{"id":17115,"date":"2020-09-29T11:53:30","date_gmt":"2020-09-29T11:53:30","guid":{"rendered":"https:\/\/www.conectasoftware.com\/?p=17115"},"modified":"2024-02-03T14:02:04","modified_gmt":"2024-02-03T14:02:04","slug":"seguridad-en-ecommerce","status":"publish","type":"post","link":"https:\/\/www.conectasoftware.com\/magazine\/seguridad-en-ecommerce\/","title":{"rendered":"La seguridad en Ecommerce"},"content":{"rendered":"

Cuando creamos nuestra plataforma de comercio electr\u00f3nico debemos tener muy en cuenta la seguridad<\/strong> de este. La seguridad cumple con dos objetivos principales. El primero es garantizar la confianza de nuestros clientes.<\/strong> En segundo lugar, pero por supuesto no menos importante, hacemos lo posibles para evitar posibles ataques<\/strong> inform\u00e1ticos y fraudes.
\nEstos dos objetivos son fundamentales para que nuestro negocio tenga \u00e9xito. Por esta raz\u00f3n se debe que invertir tiempo y dinero en mejorar la seguridad de nuestra tienda online.
\nCon esta serie de consejos queremos presentarte los principales aspectos para tener en cuenta en lo que a la seguridad de tu ecommerce se refiere.<\/p>\n

\"\"<\/strong><\/p>\n

1. Elige una plataforma segura<\/strong><\/h2>\n

Ante todo, para contar con una tienda online lo m\u00e1s segura posible, usaremos una plataforma de comercio electr\u00f3nico segura y fiable<\/strong>. Hoy en d\u00eda existen diferentes entornos ecommerce por los que optar, por eso, es importante elegir la plataforma que m\u00e1s seguridad nos ofrezca.
\nEn Espa\u00f1a, WooCommerce<\/a> , el plugin ecommerce de WordPress y PrestaShop suman mas de la mitad de la cuota de mercado. Magento y Shopify son otras opciones interesantes.
\nDescubre m\u00e1s sobre el abanico de plataformas de comercio electr\u00f3nico disponibles.<\/p>\n

1.1 WooCommerce | El Ecommerce de WordPress<\/strong><\/h3>\n

WooCommerce es un plugin para WordPress que permite desarrollar un ecommerce bajo esta plataforma. <\/span>Se trata de uno de los plugin m\u00e1s conocidos de WordPress<\/b> (por no decir el que m\u00e1s).\u00a0 Aunque hay algunos aspectos en lo que respecta a la seguridad que deben ser compartidos independientemente el tipo de CMS a utilizar, en el caso de WooCommerce, <\/span>el plugin debe ser actualizado cada vez que se notifique al administrador de WordPress una nueva actualizaci\u00f3n. Adem\u00e1s, la gran mayor\u00eda de consejos para la seguridad se aplican a la plataforma WordPress en general.<\/b>
\nA diferencia de otros ecommerce, WordPress mantiene siempre el mismo nombre en enlaces para acceder a su panel de administraci\u00f3n, siendo el primero <\/span>\/wp-admin<\/b>, y el segundo <\/span>\/wp-login.php<\/b>. Para a\u00f1adir una capa m\u00e1s de seguridad a esta parte, existen m\u00faltiples plugins en su marketplace que te ayudar\u00e1n a cambiar dichas urls por otras personalizadas. Ojo, recuerda siempre cu\u00e1les ser\u00e1n esas nueva urls ya que, de no ser as\u00ed, no podr\u00e1s acceder a tu panel de administraci\u00f3n de manera sencilla.\u00a0<\/span>
\nOtra buena pr\u00e1ctica trata de modificar el l\u00edmite de acceso al formulario de login de WordPress <\/span>para evitar ataques<\/b>, por ejemplo, <\/span>de fuerza bruta<\/b>. Para ello, el marketplace de WordPress cuenta con un gran n\u00famero de plugins gratuitos. Como ejemplo, podemos poner <\/span>WP Limit Login Attempts<\/b>, un plugin disponible de manera gratuita para todos aquellos usuarios que quieran descargarlo e instalarlo. Otro ejemplo de plugin es <\/span>WP Login Attempts<\/b>, que adem\u00e1s soporta la herramienta de Google para saber si va a acceder un humano o una m\u00e1quina, denominada <\/span>Google reCAPTCHA<\/b>, permitiendo su integraci\u00f3n tanto de su versi\u00f3n 2 como de su versi\u00f3n 3.\u00a0<\/span>
\nSiempre que se pueda, se debe llevar a cabo un <\/span>escaneo de todos los ficheros<\/b> que componen la plataforma WordPress <\/span>para conocer si existe alg\u00fan tipo de c\u00f3digo malicioso<\/b>. Para ello, el marketplace ofrece m\u00faltiples plugins que permiten tanto el escaneo como otras herramientas de seguridad para conocer si WordPress ha sido comprometido. En muchas ocasiones, los hostings tambi\u00e9n proveen al cliente de una herramienta a nivel de servidor que lleva a cabo otros tipos de escaneos. En caso de que el administrador del hosting encuentre alg\u00fan elemento malicioso, lo comunica al administrador del WordPress, poniendo en cuarentena los ficheros comprometidos hasta que el dicho administrador proceda a decidir qu\u00e9 hacer.\u00a0<\/span>
\nOtro factor a tener en cuenta y que es de gran importancia, <\/span>es ocultar la url de autor<\/b>, ya que si no se lleva a cabo (o tambi\u00e9n es admisible modificarla), quedar\u00e1 expuesto el nombre de usuario con el que se inicia sesi\u00f3n en WordPress. Para ello, en la tabla <\/span>wp_users <\/b>de la base de datos, se debe modificar el campo <\/span>user_nicename<\/b>.\u00a0<\/span><\/p>\n

1.2 Drupal | El CMS de una comunidad de c\u00f3digo abierto<\/strong><\/h3>\n

Drupal es un CMS totalmente distinto a WordPress. Presenta una comunidad de desarrolladores de las m\u00e1s grandes y extendidas del mundo, contando con m\u00e1s de un mill\u00f3n de desarrolladores trabajando sobre su c\u00f3digo al d\u00eda, por lo que cualquier fallo es detectado y corregido pr\u00e1cticamente al momento.<\/span>
\nAdem\u00e1s, Drupal cumple con las especificaciones de OWASP, es decir, la organizaci\u00f3n sin \u00e1nimo de lucro que se dedica a determinar y combatir las causas que hacen que un software sea inseguro.\u00a0<\/span>
\nEn el momento en el que un usuario se registra en Drupal, sus credenciales pasan a estar cifradas dentro de la base de datos, empleando un SALT y a continuaci\u00f3n, aplicando la funci\u00f3n HASH denominada SHA512.<\/span><\/p>\n

1.3 Joomla | El CMS de desarrollo web<\/strong><\/h3>\n

Joomla es un CMS que ofrece, a trav\u00e9s de un panel de administraci\u00f3n, el desarrollo de un sitio web. Dicho panel permite la creaci\u00f3n, la modificaci\u00f3n y el borrado de contenido. Para proteger Joomla, existen diversas herramientas tanto gratuitas como de pago que te ayudar\u00e1n a protegerlo.\u00a0<\/span>
\nUna de las mejores extensiones que existen es <\/span>SECURITYCHECK<\/b>, que cuenta tanto con la versi\u00f3n gratis como la de pago. <\/span>SECURITYCHECK PRO<\/b>, la versi\u00f3n de pago, cuenta, por ejemplo, con la configuraci\u00f3n de un firewall, el escaneo de malware o el bloqueo por geolocalizaci\u00f3n.<\/span>
\nAkeeba Backup <\/b>es otra herramienta ampliamente conocida dentro de la comunidad de Joomla que permite gestionar copias de seguridad. Dichas copias pueden ser llevadas a cabo en horas programadas, lo que le facilitar\u00e1 el trabajo al administrador del CMS. Cabe destacar que esta herramienta est\u00e1 disponible tambi\u00e9n para la plataforma WordPress.<\/span>
\nPor \u00faltimo, <\/span>RS FIREWALL<\/b> es otra extensi\u00f3n que permite a\u00f1adirle una capa de seguridad a Joomla para protegerlo de ataques de fuerza bruta, inyecci\u00f3n de sql o ataques de denegaci\u00f3n del servicio.\u00a0<\/span><\/p>\n

1.4 Magento | Una de las principales plataformas ecommerce<\/strong><\/h3>\n

Magento se encuentra dentro de las principales plataformas ecommerce m\u00e1s utilizadas a nivel mundial, siendo una de las principales competencias de Prestashop. Para protegerlo, es necesario llevar a cabo ciertas comprobaciones como la <\/span>verificaci\u00f3n de los permisos de los ficheros<\/b>, siendo lo recomendado:<\/span><\/p>\n