Cuando creamos nuestra plataforma de comercio electrónico debemos tener muy en cuenta la seguridad de este. La seguridad cumple con dos objetivos principales. El primero es garantizar la confianza de nuestros clientes. En segundo lugar, pero por supuesto no menos importante, hacemos lo posibles para evitar posibles ataques informáticos y fraudes.
Estos dos objetivos son fundamentales para que nuestro negocio tenga éxito. Por esta razón se debe que invertir tiempo y dinero en mejorar la seguridad de nuestra tienda online.
Con esta serie de consejos queremos presentarte los principales aspectos para tener en cuenta en lo que a la seguridad de tu ecommerce se refiere.
1. Elige una plataforma segura
Ante todo, para contar con una tienda online lo más segura posible, usaremos una plataforma de comercio electrónico segura y fiable. Hoy en día existen diferentes entornos ecommerce por los que optar, por eso, es importante elegir la plataforma que más seguridad nos ofrezca.
En España, WooCommerce , el plugin ecommerce de WordPress y PrestaShop suman mas de la mitad de la cuota de mercado. Magento y Shopify son otras opciones interesantes.
Descubre más sobre el abanico de plataformas de comercio electrónico disponibles.
1.1 WooCommerce | El Ecommerce de WordPress
WooCommerce es un plugin para WordPress que permite desarrollar un ecommerce bajo esta plataforma. Se trata de uno de los plugin más conocidos de WordPress (por no decir el que más). Aunque hay algunos aspectos en lo que respecta a la seguridad que deben ser compartidos independientemente el tipo de CMS a utilizar, en el caso de WooCommerce, el plugin debe ser actualizado cada vez que se notifique al administrador de WordPress una nueva actualización. Además, la gran mayoría de consejos para la seguridad se aplican a la plataforma WordPress en general.
A diferencia de otros ecommerce, WordPress mantiene siempre el mismo nombre en enlaces para acceder a su panel de administración, siendo el primero /wp-admin, y el segundo /wp-login.php. Para añadir una capa más de seguridad a esta parte, existen múltiples plugins en su marketplace que te ayudarán a cambiar dichas urls por otras personalizadas. Ojo, recuerda siempre cuáles serán esas nueva urls ya que, de no ser así, no podrás acceder a tu panel de administración de manera sencilla.
Otra buena práctica trata de modificar el límite de acceso al formulario de login de WordPress para evitar ataques, por ejemplo, de fuerza bruta. Para ello, el marketplace de WordPress cuenta con un gran número de plugins gratuitos. Como ejemplo, podemos poner WP Limit Login Attempts, un plugin disponible de manera gratuita para todos aquellos usuarios que quieran descargarlo e instalarlo. Otro ejemplo de plugin es WP Login Attempts, que además soporta la herramienta de Google para saber si va a acceder un humano o una máquina, denominada Google reCAPTCHA, permitiendo su integración tanto de su versión 2 como de su versión 3.
Siempre que se pueda, se debe llevar a cabo un escaneo de todos los ficheros que componen la plataforma WordPress para conocer si existe algún tipo de código malicioso. Para ello, el marketplace ofrece múltiples plugins que permiten tanto el escaneo como otras herramientas de seguridad para conocer si WordPress ha sido comprometido. En muchas ocasiones, los hostings también proveen al cliente de una herramienta a nivel de servidor que lleva a cabo otros tipos de escaneos. En caso de que el administrador del hosting encuentre algún elemento malicioso, lo comunica al administrador del WordPress, poniendo en cuarentena los ficheros comprometidos hasta que el dicho administrador proceda a decidir qué hacer.
Otro factor a tener en cuenta y que es de gran importancia, es ocultar la url de autor, ya que si no se lleva a cabo (o también es admisible modificarla), quedará expuesto el nombre de usuario con el que se inicia sesión en WordPress. Para ello, en la tabla wp_users de la base de datos, se debe modificar el campo user_nicename.
1.2 Drupal | El CMS de una comunidad de código abierto
Drupal es un CMS totalmente distinto a WordPress. Presenta una comunidad de desarrolladores de las más grandes y extendidas del mundo, contando con más de un millón de desarrolladores trabajando sobre su código al día, por lo que cualquier fallo es detectado y corregido prácticamente al momento.
Además, Drupal cumple con las especificaciones de OWASP, es decir, la organización sin ánimo de lucro que se dedica a determinar y combatir las causas que hacen que un software sea inseguro.
En el momento en el que un usuario se registra en Drupal, sus credenciales pasan a estar cifradas dentro de la base de datos, empleando un SALT y a continuación, aplicando la función HASH denominada SHA512.
1.3 Joomla | El CMS de desarrollo web
Joomla es un CMS que ofrece, a través de un panel de administración, el desarrollo de un sitio web. Dicho panel permite la creación, la modificación y el borrado de contenido. Para proteger Joomla, existen diversas herramientas tanto gratuitas como de pago que te ayudarán a protegerlo.
Una de las mejores extensiones que existen es SECURITYCHECK, que cuenta tanto con la versión gratis como la de pago. SECURITYCHECK PRO, la versión de pago, cuenta, por ejemplo, con la configuración de un firewall, el escaneo de malware o el bloqueo por geolocalización.
Akeeba Backup es otra herramienta ampliamente conocida dentro de la comunidad de Joomla que permite gestionar copias de seguridad. Dichas copias pueden ser llevadas a cabo en horas programadas, lo que le facilitará el trabajo al administrador del CMS. Cabe destacar que esta herramienta está disponible también para la plataforma WordPress.
Por último, RS FIREWALL es otra extensión que permite añadirle una capa de seguridad a Joomla para protegerlo de ataques de fuerza bruta, inyección de sql o ataques de denegación del servicio.
1.4 Magento | Una de las principales plataformas ecommerce
Magento se encuentra dentro de las principales plataformas ecommerce más utilizadas a nivel mundial, siendo una de las principales competencias de Prestashop. Para protegerlo, es necesario llevar a cabo ciertas comprobaciones como la verificación de los permisos de los ficheros, siendo lo recomendado:
- Directorios: 775.
- Ficheros: 664.
- Fichero local.xml: 600.
Además, se debe evitar hacer uso del usuario admin ya que los ataques por fuerza bruta tienden a utilizar dicho usuario. También se debe renombrar la carpeta downloader y la URL de entrada al backend editando el fichero local.xml.
Al igual que en otros CMS, las extensiones deben encontrarse actualizadas, incluyendo plantillas y plugins. También se deben utilizar nombres de usuario y contraseñas fuertes y un certificado SSL.
2. Emplea formas de pago seguras
A la hora de realizar el pago, los clientes mayormente optan por el la opción de tarjeta de crédito o débito. Para implementar estos pagos con las tarjetas podemos usar alguna pasarela de pago siempre asegurándonos de que sea una opción segura. Esta etapa del pago suele ser la más vulnerable ya que estaremos manejando datos relevantes como el número de tarjeta o datos bancarios de tu cliente. Por eso debemos hacer todo lo posible para evitar fraude u otras actividades lucrativas.
Además de las pasarelas de pago, otra opción es emplear plataformas como Paypal o Stripe que también garantizan una gran seguridad.
Existen muchos más aspectos a destacar sobre los medios de pago.
3. No guardes datos sensibles de clientes
No es necesario almacenar ciertos datos sensibles como son los números de tarjetas de crédito, la fecha de expiración o el código CVV. Debemos almacenar de manera segura aquellos datos que son necesarios para devoluciones y reembolsos. No es recomendable almacenar todos los datos sensibles porque da la oportunidad para los hackers de robar información y usarla con fines lucrativos.
4. Certificados SSL
Un aspecto muy electivo para garantizar la seguridad de tu ecommerce es emplear los certificados SSL en tu dominio. Este tipo de certificado permite navegar con el protocolo https y da más confianza para los clientes. Los certificados nos permiten encriptar datos como el nombre o contraseña de los usuarios y hacer que viajen de una manera segura entre el usuario y el servidor.
Un certificado SSL protege un sitio web y sus usuarios, para el intercambio de información, para un mejor posicionamiento y brindar seguridad y confianza. Conoce 3 de las empresas más conocidas:
El servicio de hosting de Conecta Software para tiendas online y páginas web, incluye la instalación del certificado de seguridad Let’s Encrypt.
5. Sobre nosotros
Una vez hayamos revisado que contamos con todos los aspectos técnicos para asegurar nuestro ecommerce, también es importante comunicarlo a nuestros clientes. Los usuarios más expertos buscan indicios directamente, como por ejemplo el candado verde que aparece al lado de nuestra URL y que indica la instalación correcta de un certificado de seguridad.
También reconocen facilmente los logotipos de Redsys, PayPal, Vista, etc.
Si quieren conocer los aspectos legales y nuestra política de privacidad y cookies, podrán acceder a dichas páginas que creamos previamente.
Pero podemos hacer todavía más. Una comunicación clara, respuestas facilmente accesibles a las preguntas frecuentes (políticas de envío y devolución, características de productos, etc.) y reseñas de otros usuarios refuerzan la experiencia positiva. Además, podemos desarrollar nuestros puntos más fuertes en la página de empresa, o «Sobre nosotros».
Consulta esta guía para conocer las oportunidades que ofrece el desarrollo de esta página clave para contar la historia de la empresa.
Si quieres aprender más sobre la seguridad en ecommerce descubre nuestro libro