11 consejos para mejorar la seguridad de tu WoooCommerce

11 trucos infalibles para que tu tienda online sea segura y tus clientes puedan confiar en tu negocio digital

Hoy es 11 de febrero y se celebra el Día de Internet Seguro, y ¿qué mejor forma para celebrarlo que asegurándonos de que nuestra tienda online está segura?

Es por ello que vamos a repasar 10 puntos clave para hacer que WooCommerce esté optimizado y seguro ante ataques y hackers. ¡Vamos allá!

1. Passwords seguros

Una de las formas más utilizadas para hackear una tienda online es a través de un ataque de fuerza bruta, con diccionarios de los passwords más utilizados. Así pues, nos aseguraremos de que tanto el usuario administrador como el gestor de la tienda, tienen contraseñas de más de 8 caracteres, con mezcla de mayúsculas, minúsculas y símbolos.

Además, en el caso de las tiendas online también es muy buena práctica obligar a tener passwords seguros a los clientes, para evitar que alguien entre en su cuenta y realice compras con sus datos de pago. Para asegurarnos, podemos hacer que WooCommerce la cree automáticamente en "WooCommerce / Ajustes / Cuentas y privacidad" y marcar la casilla de "Al crear una cuenta, crea automáticamente una contraseña para la cuenta" en el
apartado "Creación de cuenta".

2. Usuario administrador seguro

Una sencilla pero buena práctica es no llamar "admin" al administrador de la web, ni tampoco usar el mismo nombre del dominio, pues esos usuarios son los primeros que los bots de malware intentan hackear.

Si el usuario ya tiene uno de esos nombres, se puede crear un nuevo usuario con un nombre más difícil de saber, y borrar el otro, pasando toda su información al recién creado; o bien rebajar su rol a "usuario" en lugar de administrador. De esta forma, aunque llegaran a acceder al usuario, no se podría hacer nada en el panel de control.

3. Cerrar el panel de control a cualquier usuario que no sea administrador

El panel de control debería ser solo para los administradores, ya que puede ser un punto débil en la seguridad de WordPress. Es por ello que deberíamos cerrar el acceso, de forma que los clientes de la tienda no puedan entrar.

Para ello, se puede hacer uso del plugin gratuito Remove Dashboard Access, en el que se puede establecer qué nivel de usuario puede acceder al panel de control. En el caso de WooCommerce serían el administrador y el gestor de la tienda.

4. Plugins de seguridad

Tenemos la gran suerte de que WooCommerce funciona bajo WordPress, y esto da la posibilidad de usar plugins de seguridad que se encargan de múltiples pequeñas tareas para evitar ataques y avisarnos de vulnerabilidades.

El plugin Wordfence Security es una opción gratuita muy interesante que permite evitar excesos de intentos de login y, además, hace un escaneo periódico de los archivos y bases de datos en busca de malware o inyecciones de código malicioso.

5. Cifrado seguro

Prácticamente es una obligación que la tienda esté alojada en un entorno encriptado seguro (HTTPS) con SSL. Esto hace que los datos que enviamos y recibimos de la web (pedidos, datos de tarjeta, información personal...) estén cifrados, de forma que si alguien los consiguiera interferir, no podría leerlos por su codificación.

Si bien es cierto que antes era una funcionalidad de pago, hoy en día disponemos de Let’s Encrypt, que podemos configurar fácilmente y de forma gratuita en la mayoría de hostings. También hay que tener en cuenta que, sin este requisito, no podremos usar ciertas pasarelas de pago como Stripe o Apple Pay, con lo que es muy importante disponer de él.

6. Actualizaciones

Es esencial tener siempre actualizado WordPress, WooCommerce y sus plugins a la última versión, especialmente si se trata de actualizaciones de seguridad crítica; pues al tratarse de código abierto y público, cualquier vulnerabilidad estará expuesta públicamente y se podría hacer uso de ella.

Así pues, deberíamos tener las actualizaciones menores y de seguridad automatizadas, de forma que siempre estemos al día. En cuanto a las actualizaciones mayores, que incorporan novedades, podemos dejar pasar unos días para asegurarnos que no hay bugs que puedan afectar al correcto funcionamiento de la tienda online, o primero hacer uso de una funcionalidad de staging.

7. Desactivar la edición de themes y plugins

Por defecto, WordPress permite modificar plugins y themes desde el panel de control; algo muy peligroso tanto por si alguien se puede colar en él, como por si tocamos algo que no debiéramos y la web queda fuera de funcionamiento.

Para desactivar esta opción solo hay que introducir el siguiente código en el plugin de funcionalidades o en el theme, en el archivo functions.php:
define( ‘DISALLOW_FILE_EDIT’, true );

De esta forma desaparecerá la opción de edición y sólo se podrá realizar a través de software de FTP como FileZilla o Coda, una forma de trabajar mucho más estable y segura.

8. Desactivar Pingbacks y Trackbacks

WordPress tiene una funcionalidad de pingbacks y trackbacks que, si bien en su momento era bastante interesante para blogs, hoy en día tiene poco uso, y es un punto débil en cuanto a posibles vulnerabilidades para evitar ataques DDoS y envíos masivos de SPAM en forma de pingbacks.

Para ello habría que colocar este código en el archivo .htaccess:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

De esta forma se evita cualquier llamada al archivo xmlrpc.php, que es el que gestiona los avisos de enlaces entrantes y salientes, o cualquier otro tipo de acceso no deseado.

9. Staging

El staging es la técnica de tener un clon de la tienda online para hacer pruebas, de forma que antes de cualquier actualización mayor o modificación de código, se puede probar primero en un entorno controlado o "sandbox", para asegurarnos que todo funciona correctamente.

Para ello podemos contratar un hosting que incorpore este servicio, o hacerlo con un plugin de terceros como WP Staging, que permite crear webs en staging ya sea para hacer pruebas antes de hacerlo en la web real, o para luego pasarlo a producción directamente.

10. Copias de seguridad

Y, finalmente, por si todo lo anterior falla, debemos tener un plan B que nos permita recuperar nuestros datos. Es por ello que deberíamos siempre (especialmente en el caso de una tienda online) tener copia de seguridad, para restaurar una versión anterior al hackeo.

Debemos asegurarnos de tener, como mínimo, dos copias de seguridad: una de ellas la del hosting en el que hospedamos nuestra tienda, y otra con una aplicación de terceros.

Revisemos, pues, que nuestra empresa de hospedaje tiene copia de seguridad tanto de los archivos como de la base de datos, y que esté activa, pues no sería la primera vez que descubrimos que no era así hasta que ocurre la desgracia...

En segundo lugar, es recomendable tener una copia hecha por nosotros mismos. Existen varios plugins para ello – siendo UpdraftPlus una opción gratuita de las más utilizadas–.

11. Compras seguras, ventas seguras

Así pues, celebremos este día tan especial no solo comprando online de forma segura, sino también vendiendo del mismo modo.

Tanto si somos consumidores como si vendemos nuestros productos, estoy seguro que agradeceréis que todo el mundo aplique los consejos mencionados en este artículo :)

¡Feliz Día de Internet Seguro!

Artículo redactado por Joan Boluda, consultor de marketing online que imparte en Domestika los cursos Creación de una tienda online en WordPress y Creación de membership sites con WordPress, en los que te enseña la sacar todo el partido posible a esta herramienta.

También te puede interesar:

- ¿Cuáles son las diferencias entre WordPress.org y WordPress.com?
- ¿Qué es el marketing digital?
- 10 errores a evitar al crear tu primera campaña en Google Ads.