15 Consejos de seguridad para tiendas WooCommerce
Con una tienda online puedes tener miles de clientes si la estrategia que tienes es de llegar al máximo número de leads posibles.
Al contrario que con una tienda física, (spoiler: lo que voy a decir es muy obvio) con una tienda online puedes tener muchísimas más oportunidades de captación y visitas que acaben en venta, y con lo cual, muchos más ingresos.
Pero, también tienes infinidad de más posibilidades de ser atacado y que determinadas personas con muy mala intención, realicen determinadas acciones en tu comercio online, que no te van a gustar nada de nada.
Fuera de robarte un par de productos, o de hacerte un grafiti en la ventana de tu tienda física, en una tienda online, si tú les dejas (y depende de quién, si les da la gana a ellos…) pueden realizar determinadas acciones que tú pases por alto, pero que estén perjudicándote durante mucho tiempo a ti, a tus visitas y a tu negocio.
Más vale prevenir que curar
Es aquí cuando llega el momento, en una tienda física, de poner una alarma 24 horas, de cambiar la cerradura a una mucho más grande, y todo lo que haya que hacer para aumentar la seguridad de tu comercio.
Y “todo lo que haya que hacer” a nivel online, es lo que te voy a enseñar en este artículo sobre seguridad para WooCommerce.
No vas a tener una tienda online a prueba de hackeos, ni mucho menos, pero añadirás capas extra de seguridad que te van a venir muy bien (y van a venir muy mal a quien intente hackearte la web, haciéndoselo, al menos, bastante más difícil).
1. Ten todo al día
Aquí no sólo me refiero a tener todos los plugins y la plantilla o framework que utilices actualizado a la última versión, si no también a realizar todas las acciones necesarias para que el “core” de tu WooCommerce luzca sano a diario.
Esto quiere decir que tengas “al día” todas estas acciones:
- Añadir productos.
- Quitar productos que no utilices.
- Arreglar errores (bugs).
- Revisar tus usuarios inactivos o sospechosos.
- Actualizar tus plugins.
- Actualizar tu plantilla.
- Actualizar WordPress en sí.
Un inciso aquí en la actualización de plantillas y plugins: si has personalizado mucho algún plugin o plantilla, recuerda que si actualizas los mismos y no has re-añadido de nuevo el código personalizado a las nuevas versiones instaladas, lo que hayas “personalizado” se perderá.
Por ejemplo, recuerda siempre utilizar una plantilla child (hija), para hacer cambios en el CSS en dicho “tema hijo”, así como cualquier cambio que requiera PHP en el archivo functions.php del mismo tema hijo.
Y en general, a la hora de actualizar, no vayas “a ciegas” actualizando. Es decir, comprueba las nuevas versiones que se van a aplicar, (sobre todo si son actualizaciones de vulnerabilidad) y si éstas son compatibles con la versión de WordPress que estás utilizando.
Es más, comprueba incluso si la propia versión de WordPress que utilizas no va a causar problemas si actualizas (por ejemplo, el paso de WordPress 4.x a WordPress 5.x supuso bastantes problemas de compatibilidad).
Lo mejor en el caso de las actualizaciones de WordPress es instalar sí o sí las actualizaciones de seguridad, y el resto, si no son muy importantes, no hace falta actualizarlas.
Para todas estas actualizaciones, arreglo de bugs, etc, lo que siempre recomiendo es tener mínimo dos versiones de tu instalación WordPress (Producción y Desarrollo).
En la primera tendrás “lo que vale”, lo real, tu tienda online funcionando, y en la segunda, copiaras la instalación completa de la de producción, cada vez que quieras hacer un cambio importante o una actualización, para de esta manera asegurarte que no habrán problemas cuando repitas todo en producción.
2. Contrata un hosting de calidad y fiable
Aunque parezca lo contrario, muchísima gente (al menos algunos ex-clientes míos) se empeñaban en montar una completa plataforma online con WooCommerce en servidores muy poco fiables (extrañamente baratos, tardaban años en contestar a un email, la web cargaba muy lenta por defecto, características técnicas pobres, etc).
Cualquier servidor va a flaquear por un lado o por otro, pero mi recomendación es que te centres en dos cosas principales:
- Características técnicas de calidad (Discos SSD, especialización en WordPress, etc)
- Servicio de soporte de calidad
No mires el precio, pues es muy fácil confundir “caro” (muy mal servicio por un coste alto) y “precio alto” (muy buen servicio por un coste acorde).
Personalmente, al igual que con el uso de plugins premium en lugar de gratuitos, prefiero gastar un poco más y tener la certeza de que cuando más lo necesite, tendré a alguien que me solucione los problemas rápidamente.
Es un precio a pagar, que a la larga, compensa mucho (tiene retorno sobre la inversión muy alto).
3. Oculta la URL del autor
Un hacker de esos con “gorra, sudadera con la capucha puesta y gafas de sol delante de su ordenador en su casa” que tanto se ceba con tu web para hackearla, lo primero que va a hacer es intentar adivinar la contraseña de algún usuario con un rol de autor, editor, o admin.
Cuando se crea un usuario nuevo en WordPress, la URL siempre es por defecto:
tudominio.com/nombrederol/nombredeusuario.
Lo ideal en este caso es, entrar en la base de datos WordPress de tu instalación de WooCommerce, y editar el user_nicename (nombre del rol) en la tabla de wp_users.
4. Usa plugins de seguridad competentes
Plugins relacionados con la seguridad de tu web, hay muchos.
Hay incluso servicios de seguridad que contratas mensualmente y se encargan de todo.
Dependiendo de cuánto te quieras gastar, o lo importante que sea tu web a nivel de tamaño o de popularidad, decide cuál de ellos quieres utilizar (plugin puntual, o servicio de seguridad).
Prefiero no poner ningún nombre de plugin de seguridad aquí, para no liarte, pero lo que sí te puedo decir es que, elijas el que elijas, te quedes sólo con ese. Es decir, no por utilizar varios plugins de seguridad en tu web al mismo tiempo, ésta será más segura. Parece que no, pero es un error bastante habitual.
5. Utiliza contraseñas fuertes
Hoy en día hay muchas soluciones para generar y gestionar contraseñas super-mega-seguras.
Olvídate ya de las fórmulas antiguas de nomenclatura de contraseñas (contraseña1234, querty1234, nombredetucalleyumero, etc).
Y bajo ningún concepto utilices la misma contraseña para todo.
Haz una búsqueda en Google, de generador de contraseñas online y busca un buen gestor de contraseñas para que no se te olvide ninguna.
6. Sé creativo con el admin
Esto es de “primero de WordPress”, y es no utilizar admin como usuario para el administrador.
Aquí también puedo añadir que no utilices como nombre de usuario administrador el nombre de tu tienda. Es también muy obvio, y es una de las primeras cosas que prueban los hackers.
No me voy a extender en este apartado, pero sí que lo tengo que mencionar por si a alguno se le pasaba esta medida de seguridad para tu WooCommerce.
7. Abraza los certificados SSL
Añadir certificados SSL a tu tienda online de WooCommerce es esencial, sobre todo a la hora del pago de tus productos.
Cuando tus clientes sacan la tarjeta de crédito de su bolsillo, lo mínimo que esperan es que sus datos estén cifrados en todo momento cuando se envíen a tu servidor.
Además, si no tienes certificado SSL, Google ya advierte (muy poco sutilmente) a tus clientes que tu web “no es segura”.
Añadir certificados SSL es algo a veces complicado. Es por ello, que aquí entra en juego el buen soporte o atención al cliente del hosting que hayas decidido contratar.
8. Haz copias de seguridad constantes
Si tu hosting realiza copias de seguridad diarias, semanales o mensuales, perfecto.
Pero te aconsejo también hacerlas tú por tu cuenta, sobretodo si tienes mucha actividad en tu web, o si realizas cambios importantes en la misma (tanto a nivel de desarrollo como de actualizaciones).
Para ello puedes utilizar cualquier plugin de copias de seguridad, o hacerlo manualmente (descargando archivos y base de datos desde tu servidor, desde cPanel y phpMyAdmin).
9. Usa un framework profesional y con soporte continuado
Si has leído varios artículos míos, seguro que tienes una idea de lo poco que me gustan las plantillas de fuegos artificiales vendidas en marketplaces tipo ThemeForest (ojo, están muy bien, pero a mi siempre me han dado problemas a la larga, por falta de calidad en el código).
También sabrás de otros artículos míos, que la herramienta principal que yo utilizo es Beaver Builder (hay otras igual de buenas también, no sólo esa).
Nunca me canso de decir que te centres en el trato al cliente y el soporte de las herramientas que utilices para tus clientes o tu web en sí, sobre todo si lo que tienes entre manos es una tienda online con WooCommerce.
Huye de las plantillas que son super atractivas y atrayentes a primera vista, pero luego, las ves “sin maquillaje”, y son otra plantilla completamente diferente.
Céntrate en aprender a utilizar un framework concreto, y conviértete en experto/a del mismo.
10. Limita los intentos de login
Hay plugins específicos como este (WP Limit Login Attempts), que limitan los intentos de login en tu tienda de WooCommerce.
Esto es bueno frente a los ataques por “fuerza bruta”, en los cuales, un robot intenta entrar continuamente a tu web probando diferentes combinaciones de usuario y contraseña.
11. Deshabilita los pingbacks y los trackbacks
Si no sabes lo que son, te recomiendo que te leas mi artículo sobre los pingbacks y los trackbacks de WordPress.
Si te lo lees, entenderás por qué es bueno deshabilitarlos como medida de seguridad.
Dichos elementos, o digamos, dichas funcionalidades de WordPress, están en desuso, y dejan puertas abiertas a posibles ataques externos a tu web.
Además, si en este caso, es WooCommerce lo que usas como elemento central de tu web, no te van a hacer falta para nada dichas funcionalidades.
12. Usa una base de datos segura y con el prefijo cambiado
Esto también es de primero de carrera de WordPress, pero no hay que dejar de recordarlo igualmente.
Por defecto, WordPress crea la base de datos con el prefijo wp_. Es posible cambiar esto durante la instalación, o una vez finalizada la misma.
Algunos plugins de seguridad vienen con esta opción incorporada, aunque yo te recomiendo, si es posible, cambiarla desde el principio, cuando creas la web por primera vez (pues puede haber conflicto con alguna configuración de algún plugin que utilices).
13. Habilita autentificación en dos pasos
Mientras llega la tecnología de loguearse a las webs de Internet con nuestros ojos, si lo que quieres es rizar el rizo con la seguridad a la hora de entrar en tu web de manera fiable (y no te conformas con un usuario y contraseña muy difíciles de adivinar), te recomiendo que uses el 2FA.
2FA (Two-factor authentification) es algo “relativamente” nuevo para WordPress, aunque seguro que ya te suena de algo.
Es cierto que necesita una configuración bastante avanzada (no me va a caber en este artículo), pero hay muchos tutoriales por Internet sobre cómo hacerlo.
14. Usa una VPN para navegar
Una de las formas mas seguras de protegerte es a través del uso de una VPN Premium, con la que solo tu podrás acceder a tu panel de administración de WordPress.
Con este tipo de servicio tendrás una IP privada fija y solo podrás acceder a través de ella a la administración de WordPress, dejando fuera de esta manera a cualquier Hacker que intente acceder a la administración e tu web.
15. Deshabilita la edición de archivos
Por último te recomiendo “decirle” a tu archivo de wp-config.php que no se pueda editar los archivos de la carpeta admin de WordPress.
Es tan fácil como añadir esta línea de código al archivo mencionado, en tu FTP, o desde el explorador de archivos de cPanel, en tu hosting.
define( ‘DISALLOW_FILE_EDIT’, true );
Autor: Jonathan Martinez Aradillas.