WordPress y WooCommerce ponen la posibilidad de crear una tienda online a disposición de cualquier persona sin necesitar apenas conocimientos técnicos. Sin embargo, crear y administrar una tienda online sí que requiere tener en cuenta una serie de factores que no todo el mundo tiene en cuenta. Uno de esos factores, que habitualmente es pasado por alto, es de la ciberseguridad.
En esta entrada voy a repasar los tres fallos de seguridad más comunes en tiendas online con WooCommerce: en qué consisten, qué consecuencias pueden tener en tu tienda y, por supuesto, cómo evitarlos.
Tabla de contenidos
Seguridad en WooCommerce
Decía que, por lo general, no se tiene muy en cuenta la seguridad a la hora de crear una tienda online, al menos cuando ésta es creada por un usuario medio, con pocos conocimientos técnicos.
Y es lógico. Un error grave de seguridad es muy poco habitual que se dé, y la inmensa mayoría de administradores de un sistema WordPress nunca se encontrarán con ninguno.
Por otro lado, los «pequeños» fallos (y entrecomillo «pequeños» porque no hay fallo de seguridad pequeño) no son una prioridad para este tipo de usuarios: se encuentran con otros (numerosos) retos y dificultades a la hora de crear su comercio electrónico como para cuidarse de estas «minucias» que, por otro lado, normalmente ni siquiera llegan a conocer nunca.
Dejando la seguridad a WordPress
Además, WordPress es un sistema suficientemente seguro. Muy lejos quedaron los tiempos de las grandes vulnerabilidades (como aquella en que, modificando el valor de una cookie, un usuario sin privilegios podía acceder como administrador). Es decir que a WordPress la seguridad, como en la cartilla militar el valor, «se le supone».
Sin embargo ninguna plataforma es perfecta y, si no prestas atención y dejas las cosas tal y como vienen por defecto, puedes encontrar que hay cosas mejorables en este aspecto (como en cualquier otro). ¡Actualiza!
Repasemos pues los tres fallos de seguridad que, sin duda, tiene tu tienda creada con WooCommerce si no te has ocupado de subsanarlos de alguna forma.
Debilidad ante los repetidos intentos de login
Tú lo sabes, yo lo sé, y en realidad todo el mundo lo sabe: debemos usar contraseñas seguras. Nada de palabras comunes, nada de secuencias simples («1234»), etcétera. Pero hay gente que ignora estas recomendaciones, ya sea por pereza o… por pereza.
Cuando un sistema permite realizar tantos intentos de login como se quiera (y WordPress/WooCommerce lo permiten) es posible realizar lo que se llaman ataques de fuerza bruta o de diccionario: intentos automatizados de login probando, una tras otra, las cadenas incluidas en una lista enorme de posibles contraseñas, que incluyen desde palabras comunes o secuencias sencillas hasta listas de contraseñas robadas en sitios vulnerables.
Evitar los repetidos intentos de login
Solucionar este fallo es sencillo, y de hecho hay varios caminos que se pueden tomar para hacerlo:
- Establecer un tiempo de espera tras un intento fallido de login para poder volver a intentarlo (normalmente unos pocos segundos es suficiente).
- Limitar el número de intentos de login posibles, bloqueando después la IP de la que proceden. El bloqueo ha de ser temporal (unos pocos minutos) porque, créeme, hay usuarios legítimos que no recuerdan su contraseña y aún así insisten e insisten e insisten con los intentos.
- Bloquear a cualquier IP que intente identificarse usando nombres de usuario demasiado obvios (que, por supuesto, tú no debes utilizar), como «admin», «administrador», «administrator», el nombre de tu web, etcétera.
Implementar estas soluciones es muy fácil, y cualquier plugin de seguridad gratuito (si tiene cierta calidad) te permitirá configurar una o varias de ellas. Por ejemplo, Wordfence.
¿Estás construyendo tu tienda online o eres implementador WordPress?
¿Necesitas plugins de calidad y con soporte para implementar funcionalidades concretas?
Consigue todos los plugins a la venta en la sección de plugins de esta web y todos los que siga añadiendo. Acceso a los 96 plugins (y subiendo) con soporte directo del desarrollador, actualizaciones y uso ilimitado: úsalos en tantas webs como lo necesites.
Plugins conflictivos o vulnerables
Cuantas más funcionalidades quieres en tu tienda más plugins tienes que utilizar. Sin embargo, un mayor número de plugins significa una mayor cantidad de interacciones posibles entre ellos, cantidad que aumenta exponencialmente al aumentar el número de plugins en uso.
Esto puede derivar en cosas que todos conocemos: cosas que dejan de funcionar o que empiezan a funcionar mal, lentitud de carga en las páginas, acciones que demoran segundos interminables, errores 5xx, etcétera.
Eso no es lo peor: en lo que atañe al tema de esta entrada, un mayor número de plugins significa una mayor cantidad de código susceptible de contener vulnerabilidades y fallos de seguridad.
Incluso plugins utilizados por millones de usuarios y con equipos solventes de desarrolladores detrás de su código pueden contener vulnerabilidades graves, como ha ocurrido en el pasado con plugins como Elementor y Slider Revolution, por poner dos ejemplos muy conocidos. Que se lo digan a Mossack Fonseca y la filtración de los conocidos como Panama Papers.
Solucionar los fallos de seguridad debidos a plugins
Esto no es tan fácil de hacer. Aquí lo que prima es la prevención, cumpliendo dos reglas básicas:
- Instala tan pocos plugins como te sea posible. Si no es fundamental para implementar tu modelo de negocio o no te permite aumentar ventas, no lo instales.
- Mantén todos los plugins actualizados a su última versión. Un plugin desactualizado con una vulnerabilidad conocida es una puerta abierta de par en par.
Software desactualizado
Y esto nos lleva de cabeza al tercer error (que no fallo, ya que es debido al administrador, no al software) de seguridad de esta lista: el software desactualizado. Aunque, seguramente, por gravedad y por lo extendido que está debería estar situado en el primer lugar.
Y es que da miedo (literalmente) la cantidad de tiendas que hay con versiones desactualizadas de WordPress, plugins y plantillas. A diario (literalmente) entro en webs en las que veo 10, 20, 30 (e incluso a veces más) actualizaciones disponibles.
¿Por qué es esto tan grave? Pues porque si un plugin (o una plantilla, o el propio WordPress) contiene una vulnerabilidad de la que nadie se ha dado cuenta, nadie la puede aprovechar.
Pero si alguien se da cuenta de que ese fallo de seguridad está ahí y se publica una actualización que lo resuelva, esto se ve en el changelog (el registro de cambios de cualquier software), por lo que se hace público que las versiones anteriores a la que corrige el fallo adolecen de esa vulnerabilidad.
No pasa mucho tiempo hasta que aparecen scripts y automatizaciones que, una web tras otra, buscan, prueban y, si la encuentran, aprovechan esa vulnerabilidad. Si estás usando una versión antigua de un plugin, una plantilla o de WordPress, y esta versión contiene una vulnerabilidad conocida, estás invitando a que te hackeen la web.
Deja una respuesta