Si hay algo que siempre recalco a mis clientes es la importancia de la seguridad en tiendas Woocommerce, ya que siendo WordPress el CMS más utilizado del mundo, se ha convertido en un entorno muy apetecible para los ciberdelicuentes que se han adaptado y especializado en cometer sus fechorías por la red.
Indice
¿Es segura una tienda de Woocommerce?
Si bien la asociación de WordPress y el plugin Woocommerce para hacer tiendas online sencillas, esta al alcance de cualquier persona sin apenas conocimientos avanzados, debido a lo anteriormente comentado hay que tener una serie de precauciones con los problemas de seguridad que puede presentar nuestra tienda online.
Miles de tiendas online usan el plugin Woocommerce en todo el mundo pensando que son plataformas muy seguras, pero aquí te voy a comentar los 3 fallos de seguridad en tiendas Woocommerce que son los que más me he encontrado, para que aprendas a supervisarlos y tener un sitio WordPress más seguro.
Seguridad en línea y sitios web creados con WordPress y Woocommerce
Hoy en día nos encontramos con infinidad de sitios web creados con WordPress en los que vemos vulnerabilidades importantes, según estadísticas no oficiales rondan el 70% de las web creadas con WordPress podrían ser atacadas por fallos de seguridad.
Tienes que tener en cuenta y ser consciente de que si utilizas una tienda online generada con WordPress para tu negocio o empresa, tienes que estar muy atento con la seguridad en tiendas Woocommerce. Una web que tenga fallos de seguridad es vulnerable a ataques de ciberdelincuentes.
Y yo lo que me suelo encontrar cuando reviso las tiendas online de clientes, es que por lo general no tienen muy en cuenta la seguridad a la hora ni de crearlas ellos mismos ni de mantenerla.
Por un lado, es lógico que haya pequeños agujeros de seguridad en ese tipo de webs, ya que si es el empresario quien las crea y las mantiene, su objetivo principal no es la seguridad, ya que se encuentran con otro tipo de dificultades y necesidades a la hora de administrar su negocio, como para preocuparse de estas “tonterías” de actualizar.
Generalmente, dedican casi todo el tiempo que tienen (y bastante tienen) a administrar la parte física de su negocio, clientes, llamadas, proveedores, impuestos y evidentemente la parte online de seguridad en tiendas Woocommerce, que tampoco conocen bien, la desatienden y no le prestan suficiente atención como harían la mayoría de los administradores de un sistema WordPress que probablemente no se encuentren nunca con ninguno o muy leves.
¿Necesitas el mantenimiento de tu web WordPress?
De todos modos hoy en día (salvo que descubran alguna vulnerabilidad no prevista) crear una tienda online con WordPress es un sistema bastante seguro lejos de errores pasados que permitían ciertas vulnerabilidades.
Eso no quiere decir que sea una plataforma perfecta o que no halla fallos de seguridad Woocommerce y que no haya que trabajar constantemente con ella para conseguir mejoras como por ejemplo con las actualizaciones y los desarrolladores de temas y plugins son conscientes de esto e implementa sus correspondientes parches a fallos que se van detectando, así que ¡Actualiza!
Un solo plugin desactualizado que tenga una vulnerabilidad puede poner tu sitio web en peligro de seguridad y habitualmente, en los sitios WordPress que tienen un plugin desactualizado, suele haber más.
Repetidos intentos de Login a la Web
Un sitio web producido con WordPress funciona igual que una cuenta de correo o la cuenta del banco, usa credenciales para acceder con un nombre de usuario y su contraseña.
Si hay una cosa que nos repiten constantemente en todos los sitios y que yo le indico a mis clientes, es lo de utilizar contraseñas seguras para el acceso a la web, pero siempre me encuentro con gente que “pasa” de esas recomendaciones excusándose generalmente en que luego no se acuerdan o el típico, que más da una que otra….
Ten en cuenta que cualquier pirata informático cuenta con herramientas que son capaces desde registrar los clics en el teclado a realizar ataques de fuerza bruta a las páginas de login probando miles de combinaciones para usuarios tipo, admin, abcd, 1234, etc. y esto no tiene ninguna posibilidad de ser seguro ante esos ataques.
Incluso si descubren ciertas vulnerabilidades en temas o plugins que tengas en tu web, pueden ocasionar que afecte al ancho de banda de tu servidor y originar desde el bloqueo del hosting a errores 503.
Soluciones a los intentos de Login repetidos
Realmente aumentar la seguridad en este tema de los logins es bastante sencillo con cualquier plugin de seguridad (incluso gratuito) que nos permiten mejorar nuestro WordPress y aumentar la seguridad en tiendas Woocommerce respecto a este “fallo”.
Puedes usar por ejemplo WP Cerber Security, Anti-spam & Malware Scan (actualmente es el que más me gusta) o Wordfence que aunque es más completo, también es mucho más pesado y cambiar varias cosas:
- Poner un tiempo de espera después de los intentos de login, incluso unos pocos segundos es suficiente.
- Limita el numero de intentos de login y después bloquea la IP desde la que intentan acceder, ten en cuenta que hay usuarios reales que intentaran acceder a la web y que no recuerdan su contraseña y van a insistir hasta límites insospechados.
- Si te has librado de los usuarios “estándar” tipo admin, bloquea las IP que intenten acceder a tu web con esos usuarios.
¿Necesitas una auditoria de seguridad de tu sitio WordPress?
Fallos en plugins
La mayoría de clientes siempre quiere tener un montón de funcionalidades en la tienda online, incluso alguna que tras analizarlas con él, no tienen mucho sentido poner(incluso ninguno), ya no solo que nos penalizara en la velocidad de la web, sino que a mayor número de plugins instalados, más posibilidades de que tengan un fallo de seguridad e incluso vulnerabilidades críticas.
A mayor carga de plugins, mayores posibilidades de incompatibilidades, cosas que dejan de funcionar o empiezan a funcionar mal, lentitud en la carga de las páginas.
Y lo peor de todo, es que a mayor cantidad de plugins que tengamos instalados hay más posibilidades de que nuestra tienda online tenga vulnerabilidades de seguridad.
Hay miles de ejemplos incluso de plugins usados por millones de usuarios que han tenido errores graves y vulnerabilidades en su código, así que por muy usados que sean, no están libres de fallos críticos.
Fallos comunes en plugins
Esta parte, dependiendo de la tienda online que tengamos, ya no es tan fácil de implementar y menos para usuarios no avanzados, por eso yo siempre recomiendo seguir 2 directrices a mi juicio básicas como medidas de seguridad:
- Instalar en tu tienda online solo los plugins necesarios para el funcionamiento, los mínimos posibles, si no te va a ofrecer aumentar ventas no lo instales, incluso hay funcionalidades que se pueden desarrollar de otras formas sin la necesidad de un plugin que nos sobrecargue la web.
- Siempre que te sea posible mantén todos tus plugins actualizados a la última versión disponible, eso si, comprobando siempre después que el funcionamiento de la tienda online sea correcto, son raras pero, no imposibles las incompatibilidades entre plugins cuando unos sacan versiones nuevas y otros no. Hay que tener en cuenta que un plugin desactualizado es una puerta abierta.
Mantén actualizado el Software
actualizar automáticamente problema de seguridad
Algo que me encuentro habitualmente y que realmente me da “pánico” es la cantidad de webs, ya no únicamente tiendas online, con WordPress, woocommerce y demás plugins desactualizados, pero que no son 1 o 2 plugins, sino que son más de 10, incluido el propio Core de WordPress o la plantilla usada para crear el sitio.
Y esto no son fallos debidos al software en cuestión, sino debidos al administrador de la página que generan un verdadero problema de seguridad.
Esto es un tema bastante grave hablando de seguridad del sitio web, ya que constantemente se están buscando vulnerabilidades a sitios hechos con WordPress y mientras nadie las encuentre, son seguros, pero en cuanto dan con alguna convertimos el sitio en vulnerable.
Para ello los desarrolladores están constantemente sacando versiones nuevas que corrigen estos fallos, pero si nadie los aplica en la web, nadie actualiza la versión, estamos expuestos.
En cuanto se detecta un error de WordPress o sus plugins, enseguida aprovechan esa vulnerabilidad para hackear la web y hacerse con su control y datos.
Corregir fallos de Software
Realmente corregir este tipo de errores de software con WordPress, solo tiene una opción viable para mí.
Es la actualización manual de esos Plugins, incluido Woocommerce, temas y demás, ya que se pueden poner las actualizaciones en automático, pero si nos llega alguna actualización que nos desconfigura el sitio, un usuario normal no detectara lo que ha pasado y si se actualizan varios a la vez va a ser complicado saber cuál ha sido la actualización culpable de tener el sitio mal configurado o incluso roto.
Para esto yo siempre recomiendo a mis clientes, sobre todo cuando actualizan el Core de WordPress o plugins como el de tiendas online Woocommerce (que puede dar lugar a un desastre), actualizarlos manualmente de uno en uno y sobre todo hacer una copia de seguridad antes de tocar nada.
Generalmente, me indican que no tienen tiempo a realizar esas actualizaciones, asi que les doy 2 opciones, o tienen un sitio hackeable e inseguro con el tiempo, en el que pueden perder mucho trabajo y dinero o bien contratar un plan de mantenimiento web con el que olvidarse de esos pequeños, pero tan importantes detalles y mantener su sitio web seguro y online.
Mantén tu WordPress actualizado
