Para aceptar tarjetas de crédito en su sitio web y ser mínimamente Cumple la normativa PCI debe tener un certificado SSL y utilizar HTTPS en todas las páginas que recopilen información de tarjetas de crédito. HTTPS proporciona autenticación para su sitio web y el servidor web asociado, lo que protege contra ataques man-in-the-middle.
Además, proporciona cifrado bidireccional de las comunicaciones entre el navegador de un cliente y su servidor, lo que protege contra las escuchas y la manipulación y/o falsificación del contenido de la comunicación.
En este artículo trataremos los pasos necesarios para garantizar la seguridad de su sitio web. Este artículo también puede ser útil: http://www.wpbeginner.com/wp-tutorials/how-to-add-ssl-and-https-in-wordpress/.
Adquirir e instalar un certificado SSL
Hay varias empresas a las que puede comprar certificados SSL, entre ellas GoDaddy, VeriSign y GeoTrust por nombrar algunos. Una vez que haya adquirido un certificado SSL, tendrá que trabajar con su proveedor de alojamiento para configurarlo en su servidor.
Compruebe que su certificado SSL está correctamente instalado
Una vez que haya trabajado con su proveedor de alojamiento para instalar el certificado SSL, puede comprobar que todo está configurado correctamente utilizando este método SSL Checker.
Compruebe la configuración SSL de WordPress
Si va a utilizar el plugin HTTPS que recomendamos a continuación, entonces usted querrá asegurarse de que WordPress no está forzando SSL. Para ello, vaya al archivo wp-config.php y compruebe si 'FORCE_SSL_ADMIN' está definido allí y, si es así, asegúrese de que está establecido en 'false'. Aquí tiene instrucciones detalladas para trabajar con el ajuste SSL forzado.
Páginas seguras en su sitio web
Una vez que su certificado SSL se haya instalado correctamente, querrá asegurarse de que se utiliza HTTPS en todas las páginas de su sitio que recopilan información confidencial. Esto se puede hacer fácilmente con el WordPress HTTPS plugin.
NOTA: Si sigues este enlace verás que el plugin no se ha actualizado en más de dos años. Esto está bien. El plugin está haciendo algo muy específico y tiene un enfoque estrecho por lo que las actualizaciones no son necesarias tan a menudo como lo serían para los plugins más complejos. Además, WordPress HTTPS es una recomendación, no un requisito. Hay otros plugins de WordPress HTTPS disponibles (https://wordpress.org/plugins/search.php?q=https). Puede utilizar cualquier plugin que funcione para forzar el uso de HTTPS en su sitio.
IMPORTANTE: Después de activar el plugin HTTPS de WordPress vaya a la pantalla de configuración y en el apartado Ajustes generales asegúrese de que el Forzar SSL exclusivamente no está marcada. Cuando está marcada, el plugin HTTPS de WordPress modifica accidentalmente la URL de los formularios de pago de MemberMouse para que no sea segura. El resultado es que en algunos navegadores se mostrará a los clientes un mensaje de advertencia cuando intenten enviar el formulario de pago. Para evitarlo, asegúrese de que la opción Forzar SSL exclusivamente no está marcada, como se muestra a continuación:
También querrá añadir filtros de URL para el script de proceso php que MemberMouse utiliza para las transacciones. Éstos también pueden añadirse en la sección Filtro de URL. Deberá añadir las siguientes URL:
/wp-content/plugins/membermouse/api/processOrder.php
/wp-content/plugins/membermouse/scheduler/handler.php
Y si está utilizando Social Login: /wp-content/plugins/membermouse/endpoints/auth.php
A continuación, vaya a cada página que deba ser segura y márquela Puesto seguro en el HTTPS módulo. Deberá hacerlo para las páginas principales MemberMouse Checkout y My Account y para cualquier página en la que haya incluido un formulario de pago MemberMouse.
Asegúrese de que sus páginas son totalmente seguras
Una vez que haya instalado un plugin para gestionar HTTPS y haya configurado qué páginas deben utilizar HTTPS, querrá comprobar y asegurarse de que no se cargan elementos inseguros en sus páginas seguras, ya que esto normalmente hará que el navegador muestre una advertencia al usuario informándole de que la página no es segura.
En algunos navegadores, como Chrome, son más estrictos y terminan la representación de la página cuando se encuentra un elemento inseguro. Puede utilice esta herramienta para asegurarse de que sus páginas son totalmente seguras. Si el informe le indica que tiene elementos inseguros en su página, utilizar este recurso para arreglar los elementos inseguros.