Cómo arreglar agujeros de seguridad de WordPress para una experiencia de compra más segura

Al configurar un sitio de comercio electrónico en WordPress, la seguridad debe ser su prioridad número uno. Cada vez que trata con información personal o datos financieros de las personas, debe ser doblemente cuidadoso. Si no demuestra que es un proveedor confiable a través de logotipos de seguridad reconocibles, podría perder clientes. Pero no tener en cuenta la seguridad podría tener un resultado mucho peor: robo y pérdida de datos.


Esta es la peor pesadilla del propietario del sitio de comercio electrónico. Afortunadamente, no tienes que dejar que esto te suceda. Aquí, analizaré algunos de los problemas de seguridad más comunes que enfrentan los sitios de comercio electrónico basados ​​en WordPress y lo guiaré a través de los pasos que debe seguir para tapar esos agujeros de seguridad de una vez por todas..

Paso 1: SSL

Al trabajar en el espacio de comercio electrónico, una cosa que no puede comprometer absolutamente es SSL. Esa es la capa de sockets seguros para los no iniciados y protege la información confidencial (tanto la suya como la de sus clientes) mientras se transmite para su procesamiento. Una buena manera de garantizar que los pagos en su sitio sean seguros es utilizar un sistema popular como PayPal. Esto mantiene toda la información financiera fuera de su sitio y en manos de una compañía que se especializa en proteger transacciones como esta.

Si bien un SSL comodín puede ser costoso, muchas de las mejores opciones de alojamiento de WordPress ofrecen SSL gratis a través de Let’s Encrypt. Es rápido, fácil y completamente gratuito..

Paso 2: use una plataforma lista para usar

Una forma de aumentar la seguridad del sitio es utilizar una plataforma de comercio electrónico lista para usar. Esto elimina las conjeturas en términos de lo que debe y no debe incluir y hace que sea mucho más fácil comenzar. Existen varias plataformas como WooCommerce, Shopify y otras. Por lo tanto, investigue para encontrar una plataforma de comercio electrónico que se adapte adecuadamente a sus necesidades..

Si decide usar un tema de WordPress en su lugar, es mejor usar solo aquellos que encuentre en el directorio de WordPress o en sitios web de temas acreditados. Los temas de baja calidad a menudo carecen de las medidas de seguridad adecuadas, lo que pone en riesgo su sitio y la información de sus clientes.

Paso 3: Modificar .htaccess

código

Otra forma de solucionar posibles problemas de seguridad de WordPress es modificar el archivo .htaccess. Se realizan muchos ataques al sitio en la base de datos que admite la plataforma. Si se ataca la base de datos, no podrá ejecutar los scripts PHP que hacen que su sitio funcione.

La inyección SQL es una forma en que los piratas informáticos se infiltran en su sitio. Lo hacen poniendo sus propios comandos dentro de una URL en su base de datos. Estos comandos pueden obligar a la base de datos a generar información sobre su sitio, incluida la información de inicio de sesión. Las variaciones en este método de piratería pueden hacer que se ejecuten scripts PHP específicos que instalen malware en su sitio. Básicamente, todo esto es una mala noticia para alguien que intenta ejecutar un sitio seguro en el que sus clientes puedan sentirse seguros al usar.

Afortunadamente, puede remediar esto modificando el archivo .htaccess en los archivos de su sitio de WordPress. Hay una excelente colección de fragmentos de código .htaccess que puede colocar en el archivo para reforzar la seguridad del sitio. Una vez que estas reglas están en su lugar, puede evitar que ciertas personas accedan a su sitio, incluidas las direcciones IP específicas y las solicitudes de URL específicas.

También puede limitar qué archivos pueden ver las personas. Estos comandos también se pueden agregar a .htaccess y le permiten bloquear el acceso de cualquier persona mayor a los archivos privados de su servidor. Por lo general, puede lograr esto bloqueando el acceso a las listas de directorios. No es necesario que los visitantes del sitio vean una lista de todos los archivos en nuestro sitio, por lo que bloquear el acceso evitará que los usuarios malintencionados realicen un ataque utilizando esa información.

Paso 4: omita el administrador

Otra cosa que definitivamente debe hacer al configurar su sitio de comercio electrónico de WordPress es asegurarse de que su nombre de usuario y contraseña estén compuestos por una combinación de letras, números y caracteres. Nunca debe mantener su nombre de usuario como el “administrador” predeterminado. Esto es lo que los piratas informáticos “adivinan” como el nombre de usuario con mayor frecuencia cuando realizan ataques de fuerza bruta (ver más abajo). Y definitivamente no quieres hacer que la vida de los hackers sea más fácil. Así que haz tu nombre de usuario y contraseña complicada.

El complemento Keyy

También es posible que desee instalar la autenticación de dos pasos en su sitio. Algo como Keyy Two Factor podría hacer el truco.

Paso 5: limitar los intentos de inicio de sesión

Como mencioné anteriormente, las personas pueden obtener acceso a su sitio a través de ataques de fuerza bruta. Estos ataques se llevan a cabo mediante scripts automáticos que intentan iniciar sesión en su sitio una y otra vez. Dado que las secuencias de comandos se ejecutan miles de veces, las probabilidades de que finalmente tengan éxito.

Es decir, a menos que establezca una medida a prueba de fallos. Uno de esos fallos es un limitador de inicio de sesión. Un limitador de inicio de sesión es una herramienta que evita que direcciones IP específicas o nombres de usuario inicien sesión durante un cierto número de veces dentro de un marco de tiempo específico. Un límite típico de 10 veces en un par de minutos hará que ese usuario o IP incurra en un tiempo de espera por una hora. Los atacantes de fuerza bruta no son efectivos cuando se enfrentan a un limitador de inicio de sesión porque no pueden realizar los miles o millones de intentos de inicio de sesión necesarios para tener éxito. A menudo se moverán de su sitio y buscarán un territorio más fácil..

iThemes Security

Hay muchos complementos limitadores de inicio de sesión disponibles, pero déjame contarte algunos que personalmente me gustan. Primero, hay iThemes Security, que es un complemento robusto diseñado para proteger su sitio de una amplia variedad de ataques. De hecho, incluye más de 30 formas de prevenir ataques al sitio, incluidas tácticas de oscuridad, limitación de inicio de sesión, detección de bot y más.

Y luego está Limitar los intentos de inicio de sesión, lo que evita los ataques de fuerza bruta al permitirle limitar la cantidad de veces que una persona puede intentar iniciar sesión. También es totalmente personalizable y proporciona registro opcional y notificaciones por correo electrónico cuando se produce el bloqueo del sitio..

Hay otras opciones, por supuesto, pero estas son solo dos que he encontrado confiables.


No importa qué tipo de sitio ejecute, es importante tener en cuenta la seguridad. Pero es aún más importante para aquellos que administran sitios de comercio electrónico. Cuando usted es responsable de la información de otras personas, es vital que haga todo lo que esté a su alcance para protegerla. Eso podría significar usar una plataforma de comercio electrónico lista para usar u optar por que todas las transacciones se procesen fuera del sitio a través de un servicio seguro. O bien, puede requerir ingresar manualmente a los archivos de su sitio de WordPress y agregar algún código para protegerlo de los atacantes maliciosos. Y cuando asegurarse de que su nombre de usuario y contraseña no sean suficientes, incluso puede limitar los intentos de inicio de sesión para evitar ataques de fuerza bruta.

Todos estos métodos, cuando se usan en conjunto, pueden ayudar a reforzar la seguridad de su sitio y ofrecer una experiencia de compra más segura para sus clientes. Lo cual es una especie de punto, no crees?

Ahora a ti. ¿Qué métodos utiliza para mejorar la seguridad del sitio de WordPress para tiendas en línea? ¿Qué herramientas o complementos son imprescindibles para usted? Me encantaría saberlo en los comentarios.!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map