¿Quiere proteger su tienda WooCommerce más allá de las medidas de seguridad regulares de WordPress?

Tienes razón en hacerlo. La seguridad de WooCommerce es un juego de pelota diferente, ya que manejará datos confidenciales como pagos e información personal del usuario.

Las tiendas en línea son un objetivo lucrativo para los piratas informáticos y, dado que la mayoría de los propietarios de negocios no se toman la seguridad en serio, también se convierten en un objetivo fácil. Lo que es aún más preocupante es que el 60 % de las empresas en línea que se enfrentan a una filtración de datos cierran en un plazo de 6 meses.

Una vez pirateado, es un camino difícil y costoso hacia la recuperación. Entonces, la mejor manera de avanzar es estar preparado con medidas preventivas y proactivas.

En esta guía, le mostraremos cómo proteger su sitio web de WooCommerce desde todos los lados para que los piratas informáticos no tengan ninguna posibilidad de entrar.

¿Es seguro WooCommerce?

Sí, WooCommerce es una plataforma segura para tiendas de comercio electrónico. Tiene muchas medidas de seguridad integradas para mantener su sitio web y sus datos seguros. El complemento también está respaldado por un equipo de expertos y se mantiene regularmente para garantizar que cumpla con los estándares de seguridad en constante avance.

Sin embargo, no puede protegerlo contra amenazas de seguridad externas, como vulnerabilidades en temas y complementos de terceros, ataques de fuerza bruta y ataques DDoS. Deberá tomar medidas por su cuenta para proteger su sitio contra estos riesgos.

Por qué la seguridad de WooCommerce es tan importante

Todos los sitios web enfrentan amenazas cibernéticas y el riesgo de ser pirateados. Y todos los sitios web deben tomar amplias medidas de seguridad para proteger su sitio web.

Dicho esto, hay una lista de razones por las que las tiendas WooCommerce corren un mayor riesgo.

  • Manejo de datos confidenciales del usuario: los clientes comparten información de pago, detalles de tarjetas de crédito, direcciones de envío y detalles personales que debe mantener confidenciales. Si esta información es robada, puede venderse en el mercado negro y sus clientes pueden ser víctimas de spam y estafas de marketing.
  • Datos comerciales críticos: a medida que cobra los pagos de los productos, no puede permitirse que se borre o se pierda la información del pedido, como los artículos, el envío y los detalles de contacto. Los clientes pueden etiquetarlo como un fraude si acepta pagos y no los entrega.
  • Riesgo de fraude y estafas: los piratas informáticos podrían secuestrar su sitio y vender productos fraudulentos, desviar su tráfico y engañar a los clientes.

Los clientes esperan que implemente las medidas de seguridad adecuadas. Cuando las empresas se enfrentan a una filtración de datos, pierden toda la confianza que generaron con sus clientes.

Al final, puede perder clientes, su reputación y su negocio. Con tanto en juego, idealmente la seguridad debería ser una prioridad máxima.

Ahora que sabe lo importante que es la seguridad de WooCommerce, profundicemos en los pasos que debe seguir para asegurarse de que su sitio de comercio electrónico sea seguro.

¿Cómo hago que mi sitio de WooCommerce sea seguro?

Las amenazas cibernéticas están en constante evolución y los piratas informáticos están encontrando nuevas formas de ingresar rápidamente a los sitios web. Así que las medidas de seguridad tradicionales ya no son suficientes.

A continuación, detallamos cómo implementar estas medidas. También te contamos a qué debes prestar especial atención para la seguridad de WooCommerce.

1. Utilice un host de buena reputación

Su proveedor de alojamiento web es el primer lugar para comenzar porque es donde se almacenan los archivos y la base de datos de su sitio web.

Sin la seguridad de alojamiento adecuada, todo su sitio web podría estar expuesto a piratas informáticos y al ojo público.

Si bien un plan de alojamiento económico le permite ahorrar unos cuantos centavos, simplemente no vale la pena. Idealmente, desea un proveedor de alojamiento web que se ocupe de la seguridad, la funcionalidad y las necesidades de alojamiento que son específicas de WooCommerce.

Bluehost es la mejor empresa de alojamiento web y también es recomendada oficialmente por WordPress.org.

planes de bluehost woocommerce

Bluehost ofrece planes de alojamiento diseñados para tiendas WooCommerce. Sus planes de WooCommerce comienzan en solo $ 9.95 por mes. También obtendrá un nombre de dominio y un certificado SSL gratuitos. Sumado a eso, con este plan, obtienes:

  • WordPress y WooCommerce preinstalados
  • Tema Storefont preinstalado
  • Tienda online totalmente personalizable
  • Pasarelas de pago seguras
  • CDN de aumento de velocidad gratuito
  • Escaneo diario automático de malware
  • Copia de seguridad diaria gratuita del sitio web
  • Monitoreo del tiempo de inactividad
  • Análisis de tráfico del sitio web

Con el plan Bluehost WooCommerce, se cuida gran parte de su seguridad.

Además, obtendrá suficiente ancho de banda y espacio de almacenamiento para ejecutar su tienda WooCommerce sin contratiempos.

Para obtener más información sobre el alojamiento de WooCommerce, consulte nuestro resumen de los mejores planes de alojamiento de WooCommerce para comparar lo que está disponible en el mercado.

2. Active las herramientas de seguridad esenciales

Los piratas informáticos están constantemente al acecho tratando de piratear sitios web. Lo hacen programando escáneres y bots maliciosos para encontrar sitios vulnerables.

La mejor manera de combatir esto es mediante el uso de herramientas de seguridad con escaneo de malware, firewalls y encriptación de datos.

1. Use un complemento de seguridad de WordPress

Para empezar, deberá activar un complemento de seguridad en su sitio. Estos complementos generalmente combinan un firewall, un escáner de malware y un limpiador de malware.

Hay muchos complementos de seguridad, pero no todos le brindan la protección que necesita. Necesita un complemento que analice, supervise y bloquee automáticamente las posibles amenazas antes de que puedan acceder a su sitio.

El principal complemento de seguridad de WooCommerce en el mercado es Sucuri .

jugos de tablero

Una vez que agregue este complemento de seguridad todo en uno a su sitio, Sucuri:

  • Agregue un firewall robusto para filtrar el tráfico malo
  • Escanee y controle periódicamente en busca de spam y código malicioso
  • Verifique las listas negras con los motores de búsqueda y otras autoridades
  • Supervisar el tiempo de actividad del sitio web
  • Detectar cambios realizados en DNS (sistema de nombres de dominio) y SSL
  • Enviarle alertas de seguridad instantáneas por correo electrónico, SMS, Slack y RSS

Con Sucuri, también puede agregar medidas de seguridad recomendadas desde su tablero.

aplicar y revertir el endurecimiento

Puede aplicar estas medidas de endurecimiento con un solo clic. Esto incluye pasos técnicos como bloquear archivos PHP en directorios donde no es necesario que estén.

Sucuri le brinda una sólida configuración de seguridad, pero tiene un alto precio de $ 199.99 por año. Si eso está fuera de su presupuesto, puede probar otros complementos de seguridad como:

  1. iThemes Security
  2. BulletProof Security
  3. SiteLock
  4. MalCare

Al seleccionar un complemento de seguridad, asegúrese de que le brinde todas las funciones que necesita para proteger su tienda WooCommerce. La inversión vale la pena porque la limpieza y recuperación de malware será mucho más costosa.

2. Instalar certificado SSL

Su sitio web de WordPress transfiere datos entre navegadores y servidores cada vez que un visitante ingresa a su sitio. Un certificado SSL encriptará estos datos para que si los piratas informáticos logran robar los datos mientras están en tránsito, no puedan hacer nada con ellos porque parecerá un galimatías.

Cuando active SSL, verá un candado junto a su URL en la barra de direcciones del navegador. Su sitio web también utilizará HTTPS, que es un protocolo seguro para transferir datos.

Algunos proveedores de alojamiento web se encargarán de SSL por usted o le permitirán comprarlo a un costo razonable.

También puede obtener certificados SSL de proveedores como:

  • Lets Encrypt  : certificados gratuitos y económicos
  • SSL.com  : amplia protección desde $ 36.75 por año
  • DigiCert  – Certificados de alta seguridad a una amplia gama de precios

Otra buena opción es utilizar el plugin Really Simple SSL . Hace que sea increíblemente fácil instalar un certificado SSL por su cuenta.

3. Proteger el inicio de sesión de WooCommerce

Una de las áreas más específicas de su sitio WooCommerce es su página de inicio de sesión. Los piratas informáticos utilizan un método llamado ataques de fuerza bruta para adivinar sus credenciales y simplemente iniciar sesión.

Así que esta es una de las áreas más importantes para asegurar y hay muchas maneras de hacerlo.

1. Hacer cumplir las credenciales seguras en todo momento: los piratas informáticos conocen muy bien los nombres de usuario comunes como 'admin' o su propio nombre, lo que les facilita adivinarlo. Asegúrese de utilizar un nombre de administrador único y una contraseña segura con letras, números y símbolos que dificulten su descifrado.

contraseña segura

Cuando cree su contraseña, WordPress mostrará una advertencia de contraseñas débiles. Puede seguir el nivel de seguridad para asegurarse de crear una contraseña segura.

2. Las contraseñas caducan regularmente: con cualquier cuenta en línea, debe cambiar su contraseña regularmente. Puede usar un complemento como Expire User Passwords .


ejemplo de contraseña caducada

Obligará automáticamente a todos los usuarios de su sitio a cambiar las contraseñas periódicamente antes de que puedan volver a iniciar sesión.

Limitar intentos de inicio de sesión: puede limitar la cantidad de intentos que un usuario tiene para ingresar las credenciales correctas e iniciar sesión. Esto significa que los piratas informáticos solo obtendrán 3 intentos antes de tener que seguir adelante.

Contraseña perdida en WordPress

3. Use la autenticación de 2 factores: esto agrega un proceso de verificación de 2 pasos a su inicio de sesión en el que debe proporcionar un código de acceso único que se le envía en tiempo real a través de un SMS, correo electrónico o aplicación de autenticación.

2fa-código-jugos

Esto hace que sea extremadamente difícil para los piratas informáticos obtener acceso porque no podrán verificarse a sí mismos.

4. Restringir el acceso a la página de inicio de sesión: puede ocultar su página de inicio de sesión y permitir que solo los usuarios de confianza accedan a ella. Todos los demás usuarios serán bloqueados automáticamente para que no puedan ver esta página.

Si está utilizando Sucuri, en la pestaña Control de acceso de su tablero, puede agregar direcciones IP en la lista blanca.

lista blanca en jugos

Al marcar esta casilla, Sucuri permitirá automáticamente que solo sus usuarios de confianza accedan a la página de inicio de sesión.

5. Agregar autenticación HTTP: la autenticación HTTP oculta su página de inicio de sesión y muestra una página en blanco con un cuadro de inicio de sesión encima. Un usuario deberá ingresar las credenciales HTTP primero para acceder a la página de inicio de sesión.


autenticación http

Para agregar esto a su sitio, inicie sesión en su cuenta de alojamiento web, acceda a cPanel y busque 'Privacidad de directorio' .

Privacidad del directorio

Dentro, desde la lista de carpetas, ubique la carpeta wp-admin y edítela.

editar la privacidad de wpadmin

En la página siguiente, primero, habilite la opción 'Proteger este directorio con contraseña' . Ahora cPanel le pedirá que agregue un nombre de usuario y una contraseña.

añadir contraseña al directorio

Asegúrese de guardar su configuración antes de salir de esta página. Ahora su directorio de administración de WordPress está protegido con contraseña.

Cuando abra su página de wp-admin, verá un aviso de inicio de sesión para ingresar el nombre de usuario y la contraseña que acaba de crear.

4. Tablero seguro de WooCommerce

Ahora, si un pirata informático persistente aún puede iniciar sesión en su panel de administración de WordPress, puede dificultarles hacer algo con él.

Si realizan alguna actividad sospechosa, su complemento de seguridad lo registrará y lo alertará. Aparte de eso, puede agregar estas medidas:

1. Aplicar permisos de función de usuario

Si tiene varios usuarios trabajando en su sitio de WordPress, puede limitar los permisos que tienen según su función.

Si un pirata informático logra secuestrar la cuenta de un miembro de su equipo, estará limitado en lo que puede hacer.

WordPress te permite crear roles para:

  • Superadministrador
  • Administrador
  • Editor
  • Autor
  • Contribuyente
  • Abonado

Los roles más poderosos con pases de acceso total son superadministrador y administrador. Recomendamos tener la menor cantidad posible de administradores.

2. Usuarios inactivos de cierre de sesión automático

Otro truco que usan los piratas informáticos es secuestrar sesiones de navegación y robar cookies. Esto les permite acceder a su sitio a través de una cuenta de usuario activa sin que usted lo sepa.

La mejor manera de evitar esto es cerrar periódicamente la sesión de los usuarios inactivos.

Muchos complementos de seguridad tienen una función de cierre de sesión inactivo o puede usar el complemento de cierre de sesión inactivo .

3. Deshabilitar complemento y editor de temas

Si un pirata informático ha irrumpido en su sitio, utiliza el complemento y el editor de temas para acceder directamente al código de su sitio web.

deshabilitar el editor de complementos

En la mayoría de los casos, no necesita este editor, por lo que simplemente puede desactivarlo. Si está utilizando Sucuri, puede agregar esta medida con solo un clic en las medidas de Fortalecimiento de WordPress.

5. Utilice formularios de pago seguro

Cuando se envía un formulario en su sitio, los datos del cliente se envían a su base de datos MySQL para su procesamiento. Si su formulario no es seguro, un pirata informático puede ingresar un código malicioso en su campo de formulario. Esto luego se infiltrará en su base de datos y su sitio se infectará con malware.

Puede asegurarse de que esto no suceda utilizando formularios web que son seguros. WPForms es el creador de formularios de WordPress n.º 1 que tiene seguridad integrada para cada formulario que crea.

protección antispam en WPForms

Ya sea un formulario de contacto o de pago, la protección antispam ya está habilitada.

Y si desea agregar capas adicionales de protección, WPForms le permite habilitar CAPTCHA en sus formularios.

NoCaptcha avanzado y Captcha invisible

Un usuario tendrá que resolver un pequeño rompecabezas o marcar una casilla para demostrar que es humano. Esto puede impedir que los bots envíen su formulario.

6. Administrar temas y complementos de WooCommerce

Los complementos y los temas son creados por desarrolladores externos, por lo que es importante que use solo software confiable. Como propietario de una tienda en línea, nunca debe optar por complementos y temas anulados. Casi siempre vienen con malware preinstalado que infectará su sitio en el momento en que los instale.

Además de eso, los complementos, los temas e incluso la instalación principal de WordPress se actualizan regularmente. Los verá dentro de su tablero de WordPress cuando estén disponibles:

actualizaciones en wordpress

Las actualizaciones suelen incluir correcciones de errores, nuevas funciones y mejoras en el software. Pero hay momentos en que los desarrolladores encuentran vulnerabilidades y problemas de seguridad. Los arreglan y lanzan una nueva versión actualizada del software. Estos se conocen como parches de seguridad.

Puede ver si una actualización incluye un parche de seguridad consultando los detalles de la actualización.

ver los detalles de la versión de la actualización

Si ve que es una actualización de seguridad, ejecútela inmediatamente para actualizar a la última versión. Al hacerlo, evitará cualquier riesgo de la vulnerabilidad.

actualización de seguridad

Si le preocupa que las actualizaciones puedan dañar su sitio, puede probar la actualización en un sitio provisional y luego ejecutarla en su sitio en vivo.

7. Mantenga una copia de seguridad de WooCommerce en tiempo real

Las copias de seguridad son su red de seguridad y absolutamente esenciales. Cuando las cosas van mal, puede usar la copia de seguridad de WordPress para restaurar su sitio.  Para las tiendas de WooCommerce, no recomendamos usar copias de seguridad gratuitas o copias de seguridad de alojamiento web. Las características que ofrecen simplemente no son suficientes.

Primero, su solución de copia de seguridad debe ser compatible con WooCommerce. Hay algunas herramientas que no hacen una copia de seguridad de la tabla de la base de datos de WooCommerce.

A continuación, necesita copias de seguridad automatizadas en tiempo real. Esto asegurará que cada nuevo pedido realizado se almacene inmediatamente para que no pierda ninguna información de transacción.

Y otra cosa a buscar es la tecnología incremental. Esto significa que hará una copia de seguridad solo del cambio y lo agregará a la copia de seguridad en lugar de ejecutar una copia de seguridad completa cada vez.

Con eso, el rendimiento y la velocidad de su sitio web nunca se verán afectados por un pesado proceso de copia de seguridad que se ejecuta en segundo plano.

Aparte de eso, aquí hay algunas características de las que se beneficiará:

  • Almacenamiento externo
  • Almacenamiento en varias ubicaciones
  • Copias de seguridad cifradas
  • Restauración con 1 clic
  • Tablero independiente

UpdraftPlus  es el mejor complemento de copia de seguridad para sitios de WordPress. Pero recomendamos usar un complemento de copia de seguridad que ofrezca copias de seguridad incrementales en tiempo real junto con un archivo de 365 días. Puede obtener eso con Jetpack Backups o  BlogVault .

Tienen planes dedicados para los sitios de WooCommerce y aseguran que sus archivos y bases de datos de WooCommerce siempre estén respaldados.

Eso es todo lo que tenemos para ti hoy. Esperamos que esta publicación le haya brindado todo lo que necesita para proteger su sitio WooCommerce.