[Checklist] Auditoría de seguridad de tu tienda online en 10 puntos
En este checklist te mostraremos 10 respuestas a las 10 preguntas anteriores para que puedas hacer correctamente una auditoría de seguridad a tu tienda online de forma correcta.
1 – ¿Utiliza mi tienda online el CMS o gestor de contenidos adecuado?
Shopify, Magento y WordPress son las tres plataformas más populares de internet a la hora de crear una tienda online. Ninguna de estas plataformas sería una solución de comercio electrónico popular si no fuera segura.
De todos modos, las tres plataformas tienen sus fortalezas y debilidades por lo que te recomendamos investigar un poco para descubrir cuál de ellas se adapta mejor a tus necesidades.
Una auditoría rápida de tu CMS o gestor de contenidos actual podría incluir las siguientes preguntas:
- ¿El CMS envía actualizaciones con frecuencia para solucionar vulnerabilidades de seguridad?
- ¿El CMS tiene un equipo dedicado a garantizar que se cumplan los estándares de seguridad?
- ¿Tiene el CMS un historial de vulneraciones de datos a gran escala o vulnerabilidades que quedaron abiertas?
- ¿Cuál es la reputación del CMS a nivel de seguridad?
2 – ¿Está mi tienda online en un buen servidor web?
Poner tu tienda online en el mismo servidor compartido que el blog de tu amigo es una mala idea.
¿Por qué?
Una tienda online es más compleja que un blog y requiere una mayor experiencia para asegurar que la plataforma funcione correctamente y con seguridad.
Por lo tanto, invertir en una solución de alojamiento centrado en el comercio electrónico te permitirá ahorrarte mucho tiempo y disgustos en la administración de tu tienda online.
Por este motivo, nosotros recomendamos el hosting Siteground.
3 – ¿Mi tienda cumple con PCI-DSS?
Si aceptas pagos con tarjetas de crédito en tu tienda online has de cumplir con los estándares de seguridad de datos de la industria de tarjetas de pago (PCI-DSS).
Según el PCI (Security Standards Council) oficial, » Si acepta o procesa tarjetas de pago, se le aplican los estándares de seguridad de datos de PCI».
Estos estándares incluyen más de 300 requisitos de seguridad diferentes. De todas formas, a continuación te dejamos una descripción general de las mejores prácticas de PCI-DSS:
| Mantén una red segura | 1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta 2. No utilice valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad |
| Protege los datos del titular de la tarjeta | 3. Proteja los datos almacenados del titular de la tarjeta 4. Cifre la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas |
| Tenga un programa de gestión de vulnerabilidades | 5. Use y actualice regularmente programas de antivirus 6. Desarrolla y manten sistemas y aplicaciones seguras |
| Implementar medidas de control de acceso sólidas | 7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad comercial 8. Asigne una identificación única a cada persona 9. Restringe el acceso físico a los datos del titular de la tarjeta |
| Monitorear las redes con regularidad | 10. Rastree y controle todo el acceso a los recursos de la red y los datos del titular de la tarjeta 11. Pruebe regularmente los sistemas y procesos de seguridad. |
| Mantenga una política de seguridad de la información | 12. Mantenga una política que aborde la seguridad de la información para empleados y contratistas. |
Cuando tomas los números de tarjetas de débito de tus clientes has de cumplir con estos requisitos para evitar que un atacante malintencionado tome el control de las cuentas bancarias de tus clientes.
4 – ¿Recopilo más datos de los necesarios de mis clientes?
Cuanta más información recopiles sobre tus clientes más información podrá verse comprometida durante una vulnerabilidad. Por ello, nunca debes recopilar más información sobre tus clientes de la que necesites.
Por ejemplo, si vendes productos digitales que no se renueven automáticamente ¿Entonces por que recopilar y almacenar la dirección postal?
También debes considerar el uso de una pasarela de pago intermediaria como Stripe.
Las pasarelas de pago te permiten descargar pagos con tarjeta de crédito por lo que tu tienda podrá aceptar pagos online sin procesar ni almacenar números de tarjetas de crédito. Por este motivo, Stripe te ayudará a cumplir con la PCI-DDS .
Como has visto, limitar la información que recopilas sobre tus clientes limitará la cantidad de información expuesta durante una infracción ya que no podrás dar datos confidenciales de clientes que no tienes.
5 – ¿Estas cifrando la comunicación entre mis clientes y mi tienda?
Tener un certificado SSL en tu página web será clave para cifrar la comunicación que tus clientes escriben en su navegador y envían a tu página web.
Si tu tienda online cuenta con un certificado SLL cuando un cliente ingrese su nombre de cuenta y contraseña estará protegido cuando esa información se envíe al servidor de tu página web para su confirmación.
Cifrar el nombre de usuario y la contraseña dificultará que un hacker intercepte el nombre de usuario y la contraseña en tránsito desde el navegador del cliente a tu servidor.
6 – ¿Están seguras las cuentas de mis clientes?
Un ataque de fuerza bruta es el tipo de ataque más común en las cuentas de clientes de tienda online.
La fuerza bruta es un tipo de ataque en el que un hacker intenta adivinar una combinación aleatoria de nombres de usuario y contraseñas hasta encontrar la correcta. La razón por la que los ataques de fuerza bruta son tan populares es que la habilidad para provocarlos no es muy elevada.
Según la investigación del blog de seguridad de Google , debe seguir estas 5 reglas para detener el 100% de los ataques de fuerza bruta:
| Recomendación | Descripción |
|---|---|
| Limitar intentos fallidos de inicio de sesión | Limita el número de intentos de inicio de sesión incorrectos que un bot puede intentar antes de ser bloqueado. |
| Forzar contraseñas seguras | Una contraseña que tenga al menos 12 caracteres de longitud, aleatoria e incluya una gran cantidad de caracteres como «ISt8XXa! 28X3» hará que sea muy difícil de descifrar. |
| Rechazar contraseñas comprometidas | Cuantos más usuarios tengas que reutilicen contraseñas más débil será la seguridad de inicio de sesión de tu tienda online. |
| Utiliza la autenticación de dos factores | No hay mejor manera de proteger las cuentas de tus clientes que con la autenticación de dos factores de WordPress. La autenticación de dos factores requiere un código adicional junto con su nombre de usuario y contraseña de WordPress para iniciar sesión. |
| Limitar los intentos de autenticación externa | Hay otras formas de iniciar sesión en un sitio de WordPress además de usar un formulario de inicio de sesión. Con XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP. El método de amplificación de fuerza bruta permite a los atacantes realizar miles de intentos de nombre de usuario y contraseña utilizando XML-RPC en solo unas pocas solicitudes HTTP. |
7 – ¿Está actualizado el software de mi tienda online?
Las actualizaciones de software no solo sirven para agregar nuevas funciones o correcciones de errores a la tienda online. También pueden incluir parches de seguridad para vulnerabilidades de seguridad conocidas.
La ejecución de software obsoleto con exploits conocidos por todo el mundo es una de las razones más comunes por las que las tiendas online son pirateadas.
Por lo tanto, es crucial para la seguridad de tu tienda online que tengas una rutina de actualización de software.
8 – ¿Estoy visitando con regularidad el front-end de mi página web en busca de cambios no autorizados?
¿Cuándo fue la última vez que revisaste el front-end de tu tienda online o visitaste la página de inicio?
Como propietarios de tiendas onlines normalmente iniciamos sesión directamente en el backend de la tienda online para agregar nuevos productos, contenido y llevar a cabo actualizaciones.Por este motivo, revisar las páginas y los productos de tu página web puede ayudarte a encontrar signos de infección.
Para ello puedes buscar estos 3 signos de infección cuando inspecciones el front-end de tu tienda online:
- Revisa tu página de inicio para ver si hay cambios: el objetivo principal de algunos hackers es ganar notoriedad. Por lo tanto, solo cambian su página de inicio por algo que les parezca divertido o para dejar una tarjeta de visita pirateada.
- Busca cualquier ventana emergente maliciosa o spam: ¿Hay algún producto que se anuncie en tu tienda online que no vendes?
- Encontrar redireccionamientos inesperados: ¿La web hace clic en uno de los enlaces de sus productos solo para ser redirigido a una tienda maliciosa que intenta recopilar los datos de tus clientes?
9 – ¿Estoy usando una CDN? ¿Y un WAF?
El uso de una red de entrega de contenido (CDN) como Cloudflare CDN puede ayudarte a proteger tu tienda online de ataques DDoS.
El CDN es un servidor diferente al de tu página web que puede inspeccionar las solicitudes que se realicen a tu página web antes de que lleguen a ella.
Un ataque de denegación de servicio (DDos) es cuando un atacante intenta interrumpir o derribar tu página web con una avalancha de tráfico de Internet y, dependiendo de tu plan de alojamiento web es posible que no se requiera mucho tráfico adicional para que esto ocurra.
Por ello es importante el uso de una CDN ya que puede ayudarte a mitigar un ataque DDoS de dos formas diferentes:
Lo primero que hará una CDN es monitorear e identificar activamente que tu página web está siendo atacada.
Una vez que se identifican las direcciones IP maliciosas, la CDN evitará que las solicitudes de las direcciones IP lleguen a tu página web.
También debería considerar el uso de un firewall de aplicaciones web (WAF). Un WAF puede identificar y filtrar el tráfico malicioso antes de que llegue a tu página web.
A diferencia de un Firewall de aplicaciones web un WAF como el que ofrece Cloudflare no está en el mismo servidor que tu página web. Por lo tanto, todo el filtrado de seguridad se realizará fuera de la página web sin que esto afecte por lo tanto al rendimiento de tu página web.
10 – ¿Protejo mi conexión cuando trabajo en espacios públicos?
Una de las mejores cosas de ser administrador una tienda online es que puedes trabajar desde cualquier parte del mundo.
Por desgracia, si para trabajar en tu ecommcerce utilizas un wifi público como el de las bibliotecas públicas, los hoteles, las cafeterías y los aeropuertos estarás exponiendo tu seguridad ya que estarás permitiendo que los piratas informáticos intercepten tus comunicaciones y contraseñas.
Para prevenirlo lo mejor será utilizar una red privada virtual (VPN) te permitirá comunicarte de forma segura con tu banco o tienda online cifrando el tráfico de Internet.
