La seguridad es una de las mayores preocupaciones de cualquier tienda de comercio electrónico. Al fin y al cabo, no solo tienes que proteger tu contenido, también la información de los clientes y los datos de los pedidos.
Así que, si te estás planteando crear una tienda online o si ya forma parte de tus ingresos, es hora de asegurarte de que tu negocio está totalmente protegido.
Por qué las tiendas online requieren una mayor seguridad
Cuando vendes por Internet, tienes en tus manos mucha información delicada: nombres personales, números de tarjetas de crédito, direcciones y más. Una tienda en funcionamiento recopila nueva información continuamente, por lo que hay un conjunto de datos en constante crecimiento del que eres responsable.
Al garantizar que tu web tiene una seguridad de alto nivel, podrás:
- Proteger la información personal de tus clientes de hackers y piratas, permitiendo que los clientes compren con confianza.
- Proteger tus ingresos de interrupciones y ventas perdidas.
- Conservar todos los datos detallados de las ventas con fines fiscales y legales.
- Mantener tu marca y reputación como un negocio de fiar.
- Evitar los costes de la reconstrucción de tu negocio después de un hackeo, como ventas perdidas por tiempo de inactividad, reembolsos causados por pedidos no cumplidos y gastos de reparación de la web.
Cómo identificar un hackeo
Un hackeo puede adoptar diferentes formas y es posible que ni siquiera te des cuenta inmediatamente de que tu web ha sido comprometida.
Para identificar un hackeo, busca estas señales:
- Nuevas cuentas de administrador que tú no has creado.
- Enlaces de spam a malware en comentarios, descripciones de productos o reseñas.
- Avisos inusuales o enlaces que redirigen a webs de terceros.
- Alertas de Google de que tu tienda ha sido marcada como no segura.
- Correos electrónicos de clientes extraños, imprevistos o perdidos.
- Tiempos de carga muy lentos o errores de tiempo de espera.
La mayoría de los empresarios están demasiado ocupados trabajando en inventario, marketing o pedidos como para estar constantemente monitorizando problemas o hackeos. Por eso, lo primero de lo que te tienes que ocupar es de la monitorización del tiempo de inactividad, que sirve para comprobar automáticamente que tu web está funcionando correctamente y avisarte si no lo está. Esto te permite tomar medidas inmediatamente para reparar y restaurar tu tienda.
También te puede resultar útil Jetpack Scan, que es un excelente plugin para detectar malware que analiza automáticamente tu tienda en busca de hackeos para que no tengas que preocuparte por nada. Recibirás un aviso si encuentra alguna amenaza e incluso puedes reparar la mayoría de las amenazas conocidas con solo un clic.
Seguridad en WooCommerce: 15 pasos para proteger tu tienda
Siempre es mejor evitar los hackeos antes de que ocurran. Si puedes responder «sí» a las siguientes preguntas, ¡has empezado con buen pie!
1. ¿Tu alojamiento es fiable y seguro?
Tu proveedor de alojamiento es la primera línea de defensa contra los ataques. Si no tienen las medidas de seguridad adecuadas, tus archivos y base de datos podrían ser vulnerables, incluso si haces bien todo lo demás.
Al elegir un alojamiento, busca uno que tenga:
- Firewall incorporado. Un firewall controla quién puede acceder a tu servidor y quién no, manteniendo a hackers y bots bien lejos de los archivos de tu web.
- Análisis de seguridad. Muchos alojamientos analizan regularmente todos los sitios de su servidor y te informan si descubren algo sospechoso, como malware. Algunos incluso solucionan esos problemas por ti, normalmente por una tarifa adicional.
- Copias de seguridad. Aunque también debes hacer tus propias copias de seguridad (hablaremos sobre esto más adelante), siempre es buena idea tener varias copias de tu web. Muchas empresas de alojamiento incluyen copias de seguridad en sus planes, mientras que otras las ofrecen como una mejora de pago.
- Un buen servicio de atención al cliente. Si te encuentras con un problema, quieres tener a tu disposición un equipo de expertos que te ayude a solucionarlo. Asegúrate de que tu alojamiento tenga un equipo de atención al cliente de calidad al que puedas acceder por el método más cómodo para ti (chat, teléfono, etc.)
- Una buena reputación. Échales un vistazo a las reseñas de clientes reales y lee sobre sus experiencias con la empresa. Esta es la forma más fiable de conocer a un proveedor de alojamiento.
¿No tienes claro por dónde empezar? WooCommerce tiene una lista de empresas de alojamiento recomendadas que han sido minuciosamente evaluadas.
2. ¿Tienes un certificado SSL?
Un certificado SSL (Secure Socket Layer) cifra la información enviada por tus clientes a tu web y autentica la identidad de tu sitio. Esto funciona como protección crítica para información como datos de tarjetas de crédito y direcciones. Google también lo tiene en cuenta al determinar las clasificaciones en los motores de búsqueda.
La mayoría de los proveedores ofrecen certificados SSL de forma gratuita, aunque algunos cobran una tarifa relativamente baja.
3. ¿Utilizas versiones seguras de temas y plugins?
Los plugins y temas nulled son versiones pirata de plugins y temas premium que se ofrecen de forma gratuita o a un precio bajo. No solo no tienen soporte, sino que tampoco se actualizan, por lo que pueden entrar en conflicto con WordPress u otros plugins. Y, lo que es más preocupante, suelen estar llenos de malware que puede comprometer tu web y los datos de tus clientes.
Descarga siempre plugins y temas de fuentes fiables, como el repositorio de WordPress o el marketplace de WooCommerce.
4. ¿Está todo actualizado en tu web de WordPress?
Las actualizaciones de WordPress, temas y plugins no siempre incluyen nuevas funcionalidades; a veces sirven para solucionar errores y vulnerabilidades que los hackers pueden aprovechar. Actualiza siempre que haya disponible una actualización para proteger tu web de WordPress y evitar conflictos.
¿No te apetece estar pendiente de las actualizaciones? Jetpack tiene una opción para automatizar este proceso.
5. ¿Estás utilizando la última versión de PHP?
La mayor parte del núcleo de WordPress está escrito en PHP, un lenguaje de programación. Debes actualizar la versión de PHP que utiliza tu web por la misma razón por la que debes actualizar temas y plugins: para protegerte contra errores y vulnerabilidades.
Puedes actualizar la versión de PHP en la configuración de tu alojamiento o pedirle a tu proveedor que se encargue de esto por ti. Estos son los últimos requisitos que necesita WordPress.
6. ¿Has revisado los permisos de tus usuarios?
A cada usuario de WordPress se le asigna un perfil, que incluye un conjunto de capacidades que les permite realizar ciertas tareas en tu web. Los administradores tienen acceso completo a todo y pueden realizar los cambios que quieran; como propietario de la tienda, este debería ser tu perfil. En cambio, los clientes no tienen acceso al back-end de tu web, pero pueden editar la información de su cuenta y ver pedidos actuales y anteriores. Consulta nuestra guía sobre los perfiles de usuario de WordPress (en inglés).
De vez en cuando, revisa y organiza tus cuentas de usuario. Cada usuario debe tener única y exclusivamente los permisos mínimos necesarios para realizar su trabajo y, si ya no trabajas con alguien, asegúrate de eliminar su cuenta. Por ejemplo, si trabajaste con una agencia de desarrollo web para crear tu web y el proyecto ya está terminado, seguramente quieras eliminar su cuenta, a menos que se necesiten actualizaciones constantes en el futuro.
7. ¿Estás utilizando un nombre de usuario y una contraseña seguros?
Los hackers suelen utilizar bots para probar miles de combinaciones diferentes de nombres de usuario y contraseñas hasta encontrar la correcta (esto se llama ataque de fuerza bruta). Cuanto más fácil sea adivinar tu contraseña, más probable es que un hacker pueda acceder a tu tienda.
Una buena contraseña tiene una letra mayúscula, una letra minúscula, un número y un símbolo, y tiene al menos 20 caracteres de longitud. Asegúrate de que, como mínimo, cada usuario administrador usa este tipo de contraseña.
En cuanto a los nombres de usuario, evita títulos básicos como «Administrador» o «Admin»: crea un nombre de usuario específico para cada persona.
8. ¿Te has planteado cambiar la URL de inicio de sesión?
De forma predeterminada, se puede acceder a cada página de inicio de sesión de WordPress con tu URL /wp-admin. Si quieres añadir más medidas de seguridad, quizá te interese cambiar la URL para dificultar que los piratas puedan adivinarla. Puedes hacerlo editando el archivo .htaccess o, si no te sientes cómodo editando el código, utilizando un plugin como WP Hide Login.
9. ¿Has activado la autenticación de dos factores de los administradores?
La autenticación de dos factores añade una capa adicional de seguridad a tu página de inicio de sesión. Para iniciar sesión, no solo debes saber algo (un nombre de usuario y una contraseña), también debes poseer físicamente algo (tu dispositivo móvil). Esto hace que sea mucho menos probable que un hacker pueda acceder a tu tienda.
Con Jetpack es muy fácil activar la autenticación de dos factores. Cuando inicias sesión en tu web, recibirás un código especial de un solo uso en tu móvil que tendrás que introducir para completar el proceso de inicio de sesión. Incluso puedes establecer como obligatorio que todos los usuarios lo activen. Más información sobre la autenticación de dos factores.
10. ¿Estás bloqueando los ataques de fuerza bruta?
Como te contábamos antes, los ataques de fuerza bruta ocurren cuando los hackers utilizan bots para probar combinaciones de nombres de usuario y contraseñas una y otra vez hasta encontrar la correcta. Esto no solo pone en riesgo tu tienda y los datos de tus clientes, sino que también puede ralentizar tu web. Por lo tanto, es importante prevenir eficientemente los ataques de fuerza bruta.
Jetpack bloquea automáticamente estos ataques antes de que lleguen a tu web, así que no tienes que preocuparte por nada.
11. ¿Estás bloqueando a los piratas de visitar tu web con un firewall de aplicaciones web (WAF)?
Se recomienda encarecidamente un firewall de aplicaciones web (WAF) como primera línea de defensa en cualquier tienda online. Los WAF analizan todo el tráfico que entra y deciden si lo permiten o lo bloquean según diversas reglas. Esto añade una capa más de protección a tu web, especialmente cuando los piratas aprovechan activamente vulnerabilidades sin parchear.
Un buen WAF de WordPress debe ser actualizado frecuentemente con nuevas reglas por parte de expertos en seguridad de WordPress a medida que se conocen nuevos exploits y vulnerabilidades. El firewall de Jetpack, que está incluido en Jetpack Scan y en los paquetes Security y Complete de Jetpack, protege tu web las 24 horas del día y es actualizado constantemente por los mejores expertos en seguridad de WordPress del sector.
12. ¿Estás analizando tu web en busca de malware?
¿Qué pasa si alguien accede a tu web e inyecta malware? Seguramente quieras saberlo de inmediato para poder eliminar ese malware y solucionar el problema lo antes posible. Pero los hackers son muy listos, y no siempre te das cuenta inmediatamente de que se han colado.
Jetpack Scan te avisa de cualquier actividad sospechosa de inmediato y, como el análisis se realiza en los servidores de Jetpack, puedes acceder a tu web incluso si está caída. También ofrece reparaciones con un solo clic de la mayoría de las amenazas conocidas.
13. ¿Tienes configurado un filtro de spam?
Los comentarios de spam no solo son molestos, también te hacen parecer poco profesional y pueden contener enlaces que lleven a tus clientes a webs repletas de malware. Pero revisar cientos de comentarios a la semana es un poco frustrante y lleva mucho tiempo.
¡Pero aquí es donde llega Jetpack Anti-spam al rescate! Elimina automáticamente el spam de los comentarios y formularios, así que ni siquiera tendrás que verlo. Ahorrarás tiempo, protegerás tu web y brindarás una mejor experiencia de usuario, todo al mismo tiempo.
14. ¿Estás monitorizando el tiempo de inactividad de tu web?
Si tu web está inactiva, podría ser una señal de hackeo. Y cuanto más tiempo esté inactiva, más ventas perderás. ¡Te interesa que vuelva a funcionar lo antes posible!
Jetpack ofrece monitorización gratuita del tiempo de inactividad que comprueba tu web desde ubicaciones de todo el mundo cada cinco minutos. Si tu web está inactiva, recibirás una notificación instantánea para que puedas solucionar el problema de inmediato.
15. ¿Haces copias de seguridad regulares fuera de la web?
Si algo le pasa a tu web, la mejor protección que puedes tener es una copia de seguridad completa que puedas restaurar de manera rápida y sencilla. Incluso si tu alojamiento ofrece copias de seguridad, es importante que también hagas las tuyas propias. ¿Por qué? Porque si tu servidor se ve comprometido, es posible que las copias de seguridad almacenadas allí también estén comprometidas.
Jetpack Backup es la solución ideal para tu tienda de WooCommerce, ya que todos los planes incluyen copias de seguridad en tiempo real:
- Las copias de seguridad en tiempo real guardan una copia de tu sitio cada vez que actualizas una página, publicas una nueva entrada o realizas una venta. Son especialmente útiles para las tiendas online, porque así nunca tendrás que preocuparte por perder información de los pedidos.
Jetpack almacena los archivos de copia de seguridad en varias ubicaciones, completamente separados de tu web. Esto significa que si tu servidor se ve comprometido, tus copias de seguridad no lo estarán. Y en la mayoría de los casos, ¡puedes restaurar una copia de seguridad incluso si tu web está completamente inactiva!
Cómo recuperarte si sucede lo peor
Si tu tienda online tiene malware y tienes Jetpack Security, recibirás una notificación para que puedas solucionar el problema cuanto antes. El primer paso debería ser comprobar el registro de actividad, donde puedes ver una lista completa de todo lo sucedido en tu sitio. Puedes utilizar esta información para buscar actividad sospechosa como inicios de sesión desconocidos y páginas editadas y poder determinar el momento en que ocurrió el hackeo.
Después, la forma más rápida de recuperarte es con Jetpack Backup. En solo un par de clics, tu web puede volver a funcionar con un tiempo de inactividad mínimo. Todo lo que tienes que hacer es seleccionar una copia de seguridad anterior al hackeo y esperar a que se restaure. ¡Sí, eso es todo!
Una vez que una versión limpia de tu tienda esté en funcionamiento, utiliza Jetpack Scan para asegurarte de que no haya más malware en tu web. Jetpack resuelve la mayoría de las amenazas conocidas por ti, por lo que si se encuentra algo, es probable que ni siquiera tengas que preocuparte por buscar una solución.
Finalmente, tómate el tiempo necesario para proteger tu web cambiando todas las contraseñas y comprobando que los temas, plugins y archivos principales estén actualizados.
¿Necesitas ayuda? Jetpack Security incluye un servicio de atención al cliente prioritario de un equipo técnico experimentado que puede orientarte en la dirección correcta.
Protege tu tienda de WooCommerce
Dedicar tiempo a blindar tu tienda de WooCommerce garantiza que tus clientes puedan comprar con confianza y que no tengas que preocuparte por tus datos o reputación.
Y una de las mejores formas de hacerlo es combinando Jetpack Security y WooCommerce, ¡no cabe duda! Son dos plugins de WordPress ya establecidos y respetados que funcionan en perfecta sincronía para proteger tu web y añadirle más funciones. Juntos, significan menos variables, menos plugins externos y una mayor tranquilidad para ti como empresario.
Preguntas frecuentes
¿Puede ser hackeada una web de WooCommerce?
Sí, al igual que cualquier web, una tienda de WooCommerce puede ser hackeada. Sin embargo, WordPress y WooCommerce incluyen funciones que te ayudarán a proteger tu contenido y los datos de tus clientes. Y si aplicas algunas medidas básicas de seguridad, como elegir un buen alojamiento, mantener todo actualizado e instalar el mejor plugin de seguridad, puedes despreocuparte sabiendo que tu web está en buenas manos.
¿Necesitas SSL para una web de WooCommerce?
Un certificado SSL cifra la información (como los datos de tarjetas de crédito y direcciones) que se envía a tu web, protegiéndola de los malhechores. Si un hacker accede a esta información, podría poner en riesgo legal tu negocio y dañar su reputación. Y no solo te protege a ti y a tus clientes, también es importante para el posicionamiento en los motores de búsqueda.
Aunque se recomienda un certificado SSL para cualquier web, es aún más importante para las tiendas online debido al tipo de datos que recopilan para procesar las transacciones.
¿Cuál es el mejor certificado SSL para webs de WooCommerce?
La mayoría de los principales alojamientos incluyen un certificado SSL gratuito en sus planes, mientras que otros los ofrecen por un coste extra. Por lo general, se instalan fácilmente en un par de clics.
Sin embargo, si tu alojamiento no lo ofrece, te recomendamos Let’s Encrypt. Es un servicio fiable que ofrece certificados SSL gratuitos para conseguir una Web más segura. Nota: muchos de los certificados SSL incluidos en los planes de alojamiento provienen de Let’s Encrypt.
Consulta más información sobre cómo instalar un certificado SSL en tu tienda de WooCommerce (en inglés).
¿Cómo forzar HTTPS en una web de WooCommerce?
Al añadir correctamente un certificado SSL a tu tienda, cambia tu URL de http://ejemplo.com a https://ejemplo.com. La «s» en «https» significa SSL.
Cuando fuerzas HTTPS en tu tienda, un visitante que escriba la versión «http» de tu web será redirigido automáticamente a la versión «https». Así se garantiza que todo esté cifrado correctamente para cada comprador.
Puedes forzar HTTPS añadiendo unas líneas de código en el archivo .htaccess o utilizando un plugin de WordPress. Kinsta ofrece una excelente guía para hacerlo.
¿Es WooCommerce más seguro que Shopify?
Shopify es una plataforma alojada que se encarga de la seguridad por ti. Aunque esto tiene sus beneficios, ya que no tienes que preocuparte por aplicar ninguna medida de seguridad, también significa que no tienes prácticamente ningún control sobre tu propia protección.
Además, tampoco significa que Shopify sea más seguro. Los hackers y los bots no discriminan. Solo van probando web tras web hasta encontrar una a la que puedan acceder. Así que, si implementas las medidas de seguridad adecuadas, tu tienda será igual de segura, y en muchos casos, incluso más segura que otras en otra plataforma.
También es importante tener en cuenta que tanto WordPress como WooCommerce tienen detrás a un equipo que se desvive por ayudarte a tener éxito. Trabajan constantemente para mantener segura la plataforma, y por eso es tan importante actualizar regularmente tu software.
Esta guía de WooCommerce hace una comparativa más detallada con Shopify.
Jetpack por WordPress.com 