homefinance blog
Si tiene una tienda en línea, puede ver un aumento repentino en el tráfico durante la temporada de vacaciones. Con nuevos clientes que ingresan su información de pago y direcciones personales en su sitio, es más importante que usted proporcione su tienda en línea para preparar las vacaciones. Noviembre y diciembre son los meses más ocupados de compras del año, lo que hace que cualquier período de no función relacionado con un truco o un incumplimiento de seguridad sea más costoso que en cualquier otro período del año. El tiempo de operación de su sitio web nunca ha sido más valioso y es por eso que este es el momento perfecto para realizar una auditoría de seguridad de su tienda en línea.
Preguntas importantes para la seguridad de su sitio web al final de la auditoría de seguridad de su sitio web, debería poder responder a estas 10 preguntas:
1. ¿Está mi tienda en la plataforma correcta?
2. ¿Mi tienda está en el host web correcto?
3. ¿Mi tienda es compatible con PCI-DSS?
4. ¿Recojo demasiados datos sobre mis clientes?
5. Cifro de comunicación entre mis clientes y mi tienda?
6. ¿Mis cuentas de clientes son seguras?
7. ¿Se actualiza el software que ejecuta mi tienda en línea?
8. ¿Visito regularmente el front-end de mi sitio?
9. ¿Uso CDN y WAF?
10. ¿Protego mi conexión cuando trabajo en espacios públicos?
Una auditoría de seguridad del sitio web de 10 puntos no se preocupe si no sabe cómo responder algunas o todas estas preguntas. Sabrá cómo responder todas estas preguntas al final de esta publicación. A medida que pasamos por el resto de esta publicación, le recomendamos que tome notas sobre los resultados de su auditoría, así como cualquier acción a tomar. Esta auditoría también es un excelente servicio para proporcionar a sus clientes de diseño web (en cualquier época del año). Comencemos con la auditoría de seguridad de su sitio web en la preparación de la temporada navideña. Descendiendo el PDF: una auditoría de seguridad del sitio de comercio electrónico en 10 puntos
Descargar ahora
1. ¿Está mi tienda en la plataforma correcta? Shopify, Magento y WordPress son tres de las plataformas más populares que las personas usan para crear sus tiendas. Ninguna de estas plataformas sería popular soluciones comerciales electrónicas si no fueran seguras. Las tres plataformas tienen sus fortalezas y debilidades, por lo que debe investigar un poco para averiguar cuál se adapta mejor a sus necesidades. Una auditoría rápida de su plataforma actual puede incluir las siguientes preguntas:
1. La plataforma frecuentemente las actualizaciones de las píldoras para abordar las vulnerabilidades de seguridad?
2. ¿La plataforma contrata / utiliza un equipo dedicado a garantizar el cumplimiento de los estándares de seguridad?
3. ¿La plataforma tiene un historial de violaciones de datos a gran escala o vulnerabilidades que se han dejado abiertos?
4. ¿Cuál es la reputación de la plataforma como segura?
Una cosa para recordar es lo fácil que sería trasladar su tienda a otra plataforma o host. Si necesita alejarse de Shopify, puede migrar Shopify a WoCommerce. Sin embargo, no será tan fácil como mover una tienda de WordPress en un nuevo host web. WordPress también permite más personalización y flexibilidad para las herramientas que puede usar. ¿Mi tienda está en el host web correcto? Ponga su sitio en la misma casa particionada que el blog de su amigo es una mala idea. ¿Por qué? Un sitio de comercio electrónico agrega mucha complejidad, lo que requiere una mayor experiencia para ser asegurada adecuadamente. No ha creado una tienda porque soñó con convertirse en un experto en seguridad cibernética, por lo que debe descargar esta responsabilidad a su anfitrión. La inversión en una solución de alojamiento centrada en el comercio electrónico, tal alojamiento de WordPress administrado es el camino a seguir. Divulgación completa, Liquid Web es nuestra compañía madre, pero es muy excelente para usted. Vaya a la tienda de precios y busque otra compañía de alojamiento que compite con ese valor a ese precio. Si tiene un host de comercio electrónico administrado, ahorrará mucho tiempo y problemas en la administración de su sitio, tiempo que puede usar para desarrollar su negocio.
3. ¿Mi tienda es compatible con PCI-DSS? Si acepta pagos con tarjeta de crédito, debe cumplir con los estándares de seguridad de datos en la industria de tarjetas PCI-DSS. Según los estándares oficiales del Consejo de Seguridad de PCI, “si acepta o procesa tarjetas de pago, se aplica a los estándares de seguridad de datos PCI”. Estos estándares incluyen más de 300 requisitos de seguridad diferentes, pero aquí hay una presentación general de las mejores prácticas PCI-DSS: PCI Data Security Standard = “Blog-Table” Border = “1”> Objetivos Requisitos de PCI DSS
2. No use la configuración predeterminada proporcionada por el proveedor para contraseñas del sistema y otros parámetros de seguridad.
3. Proteja los datos almacenados del titular de la tarjeta
4. Cifrar datos del titular de la tarjeta de transmisión a través de redes públicas abiertas
6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros.
8. Asigne una identificación única a cada persona con acceso a la computadora
9. Limite el acceso físico a los datos del titular de la tarjeta
!
12. Mantenga una política que aborde la seguridad de la información para los empleados y contratistas
Cuando elige tomar el número de tarjetas de débito de las personas, el cumplimiento de estos requisitos contribuirá a la prevención de un atacante malicioso para drenar su cuenta bancaria. Le insto a que obtenga consejos especializados para asegurarse de cumplir con los requisitos de PCI-DSS.
4. ¿Recojo demasiados datos sobre mis clientes? Cuanta más información recopile sobre sus clientes, más información se verá comprometida durante una violación. En estos días, apenas podemos ir durante una semana sin descubrir que una empresa fue víctima de una violación de datos que expuso los datos del cliente. Por ejemplo, en la violación de Doordash, los números de teléfono del cliente, las direcciones de correo electrónico, las direcciones de la casa y las contraseñas hash se han comprometido. Esta combinación de información podría ser todo lo que sea necesario para contraer un préstamo fraudulento. Nunca debe recopilar más información sobre sus clientes de lo que necesita. Si vende productos digitales que no se renuevan automáticamente, ¿por qué recolectaría y almacenaría la dirección postal?
También debe considerar usar una pasarela de pago como Stripe. La pasarela de pago le permite descargar los pagos de su tarjeta de crédito para que su tienda pueda aceptar pagos en línea sin procesar o almacenar números de tarjeta de crédito. Stripe también lo ayudará a ser compatible con PCI-DDS. Desafortunadamente, siempre habrá atacantes en línea y no faltarán los informes sobre sitios comprometidos. Limitar la información que recopile sobre sus clientes limitará la cantidad de información expuesta durante una violación. No puede perder los datos confidenciales de los clientes que no tiene. Cifro de comunicación entre mis clientes y mi tienda? SSL encripta las comunicaciones que sus clientes escriben en su navegador y envían a su sitio con SLL, cuando alguien ingrese el nombre de la cuenta y la contraseña, se protegerá cuando esta información se envíe al servidor de su sitio. Para confirmación. Cifrar el nombre de usuario y la contraseña hará que sea más difícil para un atacante interceptar el nombre de usuario y la contraseña en tránsito de su navegador a su servidor. No pasaremos demasiado tiempo para ello, porque asumiremos que todos ya están usando un certificado SSL en su sitio web. Puede consultar nuestra capacitación de WordPress WordPress si no está familiarizado con SSL. Si está utilizando un host especializado en comercio electrónico, es probable que su sitio use SSL de manera segura.
6. ¿Mis cuentas de clientes son seguras? Un ataque de fuerza en bruto es el tipo de ataque más común en las cuentas de sus clientes. Brute Force es un tipo de ataque cuando un hacker intenta adivinar una combinación aleatoria de nombre de usuario y contraseñas hasta que encuentre el correcto. La razón por la cual los ataques de fuerza bruta son tan populares es que la barrera de entrada de habilidades es muy baja. Puede encontrar muchas herramientas de descifrado de contraseña gratuitas con una búsqueda rápida de Google. La maravillosa noticia es que el uso de un complemento de seguridad de WordPress como iThemes Security Pro en su sitio de WordPress hace que sea más fácil evitar el éxito de los datos de conexión del cliente. Basado en la investigación realizada por el blog de seguridad de Google, debe seguir estas 5 reglas para detener el 100% de los ataques de fuerza bruta:
| Límite de intentos de conexión fallidos | Límite el número de intentos de autenticación incorrectos que un bot puede probar antes de ser bloqueado. | ITHEMES Function Security Pro WordPress Brute Force Protection le brinda el poder de establecer el número de intentos de autenticación fallidos permitidos antes de que se bloquee un nombre de usuario o IP. Un bloqueo deshabilitará temporalmente la capacidad del atacante para hacer intentos de conexión. Una vez que los atacantes hayan sido bloqueados tres veces, se les prohibirá acceder incluso al sitio. Carácter, aleatorio e incluye un gran grupo de personajes como “ist8xxa! 28×3 ”hará que sea muy difícil romper. |
Pregunte a los usuarios que puedan hacer cambios en WordPress que usen contraseñas seguras. El uso de un complemento de seguridad de WordPress como iThemes Security Pro para obligar a los usuarios privilegiados a usar contraseñas seguras ayudará a aumentar la seguridad de inicio de sesión de WordPress. | Cuantos más usuarios reutilice las contraseñas que tenga, más débil será la seguridad de la seguridad de WordPress. | Evite que los clientes usen contraseñas comprometidas conocidas. Ithemes Security Pro aprovecha la API de HaveibeenPwned para detectar si ha aparecido o no una contraseña. Si se ha encontrado una contraseña en una violación de datos, IThems Security le pedirá que actualice inmediatamente la contraseña de su cuenta. |
| Use dos factores No hay mejor manera de asegurar sus cuentas de clientes que por la necesidad de autenticarse con dos factores de WordPress. La autenticación en dos factores requiere un código adicional junto con el nombre de usuario y la contraseña de WordPress para iniciar sesión. | Uso de un complemento de seguridad de WordPress, como su sitio web de WordPress. Habilite el método de correo electrónico o la aplicación móvil de dos factores. También puede usar la función de autenticación de WordPress sin contraseña para que sea aún más fácil conectarse con seguridad de dos factores. TD> Hay otras formas de conectarse a un sitio de WordPress además de usar un formulario de autenticación. Usando XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP. El método de amplificación de fuerza sin procesar permite a los atacantes realizar miles de intentos de usuario y contraseña utilizando XML-RPC en solo unas pocas solicitudes HTTP. Autenticación para cada solicitud XML-RPC. Limitar el número de nombres de usuario y los intentos de contraseña para uno para cada solicitud ayudará mucho a garantizar su autenticación de WordPress. Clientes. Realmente entiendo de dónde vienes, pero déjame compartir una historia rápida que pueda cambiar de opinión. Tenía un miembro de la familia a quien una de las cuentas fue pirateada. Tenga en cuenta que el hacker ha logrado descargar los productos comprados por miembros de la familia de forma gratuita. Ninguna de su información personal se ha almacenado (ver # 4), por lo que no eran nada. Sin embargo, este miembro de la familia todavía estaba molesto. La compañía donde se violó la cuenta les otorgó un reembolso completo y les aseguró que su cuenta se asegurará una vez que hayan actualizado su contraseña. Entonces, después de escuchar esto, decidí causar mi mejor impresión en Sherlock Holmes y comenzar una investigación. Me las arreglé para encontrar que el hacker probablemente encontró la dirección de correo electrónico y la contraseña de la familia en uno de los múltiples depósitos de violación de datos. Mi familiar usó la misma combinación de contraseñas y nombres de usuario durante años. Les mostré todas las violaciones de la base de datos en la que su dirección de correo electrónico había formado parte en Haveibeenpwned.com y los alentó a actualizar su contraseña en todas sus cuentas antes de que esas cuentas también fueran pirateadas. Después de descubrir que su contraseña estaba disponible para cualquier persona, ¿cree que culpó a una contraseña débil o que la empresa se vio comprometida? Si dijeras que culpó a la empresa, estaría en lo correcto. Cuando la historia cuenta el hack, ¿crees que es más probable que hable negativamente sobre la empresa o sus prácticas de contraseña débiles? Aunque la culpa era suya, todavía creían que la responsabilidad llegaba a la empresa para proteger su cuenta. Entonces, ¿qué podemos aprender de esto? Depende de nosotros, como propietarios de tiendas, para solicitar contraseñas seguras y autenticación en dos factores para asegurar las cuentas de los clientes. Porque cuando la cuenta de un cliente está pirateada, es probable que los propietarios de la tienda sean culpables. La buena noticia es que el complemento ITHEMS Security Pro tiene una nueva función de conexión de contraseña libre de WordPress que le permite pedir a los usuarios que usen contraseñas seguras y autenticación en dos factores sin ingresar una contraseña o código adicional. Ahora puede ofrecer toda la seguridad sin sacrificar ningún uso. 7. ¿Se actualiza el software que ejecuta mi tienda en línea? Las actualizaciones de software no son solo para nuevas funciones o remedios de error. Las actualizaciones también pueden incluir parches de seguridad para operaciones de seguridad conocidas. Ejecutar un software obsoleto con una explotación conocida es una de las razones más comunes por las cuales los sitios web son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Utilizando las versiones de gestión de Ithemes Security Pro, puede activar las actualizaciones automáticas de WordPress para asegurarse de recibir los últimos parches de seguridad. Actualizar su software es lo más simple que puede hacer para proteger su tienda en línea. 8. ¿Visito regularmente el front-end de mi sitio? ¿Cuándo pasó por última vez por su sitio front-end o incluso miró la página inicial? Como propietarios del sitio ocupado, generalmente nos conectamos directamente al patio trasero de nuestros sitios para agregar nuevos productos, contenido y realizar las actualizaciones del sitio. Ejecutar las páginas y productos de su sitio puede ayudarlo a encontrar signos de infección. Debe buscar estos 3 signos de infecciones al inspeccionar el frente de su sitio o, mientras pregunta si mi sitio de WordPress está pirateado. Verifique la página inicial para los cambios: el objetivo principal de algunos hacks es triunfar un sitio web o ganar notoriedad. Entonces, cambia su página inicial solo con algo que les parece divertido o deja una tarjeta de presentación pirateada. ¿Buscas ventanas emergentes maliciosas o spam: ¿están allí productos publicitarios en su sitio que no vende? Encuentre redireccionamientos inesperados: haga clic en uno de los enlaces de sus productos solo para ser redirigidos a una tienda maliciosa que intenta cosechar a sus clientes?  Uso de la función Detección de cambios de archivo de Ithemes Security Pro puede ayudarlo a darse cuenta de cualquier cambio inesperado de su sitio. Es crucial ser advertido sobre un ataque exitoso en su sitio, más rápido se identifica la violación. el daño causado. 9. ¿Uso CDN y WAF? El uso de una red de entrega de contenido (CDN) como CDN CDN puede ayudarlo a proteger su tienda de los ataques DDoS. CDN está en un servidor diferente de su sitio y puede inspeccionar sus solicitudes a su sitio antes de que lleguen a su sitio un ataque de rechazo (DDoS) es cuando un atacante intenta interrumpir o traer su sitio con una avalancha de tráfico en Internet. Dependiendo de su plan de alojamiento, es posible que no necesite mucho tráfico adicional para reducir su sitio. Un CDN puede ayudar a aliviar un ataque DDoS de varias maneras diferentes. Lo primero que hará un CDN es monitorear e identificar activamente que su sitio sea atacado, lo cual es esencial. No puedes detener un ataque que no estás configurado para detectar. Una vez que se identifican las IP maliciosas, el CDN evitará que cualquier solicitud de IPS llegue a su sitio. También debe considerar el uso de un firewall para aplicaciones web (WAF). Un WAF es capaz de identificar y filtrar el tráfico malicioso antes de llegar a su sitio. A diferencia de un firewall para aplicaciones web de PHP, un WAF WAF no está en el mismo servidor con su sitio, por lo que todos los filtros de seguridad se realizan fuera del sitio y no agregan ninguno. carga adicional o desaceleración. 10. ¿Protego mi conexión cuando trabajo en espacios públicos? Una de las cosas maravillosas de administrar una tienda en línea es que puede trabajar en cualquier lugar. Desafortunadamente, el WiFi público es muy incierto, haciendo bibliotecas públicas, hoteles, cafeterías y aeropuertos privilegiados para que los hackers interceptaran la comunicación y la cosecha de contraseñas. Trabajé con un cliente IThemes Security Pro que no pudo descubrir cómo fue pirateado su cuenta de administrador incluso después de cambiar su contraseña. Después de unos pocos, aprendí que les gusta trabajar desde su biblioteca local y que estaban conectados a Wifi sin usar una red privada virtual (VPN). Una red privada virtual le permite comunicarse de manera segura con su banco o tienda en línea encriptando su tráfico de Internet. Debido a que el cliente Ithemes Security Pro no usó una VPN, su tráfico no estaba encriptado y su contraseña fue interceptada por un actor intencional. Después de sugerirles que intenten usar una red VPN en la biblioteca local, informaron que usar la red VPN pone los hacks. Si necesita más evidencia sobre la incertidumbre del Wi-Fi público, aquí hay un artículo maravilloso de EE. UU. Today en el que un periodista escribió sobre su experiencia para ser pirateado mientras usaba Wi-Fi en vuelo: fui pirateado en el aire Escribir una historia de Apple-FBI. Finalización: las mejores prácticas de seguridad en línea La mayoría de los ataques en su tienda en línea pueden evitar el éxito con una pequeña acción de su parte en este momento es un excelente momento para realizar una auditoría de seguridad para garantizar que el sitio sea seguro para la temporada de vacaciones. Un complemento de seguridad de WordPress puede ayudarlo a asegurar su sitio de seguridad Pro Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio contra las vulnerabilidades comunes de seguridad de WordPress.Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.Obtenga iThemes Security Promichael Moore Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.   
Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.
Tags Cómo asegurar su tienda en línea para las vacaciones: una auditoría de seguridad del sitio Check AlsoBiblioteca Divi: explorarea posibilităților de sincronizare selectivă a bibliotecii DiviBiblioteca Divi: explorarea posibilităților de sincronizare selectivă a bibliotecii Divi |