacks y trackbacks en tu tienda online, y además es una posible brecha de seguridad frente a ataques de denegación de servicio (DDOS) tener activo XML-RPC, así que añade el siguiente código a tu archivo .htaccess:
# START XML RPC BLOCKING <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> # FINISH XML RPC BLOCKING
5. Oculta la URL de autor
Como ya sabrás, WordPress genera automáticamente una URL de autor para cada usuario de tu sitio, del tipo https://misito.com/author/nombreautor. Pues bien, eso de nombreautor es la mitad de lo que necesita un hacker para accede a tu sitio.
Desactiva o cambia las URLs de autor a algo que no ofrezca información gratis. En el enlace anterior tienes cómo hacerlo.
6. Utiliza claves seguras para todo
No me importa ser pesado con esto pero olvídate (siempre) de usar claves fáciles de recordar para el usuario administrador, la base de datos o el acceso por FTP. Dicho sea de paso, no uses FTP sino SFTP.
Esta misma regla debes asignarla a todos los usuarios, forzando el uso de contraseñas seguras en todos los casos.
7. Utiliza plugins de absoluta confianza
No caigas en la tentación de instalar plugins baratos o de sitios sospechosos para tu tienda online. Sé que una tienda online conlleva una inversión, pero con un solo plugin inseguro o sin las suficientes actualizaciones y soporte toda tu instalación puede verse comprometida.
Así que instala solamente plugins del directorio oficial de WordPress o de desarrolladores de tu absoluta confianza, que ofrezcan soporte y actualizaciones frecuentes.
8. Utiliza un tema de absoluta confianza
Lo mismo pasar con el tema. No te dejes cegar por elementos visuales sorprendentes o carruseles infinitos. Utiliza un tema que, además de estar preparado para WooCommerce, ofrezca soporte y actualizaciones frecuentes, no solo un bonito aspecto.
Yo utilizo masivamente Divi para tiendas online y, además de estar totalmente preparado para WooCommerce mediante módulos específicos, es una garantía de fiabilidad.
Piensa en que lo que más debe destacar en una tienda online deben ser tus productos, así que déjate de pijadas y ofrece un escaparate sólido y fiable.
9. Utiliza pasarelas de pago seguras
Huye de experimentos y utiliza pasarelas de pago que garanticen la seguridad de los datos de tus clientes, pero sobre todo evita usar pasarelas de pago que almacenen los datos en tu propia web.
Instala un TPV virtual de tu banco favorito, Paypal o Stripe, plataformas que no almacenan ningún dato en tu servidor. Personalmente estoy utilizando últimamente Stripe y es absolutamente genial, otro día hablaremos más ampliamente de esta pasarela de pago.
10. Ofrece una web rápida
Posiblemente te preguntarás qué tiene que ver la velocidad con la seguridad pero la tiene, aunque solo sea por una cuestión de percepción.
Sino imagina que estás realizando un pago en una tienda online y en el paso de insertar la información de tu tarjeta de crédito y la confirmación del pago pasan, digamos, 3 o más segundos ¿qué pensarías?
Seguramente empezarías a tener sudores fríos pensando en a dónde estarán viajando los datos de tu banco, si volverás alguna vez a la web donde introdujiste tu información o si los datos de tu tarjeta estarán pasando ya a formar parte de una hoja de cálculo de incautos a los que robar en Amazon.
Así que activa una CDN, ¡ya mismo!. No solo ofrecerás mejores tiempos de respuesta en tu web sino que además suelen incluir utilidades de seguridad para tu web.
11. Actualiza, actualiza, actualiza
Cada vez que leo por ahí que a la gente le entra temblequera por una actualización de WooCommerce pienso en justo lo contrario, en la temblequera que debería entrarles si no actualizan.
Si normalmente es importante tener WordPress y todos los plugins y temas actualizados, en una tienda online es absolutamente obligatorio actualizar todo, sin discusión.
Claro que no hay que actualizar a lo loco, sin hacer pruebas, eso nunca, pero tampoco se debe dejar una tienda online insegura por no tomarse el tiempo necesario para probar las nuevas versiones de todos los plugins, del tema, pero sobre todo de WordPress y WooCommerce.
Mi consejo es el de siempre para instalaciones sensibles: crea una copia exacta en tu servidor de tu tienda online, y si hay una actualización de algo primero actualiza en la copia y, si todo sale bien, actualiza en la tienda activa.
¿Que algo no sale bien? revisa los fallos o contrata un profesional, pero no dejes insegura tu tienda online o tu vaguería/irresponsabilidad de hoy será tu ruina de mañana, y posiblemente la de tus clientes.
(Extra) Seguridad WordPress
Para terminar, no olvides todas las reglas de seguridad en WordPress, que te resumo:
- Protege el archivo wp-config.php
- Protege el archivo .htaccess
- Protege la carpeta /wp-content/
- Protege el acceso a /wp-admin/
- Protege el acceso a wp-login.php
- Impide el listado de carpetas y archivos
- No uses el prefijo wp_ para las tablas de la base de datos
- No tengas un usuario llamado admin, Admin, root o similares
- Haz copias de seguridad frecuentemente de manera automática
- ¡Actualiza todo siempre!
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Gracias por el artículo muy interesante.
Con respecto a los seguros de comercios,
con respecto a una woocomerce cómo sería, si no se tienen empleados, y se trata de una market place de venta de experiencias. donde no se venden productos ni se envían, son experiencias, como sería ungroupon o un groupalia, etc.
Gracias de antemano.