376 | Las medidas de seguridad necesarias para tu eCommerce

En el episodio 376 de WordPress Semanal te hablo de las 19 medidas de seguridad para WooCommerce que recomienda la empresa especializada Sucuri Security.

1) Mantener tu software actualizado

• Actualiza regularmente WooCommerce, WordPress, temas y complementos.
• Usa un proveedor de alojamiento que también se mantenga actualizado.
• Habilita las actualizaciones automáticas y ten un servicio de copia de seguridad.

2) Usar contraseñas fuertes y autenticación de dos factores (2FA)

• Implementa contraseñas fuertes y únicas para todas las cuentas.
• Establece políticas de contraseñas sólidas para los usuarios.
• Considera utilizar la autenticación de dos factores para mayor seguridad.

3) Elegir un alojamiento web seguro

• Investiga y usa un proveedor de alojamiento fiable.
• Asegúrate de que realicen actualizaciones y parches de seguridad de forma regular.
• Busca un buen rendimiento y un soporte en el que confiar.

4) Proteger los datos con SSL

• Instala y configura un certificado SSL.
• Esto te permitirá
  • Encriptar los datos transmitidos entre el sitio web y los usuarios.
  • Tener seguridad de datos,
  • confianza de los clientes,
  • beneficios SEO
  • y cumplimiento de PCI.

5) Posibilidad de recuperación mediante copias de seguridad

• Crea horarios regulares de copias de seguridad.
• Utiliza una solución de confianza para los backups.
• Almacena las copias de seguridad fuera del sitio y pruébalas.
• Mantén múltiples versiones (encriptadas para mayor seguridad).

6) Restringir los privilegios de los usuarios

• Aplica el principio del menor privilegio.
• Asigna roles y permisos apropiados a los usuarios.
• Realiza auditorías y monitorea la actividad de los usuarios.

7) Configurar los permisos de archivos y directorios

• Configura permisos adecuados para los archivos críticos.
• Restringe el acceso a archivos sensibles.
• Utiliza un cliente sFTP o el Administrador de Archivos cPanel.

8) Monitorizar y auditar tu web regularmente

• Escanea regularmente en busca de indicadores de tener una web comprometida.
• Utiliza una solución de monitoreo como Sucuri que analiza los registros en busca de anomalías y vulnerabilidades.
• Cumplir con los requisitos es parte de la responsabilidad que tienes con tus usuarios.

9) Evitar temas y plugins nulled (pirateados)

• Los temas y complementos nulled pueden contener código malicioso.
• Pueden comprometer la seguridad de tu sitio web y dañar tu reputación en línea.
• Opta siempre por temas y complementos oficiales y evita el software nulled.

10) Implementar validación y limpieza de datos de entrada

• La validación de entradas asegura que los datos ingresados por los usuarios sean legítimos.
• Previene ataques como inyecciones SQL y cross-site scripting (XSS).
• Utiliza funciones de WordPress para validar y sanear las entradas de los usuarios.

11) Utilizar pasarelas de pago seguras

• Elige una pasarela de pago confiable y segura.
• Que cumpla con los requisitos de PCI-DSS.
• Que proteja los datos de pago en tránsito mediante SSL.

12) Implementar una Política de Seguridad de Contenido (CSP)

• Una CSP controla las fuentes de contenido cargado en tu sitio web.
• Ayuda a prevenir ataques de cross-site scripting (XSS) y otras vulnerabilidades.
• Configura una CSP para permitir solo fuentes confiables en tu sitio web.

13) Desactivar la navegación por directorios

• La exploración de directorios expone información sensible y debe desactivarse.
• Evita revelar detalles sobre temas, complementos y configuraciones en tu sitio.
• Desactiva la exploración de directorios a través de cPanel o el archivo .htaccess.

14) Restringir el acceso a archivos sensibles

• Limita el acceso a archivos sensibles como wp-config.php y .htaccess.
• Evita que usuarios no autorizados accedan a estos archivos.
• Configura adecuadamente los permisos de archivos en cPanel o .htaccess.

15) Instalar un plugin de seguridad

• Utiliza un plugin de seguridad de confianza para proteger tu sitio de WooCommerce.
• Plugins recomendados incluyen Sucuri y Wordfence.
• Estos plugins ofrecen escaneo de seguridad, firewall y protección contra ataques.

16) Proteger las cargas de archivos

• Implementa medidas de seguridad para proteger las subidas de archivos.
• Utiliza técnicas como CAPTCHA, desinfección de contenido y protección contra ataques CSRF.
• Registra las actividades de los usuarios y protege los archivos de registro.

17) Utilizar un Firewall de Aplicaciones Web (WAF)

• Un WAF es una barrera de protección contra ataques y malware.
• Protege tu sitio web de vulnerabilidades conocidas y ataques DDoS.
• Monitorea y bloquea intentos de acceso no autorizados.

18) Mantener tu entorno aislado

• Hospeda tu sitio web de WooCommerce en un entorno aislado.
• Evita la contaminación cruzada entre diferentes sitios web.
• Limita el uso de plugins a los necesarios.

19) Proteger tu página de pago contra bots y ataques de prueba de tarjetas

• Desactiva la opción de compra de invitado y requiere cuentas verificadas.
• Utiliza CAPTCHA para proteger la página de pago contra bots.
• Así previenes ataques automatizados de prueba de tarjetas de crédito.

Plugin de la semana

Contenidos recomendados

• Fuente principal del episodio: guía de Sucuri