blog webempresa

15 Consejos de seguridad en WooCommerce

por | May 11, 2023 | Seguridad WordPress

Consejos de seguridad para tiendas WooCommerce

Con una tienda online puedes tener miles de clientes si la estrategia que tienes es de llegar al máximo número de leads posibles.

Al contrario que con una tienda física, (spoiler: lo que voy a decir es muy obvio) con una tienda online puedes tener muchísimas más oportunidades de captación y visitas que acaben en venta, y con lo cual, muchos más ingresos.

Pero, también tienes infinidad de más posibilidades de ser atacado y que determinadas personas con muy mala intención, realicen determinadas acciones en tu comercio online, que no te van a gustar nada de nada.

Fuera de robarte un par de productos, o de hacerte un grafiti en la ventana de tu tienda física, en una tienda online, si tú les dejas (y depende de quién, si les da la gana a ellos…) pueden realizar determinadas acciones que tú pases por alto, pero que estén perjudicándote durante mucho tiempo a ti, a tus visitas y a tu negocio.

A continuación vamos a enlistar 15 consejos en los cuales evaluaremos varios aspectos que nos permitirán reforzar la seguridad en WooCommerce.

 ¿Por qué mejorar la seguridad en WooCommerce?


WooCommerce es una plataforma de comercio electrónico muy popular y de código abierto que se integra con WordPress. Al ser una plataforma de comercio electrónico, se trata de un objetivo atractivo para los atacantes en línea que buscan robar información personal de los clientes, datos de pago y otra información confidencial.

Vamos a plantear algunos factores por los cuales la seguridad en WooCommerce es de suma importancia, por ejemplo:

Proteger la información del cliente: los clientes confían en que sus datos personales y financieros están protegidos al comprar en línea. Si un sitio de WooCommerce es hackeado y se roban datos de clientes, esto puede resultar en una violación de privacidad y poner en peligro la confianza del cliente.

Prevenir el fraude: una tienda hecha en WooCommerce al ser vulnerada también puede ser utilizada por los atacantes para realizar compras fraudulentas. Si esto sucede, puede resultar en pérdidas financieras para el comerciante y dañar su reputación.

Cumplimiento normativo: dependiendo de la ubicación del comerciante y del cliente, puede haber leyes y regulaciones específicas que se deben ser cumplidas con respecto a la seguridad y privacidad de los datos. Mejorar la seguridad en WooCommerce ayuda a cumplir con estas regulaciones y evitar multas y sanciones.

Proteger la reputación del comerciante: un sitio web con WooCommerce hackeado puede dañar la reputación del comerciante y disuadir a los clientes de realizar futuras compras en el sitio. Por lo tanto, mejorar la seguridad ayuda a mantener la confianza del cliente y la reputación del negocio.

En definitiva, cualquier acción que represente la mejoría de la seguridad en WooCommerce es fundamental para proteger la información del cliente, prevenir el fraude, cumplir con las regulaciones y proteger la reputación del comerciante.

 ¿Cómo aumentar la seguridad en WooCommerce?


Es aquí cuando llega el momento, en una tienda física, de poner una alarma 24 horas, de cambiar la cerradura a una mucho más grande, y todo lo que haya que hacer para aumentar la seguridad de tu comercio.

Y “todo lo que haya que hacer” a nivel online, es lo que te voy a enseñar en este artículo sobre seguridad para WooCommerce.

No vas a tener una tienda en WordPress a prueba de hackeos, ni mucho menos, pero añadirás capas extra de seguridad que te van a venir muy bien (y van a venir muy mal a quien intente hackearte la web, haciéndoselo, al menos, bastante más difícil).

 1. Ten todo al día


Aquí no solo me refiero a tener todos los plugins y la plantilla o framework que utilices actualizado a la última versión, sino también a realizar todas las acciones necesarias para que el “core” de tu WooCommerce luzca sano a diario.

seguridad-woocommerce-01

Esto quiere decir que tengas “al día” todas estas acciones:

*Un inciso aquí en la actualización de plantillas y plugins: si has personalizado mucho algún plugin o plantilla, recuerda que si actualizas los mismos y no has re-añadido de nuevo el código personalizado a las nuevas versiones instaladas, lo que hayas “personalizado” se perderá.

Por ejemplo, recuerda siempre utilizar una plantilla child (hija), para editar el CSS en WordPress desde el dicho “tema hijo”, así como cualquier cambio que requiera PHP en el archivo functions.php del mismo tema hijo.

Y en general, a la hora de actualizar, no vayas “a ciegas” actualizando. Es decir, comprueba las nuevas versiones que se van a aplicar, (sobre todo si son actualizaciones de vulnerabilidad) y si estas son compatibles con la versión de WordPress que estás utilizando.

Es más, comprueba incluso si la propia versión de WordPress que utilizas no va a causar problemas si actualizas (por ejemplo, el paso de WordPress 5.x a WordPress 6.x supuso bastantes problemas de compatibilidad).

Lo mejor en el caso de las actualizaciones de WordPress es instalar sí o sí las actualizaciones de seguridad, y el resto, si no son muy importantes, no hace falta actualizarlas.

Para todas estas actualizaciones, arreglo de bugs, etc, lo que siempre recomiendo es tener mínimo dos versiones de tu instalación WordPress (Producción y Desarrollo).

En la primera tendrás “lo que vale”, lo real, tu tienda online funcionando, y en la segunda, copiaras la instalación completa de la de producción, cada vez que quieras hacer un cambio importante o una actualización, para de esta manera asegurarte que no habrán problemas cuando repitas todo en producción.

  2. Contrata un hosting de calidad y fiable


Aunque parezca lo contrario, muchísima gente (al menos algunos ex-clientes míos) se empeñaban en montar una completa plataforma online con WooCommerce en servidores muy poco fiables (extrañamente baratos, tardaban años en contestar a un email, la web cargaba muy lenta por defecto, características técnicas pobres, etc).

Cualquier hosting va a flaquear, por un lado, o por otro, pero mi recomendación es que te centres en dos cosas principales:

  • Características técnicas de calidad (Discos SSD, especialización en WordPress, etc)
  • Servicio de soporte de calidad

No mires el precio, pues es muy fácil confundir “caro” (muy mal servicio por un coste alto) y “precio alto” (muy buen servicio por un coste acorde).

Personalmente, al igual que con el uso de plugins premium en lugar de gratuitos, prefiero gastar un poco más y tener la certeza de que cuando más lo necesite, tendré a alguien que me solucione los problemas rápidamente.

Es un precio a pagar, que a la larga, compensa mucho (tiene retorno sobre la inversión muy alto).

Hosting Seguro Webempresa

(Visita el sitio haciendo clic en la imagen ↑)

  3. Oculta la URL del autor


El ocultar la URL del autor puede ser una medida útil, ya que nos brinda varios beneficios como aumentar la privacidad del autor, evitar ataques de fuerza bruta, reforzar la seguridad del sitio y mejorar la estética de nuestro sitio web.

Tambien podemos contemplar el hecho de quitar el nombre del autor en WordPress y que no sea visible a los visitantes y compradores.

Un hacker de esos con “gorra, sudadera con la capucha puesta y gafas de sol delante de su ordenador en su casa” que tanto se ceba con tu web para hackearla, lo primero que va a hacer es intentar adivinar la contraseña de algún usuario con un rol de autor, editor, o admin.

Cuando se crea un usuario nuevo en WordPress, la URL siempre es por defecto:

tudominio.com/nombrederol/nombredeusuario.

Lo ideal en este caso es, entrar en la base de datos WordPress de tu instalación de WooCommerce, y editar el user_nicename (nombre del rol) en la tabla de wp_users.

  4. Usa plugins de seguridad que sean competente


Plugins relacionados con la seguridad de tu web, hay muchos.

Hay incluso servicios de seguridad que contratas mensualmente y se encargan de todo.

Dependiendo de cuánto te quieras gastar, o lo importante que sea tu web a nivel de tamaño o de popularidad, decide cuál de ellos quieres utilizar (plugin puntual, o servicio de seguridad).

Prefiero no poner ningún nombre de plugin de seguridad aquí, para no liarte, pero lo que sí te puedo decir es que, elijas el que elijas, te quedes sólo con ese. Es decir, no por utilizar varios plugins de seguridad en tu web al mismo tiempo, ésta será más segura. Parece que no, pero es un error bastante habitual.

  5. Utiliza contraseñas fuertes


Hoy en día hay muchas soluciones para generar y gestionar contraseñas super-mega-seguras.

Una contraseña fuerte debe incluir al menos 12 caracteres y combinar letras mayúsculas y minúsculas, números y símbolos.

Olvídate ya de las fórmulas antiguas de nomenclatura de contraseñas (contraseña1234, querty1234, nombredetucalleyumero, etc).

Y bajo ningún concepto utilices la misma contraseña para todo.

Haz una búsqueda en Google, de generador de contraseñas online y busca un buen gestor de contraseñas para que no se te olvide ninguna.

También se recomienda cambiar las contraseñas periódicamente y utilizar diferentes contraseñas para cada cuenta o sitio web. Puedes utilizar herramientas de gestión de contraseñas para generar y almacenar contraseñas seguras de manera segura.

CiberProtector Gestor e Contraseñas

(Visita el sitio haciendo clic en la imagen ↑)

  6. Sé creativo con el admin


Esto es de “primero de WordPress”, y es no utilizar admin como usuario para el administrador.

Aquí también puedo añadir que no utilices como nombre de usuario administrador el nombre de tu tienda. Es también muy obvio, y es una de las primeras cosas que prueban los hackers.

Vamos a mencional algunas recomendaciones para establecer un nombre de usuario seguro, como por ejemplo:

  • Evitar nombres de usuario obvios
  • Utilizar una combinación de letras, números y caracteres especiales
  • Evitar utilizar información personal
  • Utilizar un nombre de usuario único
  • Cambiar el nombre de usuario predeterminado

No me voy a extender en este apartado, pero sí que lo tengo que mencionar por si a alguno se le pasaba esta medida de seguridad para tu WooCommerce.

  7. Abraza los certificados SSL


Un certificado SSL además de mostrar una señal de seguridad y confianza, garantiza que cualquier información confidencial que se envíe o se reciba en el sitio web esté protegida y encriptada.

Esto significa que los datos de los usuarios, como contraseñas, direcciones de correo electrónico y detalles de pago, están protegidos de los hackers y otros ataques maliciosos.

Añadir certificados SSL a tu tienda online de WooCommerce es esencial, sobre todo a la hora del pago de tus productos.

Cuando tus clientes sacan la tarjeta de crédito de su bolsillo, lo mínimo que esperan es que sus datos estén cifrados en todo momento cuando se envíen a tu servidor.

Además, si no tienes certificado SSL, Google ya advierte (muy poco sutilmente) a tus clientes que tu web “no es segura”.

Añadir y activar certificados SSL en WordPress es algo a veces complicado. Es por ello, que aquí entra en juego el buen soporte o atención al cliente del hosting que hayas decidido contratar.

seguridad-woocommerce-02

 8. Haz copias de seguridad constantes


Si tu hosting realiza copias de seguridad diarias, semanales o mensuales, perfecto.

Pero te aconsejo también hacerlas tú por tu cuenta, sobretodo si tienes mucha actividad en tu web, o si realizas cambios importantes en la misma (tanto a nivel de desarrollo como de actualizaciones).

Para ello puedes utilizar cualquier plugin de copias de seguridad, o hacerlo manualmente (descargando archivos y base de datos desde tu servidor, desde WePanel y phpMyAdmin).

  9. Usa un framework profesional y con soporte continuado


Si has leído varios artículos míos, seguro que tienes una idea de lo poco que me gustan las plantillas premium de WordPress que son vendidas en marketplaces tipo ThemeForest (ojo, están muy bien, pero a mi siempre me han dado problemas a la larga, por falta de calidad en el código).

También sabrás de otros artículos míos, que la herramienta principal que yo utilizo es Beaver Builder (hay otras igual de buenas también, no sólo esa).

seguridad-woocommerce-03

(Visita el plugin haciendo clic en la imagen ↑)

Nunca me canso de decir que te centres en el trato al cliente y el soporte de las herramientas que utilices para tus clientes o tu web en sí, sobre todo si lo que tienes entre manos es una tienda online con WooCommerce.

Huye de las plantillas que son super atractivas y atrayentes a primera vista, pero luego, las ves “sin maquillaje”, y son otra plantilla completamente diferente.

Céntrate en aprender a utilizar un framework de WordPress concreto, y conviértete en experto/a del mismo.

  10. Limita los intentos de login


Hay plugins específicos como este (Limit Login Attempts Reloaded), que limitan los intentos de login en tu tienda de WooCommerce.

seguridad-woocommerce-04

(Visita el plugin haciendo clic en la imagen ↑)

Limit Login Attempts Reloaded es un plugin de seguridad útil para limitar los intentos de inicio de sesión fallidos y prevenir los ataques de fuerza bruta en nuestro sitio web en WordPress. Ofrece personalización, registro de actividad, informes y alertas para ayudar a los administradores del sitio a mantener la seguridad del sitio web.

Esto es bueno frente a los ataques por “fuerza bruta”, en los cuales, un robot intenta entrar continuamente a tu web probando diferentes combinaciones de usuario y contraseña.

  11. Deshabilita los pingbacks y los trackbacks


Si no sabes lo que son, te recomiendo que te leas mi artículo sobre los pingbacks y los trackbacks de WordPress.

Si te lo lees, entenderás por qué es bueno deshabilitarlos como medida de seguridad.

Dichos elementos, o digamos, dichas funcionalidades de WordPress, están en desuso, y dejan puertas abiertas a posibles ataques externos a tu web.

Además, si en este caso, es WooCommerce lo que usas como elemento central de tu web, no te van a hacer falta para nada dichas funcionalidades.

  12. Usa una base de datos segura y con el prefijo cambiado


Esto también es de primero de carrera de WordPress, pero no hay que dejar de recordarlo igualmente.

seguridad-woocommerce-05

Por defecto, WordPress crea la base de datos con el prefijo wp_. Es posible cambiar el prefijo de tabla de WordPress durante la instalación, o una vez finalizada la misma.

Algunos plugins de seguridad en WordPress vienen con esta opción incorporada, aunque yo te recomiendo, si es posible, cambiarla desde el principio, cuando creas la web por primera vez (pues puede haber conflicto con alguna configuración de algún plugin que utilices).

  13. Habilita autentificación en dos pasos


Mientras llega la tecnología de loguearse a las webs de Internet con nuestros ojos, si lo que quieres es rizar el rizo con la seguridad a la hora de entrar en tu web de manera fiable (y no te conformas con un usuario y contraseña muy difíciles de adivinar), te recomiendo que uses el 2FA.

2FA (Two-factor authentification) es un método de seguridad que requiere que un usuario proporcione dos formas de identificación diferentes para acceder al sitio web. Este método es algo “relativamente” nuevo para WordPress, aunque seguro que ya te suena de algo.

Es cierto que necesita una configuración bastante avanzada (no me va a caber en este artículo), pero hay muchos tutoriales por Internet sobre cómo hacerlo.

  14. Usa una VPN para navegar


Una de las formas más seguras de protegerte es a través del uso de una VPN Premium, con la que solo tú podrás acceder a tu panel de administración de WordPress.

Con este tipo de servicio tendrás una IP privada fija y solo podrás acceder a través de ella a la administración de WordPress, dejando fuera de esta manera a cualquier Hacker que intente acceder a la administración de tu web.

seguridad-woocommerce-06

(Visita el sitio haciendo clic en la imagen ↑)

Podemos recomendarte CiberProtector, que es una red de seguridad para proteger tu conexión a internet. Esta VPN encripta todos los datos que envías o recibes al navegar, lo que los vuelve indescifrables para cualquier posible intruso. Esto te garantiza una conexión segura y de alta velocidad para trabajar con tu navegador y tus aplicaciones. De esta manera, puedes navegar de manera rápida, fácil y segura utilizando CiberProtector.

  15. Deshabilita la edición de archivos


Por último te recomiendo “decirle” a tu archivo de wp-config.php que no se pueda editar los archivos de la carpeta admin de WordPress.

Es tan fácil como añadir esta línea de código al archivo mencionado, en tu FTP, o desde el explorador de archivos de WePanel, en tu hosting.

define( ‘DISALLOW_FILE_EDIT’, true );

seguridad-woocommerce-07

  Conclusiones


Tu tienda de WooCommerce es tu templo. No te conformes con crearla (o que te la den hecha) y dejarla a expensas de la seguridad en WordPress.

Si te lías mucho con la seguridad de tu web, te recomiendo que contrates a cualquier consultor/a en WordPress para que te haga una pequeña “auditoría” de en qué estado está tu web, y te ayude (formándote o haciéndolo él o ella).

No obstante, crea una copia de seguridad de tu web, e instala dicha copia en otra instalación de WordPress.

“Juega y experimenta” en dicho entorno de desarrollo, y realiza cualquiera de las acciones mencionadas en este artículo, y ya tendrás un WooCommerce más seguro que antes.

Espero que, como siempre, hayas aprendido un poquito más de este apasionante gestor de contenidos y que te haya servido de algo el artículo.

Un abrazo y ¡nos vemos en el siguiente!

También te puede interesar:

¿Te ha resultado útil este artículo?

Black Friday 2024