Seguridad de los sitios de afiliación: Cómo mantener su sitio seguro y protegido

La seguridad de su sitio web es de suma importancia por dos razones principales: la inversión que ha realizado en su sitio web y la privacidad de las personas que lo utilizan. Todos los sitios de Internet corren riesgos y requieren medidas específicas para mantener la seguridad y el cumplimiento de la normativa. Esto es especialmente cierto para los sitios web que albergan datos del usuario como sitios de afiliación o de comercio electrónico.

Si su sitio web es pirateado, todos los datos de sus usuarios estarían en peligro. Es responsabilidad suya proteger estos datos y puede acarrear responsabilidades a esos usuarios. El sitio pirateado podría utilizarse para causar daños en los ordenadores de los visitantes o para el envío masivo de mensajes de spam. Esto perjudicaría directamente a sus usuarios y empañaría la reputación de su empresa. Tal vez lo peor de todo sea que, por no cumplir las normas (o ser hackeado), su sitio puede ser desindexado de los motores de búsqueda de la web y En la lista negra de envío de correo electrónico.

Yikes. Intentemos evitarlo, ¿vale?

Aunque es casi imposible hacer que su sitio sea 100% seguro, haremos todo lo posible para mostrarle algunos de los elementos esenciales para asegurar su sitio y mantenerse al día con los requisitos de cumplimiento modernos. La gestión de la seguridad y el cumplimiento de la normativa es una parte importante de la construcción de un sitio web. Si usted o su equipo son incapaces de atender las necesidades de seguridad, debería plantearse contratar a un profesional para que le ayude a cumplir la normativa y estar seguro.

Descripción general de las principales funciones de seguridad de MemberMouse

MemberMouse utiliza los últimos estándares y protocolos de seguridad para contraseñas, licencias y transacciones de pago. También nos esforzamos por integrarnos con cualquier nueva versión de funciones de seguridad mejoradas. Ni su sitio web MemberMouse - ni nuestros servidores - almacenarán nunca los datos de pago de sus clientes. En su lugar, esa información se almacena en los servidores de su procesador de pagos.

MemberMouse viene de fábrica con varias opciones para mejorar la seguridad de su sitio web:

Cómo gestiona MemberMouse la seguridad

Protección de cuentas compartidas permite limitar el número de direcciones IP que pueden acceder a una cuenta durante un periodo de 24 horas.

Elementos de rayas integración: Lo último en Seguridad de pago 3D Secure de Stripe. Esto conlleva el más alto nivel de cumplimiento PCI y es Preparado para SCA. El pago 3D Secure es obligatorio para los clientes del Espacio Económico Europeo (EEE). La información de la tarjeta de crédito y de facturación se envía directamente a Stripe y nunca entra en contacto con sus servidores.

Authorize.net CIM integración: Esto habilitará el gestor de información del cliente que almacena los detalles del cliente en los servidores de Authorize.Net. Además, el intercambio de tokens Accept.js se ha incorporado a nuestra integración CIM Authorize.net, por lo que la información de tarjetas de crédito y facturación se envía directamente a Authorize.net y nunca toca tus servidores.

Braintree integración: Esto incluye el proceso de pago 3D Secure mediante Hosted Fields / 3D Secure 2.0. y conlleva el máximo cumplimiento de PCI y está preparado para SCA. El proceso de pago 3D Secure es obligatorio para los clientes del Espacio Económico Europeo (EEE) a fin de cumplir la normativa. La información sobre tarjetas de crédito y facturación se envía directamente a Braintree y nunca entra en contacto con sus servidores.

Limitar los intentos de inicio de sesión integración de plugins: Por defecto WordPress permite un número ilimitado de intentos de inicio de sesión. Hemos configurado una integración con el plugin Limit Login Attempts que te permitirá configurar tu sitio para bloquear una dirección de Internet y que no pueda realizar más intentos una vez alcanzado un límite especificado de reintentos, lo que dificultará o imposibilitará un ataque de fuerza bruta.

Un paso más allá

Al crear un usuario o restablecer una contraseña, MemberMouse obliga a que la contraseña tenga un mínimo de 8 caracteres. MemberMouse también admite la adición de un filtro personalizado que permite evaluar la contraseña en función de requisitos personalizados que puede definir.

El pago puede configurarse para utilizar V3 de Google ReCaptcha que es la última versión de un sistema invisible que minimiza los registros de bots y estafadores.

RatónMiembro.com no almacena ni tiene acceso a los datos de sus usuarios ni a la información de sus tarjetas de crédito.

Nuestra plataforma cumple la normativa GDPR y cuenta con funciones para gestionar las solicitudes GDPR.

MemberMouse utiliza la funcionalidad estándar de contraseñas de WordPress, por lo que siempre dispondrá de las últimas y mejores funciones de almacenamiento y gestión de contraseñas.

MemberMouse se actualiza regularmente y es compatible con las últimas versiones de PHP.

El ABC de la seguridad en el alojamiento web

La mayoría de los alojamientos modernos disponen de los elementos básicos necesarios para mantener seguro su servidor con herramientas como Modsecurity o (WAF) cortafuegos de aplicaciones web. Dicho esto, nunca debe utilizar un alojamiento barato - o un alojamiento de revendedor de bajo nivel - porque pueden no tener protocolos para mantener su servidor seguro, o la capacidad de atender a las solicitudes de emergencia que pueda tener.

Teniendo en cuenta que su proveedor de alojamiento ya debería disponer de protocolos y módulos comunes para mantener su servidor seguro, gran parte de las responsabilidades de seguridad de su servidor recaen sobre usted. Por desgracia, es habitual que muchos propietarios de sitios web no tengan en cuenta los peligros potenciales que entraña la configuración de su paquete de alojamiento. Para ponerlo en perspectiva, una mala gestión del alojamiento es responsable del 41% de la mayoría de los hackeos. Para ayudar a mantener su servidor seguro, aquí hay algunas cosas comunes que se pasan por alto que usted puede atender para mantenerse a salvo:

Cómo mantener seguro su sitio web

Utilice un protocolo de contraseña segura para iniciar sesión en su plan de alojamiento con una mezcla de letras, números y caracteres. Nunca utilices palabras que se puedan encontrar en el diccionario.

Elimina cualquier cuenta FTP mientras no esté en uso. Muchos servidores permiten cerrar el FTP cuando no se utiliza. De nuevo, utiliza protocolos de contraseñas fuertes cuando configures esto.

Todas las cuentas de correo electrónico que estén asociadas al sitio web, o que estén en el servidor deben tener protocolos de contraseñas fuertes. Si estas cuentas son pirateadas, pueden ser utilizadas para acceder al sitio y causar daños, además de ser utilizadas en el envío de correo spam.

Compruebe regularmente si hay irregularidades en su gestor de archivos. A menudo, las copias de seguridad o los archivos de base de datos se encuentran en public_html, por lo que están a disposición del público. Estas copias de seguridad pueden descargarse fácilmente y en ellas se encuentra toda la información segura del sitio, incluidos los accesos a la base de datos y las contraseñas de administrador. Mantenga su sistema de archivos ordenado y almacene sólo los archivos necesarios para que su sitio funcione.

Consejos adicionales

Compruebe a menudo que los permisos de archivos y carpetas están correctamente configurados. Los archivos, incluidos el archivo .htaccess y el archivo wp-config, deberían tener permisos 644, mientras que las carpetas deberían tener permisos 755. Los archivos pueden ajustarse a un permiso incorrecto cuando se llevan a cabo ciertas acciones en su panel de administración de WordPress, por lo que es importante comprobarlos regularmente.

Asegúrese de que su servidor crea copias de seguridad periódicas a las que pueda acceder. No confíe en los plugins para gestionar las copias de seguridad, ya que no son fiables y a menudo no funcionan con MemberMouse.

Realice auditorías anuales del software de su servidor para asegurarse de que está utilizando las últimas versiones compatibles de PHP.

Nunca acceda a su servidor si cree que su ordenador personal está en peligro. Debe utilizar software de seguridad compatible en cualquier ordenador que utilice para acceder a su servidor y sitio web. Este es un método muy común que su sitio o servidor podría ser hackeado.

Para más consejos sobre la elección de un proveedor de alojamiento, así como los requisitos mínimos para el funcionamiento de MemberMouse, puede consultar nuestro artículo sobre Proveedores de alojamiento de WordPress.

Algunas cosas que debe saber sobre la seguridad de WordPress

El Códice de WordPress tiene un extenso artículo sobre Endurecimiento de WordPress que analiza las vulnerabilidades, la configuración de permisos de archivos seguros, la seguridad de la base de datos y el acceso al panel de administración, y mucho más. Este artículo es una lectura obligada para cualquier propietario de un sitio web que quiera aprender más sobre la seguridad necesaria para su sitio web. La mayoría de las recomendaciones son fáciles de llevar a cabo y pueden mejorar seriamente la salud y la seguridad de su inversión.

Las medidas más importantes que puedes tomar para proteger tu WordPress son:

Contraseñas: Exija que todas las cuentas de administrador utilicen una protocolo de contraseña segura. Considere la posibilidad de utilizar Autorización en 2 pasos para evitar el acceso a estas cuentas. Un hacker que acceda a su cuenta de administrador puede instalar scripts maliciosos que pueden poner en peligro todo su servidor, hacer que su sitio web sea expulsado de los motores de búsqueda y destruir su sitio web y los datos privados de sus usuarios.

La cuenta de correo electrónico asociada a la cuenta de administrador también debe tener contraseñas seguras y Autorización en 2 Pasos, ya que pueden utilizarse para acceder fácilmente a su instalación de WordPress.

Actualizaciones: 83% de los sitios web que son pirateados no se actualizan correctamente. Es el paso más importante que puede dar para proteger su sitio web. No deje nunca que las actualizaciones se retrasen activando Actualizaciones automáticas que es una función integrada en WordPress.

Orden: Elimina los plugins y temas que no utilices. Te conviene mantener un tema predeterminado de WordPress aparte de tu tema principal, pero los plugins que no utilices debes eliminarlos a menos que planees volver a activarlos pronto.

Nota al margen

Evalúa detenidamente si necesitas un plugin. Menos es mejor cuando se trata de plugins y sólo instalar plugins que se actualizan con regularidad y provienen de un vendedor de buena reputación.

Después de utilizar plugins de migración, plugins de bases de datos o plugins de edición de archivos, deben eliminarse rápidamente. El acceso no autorizado a estos plugins puede significar un desastre, ya que proporcionan un camino sencillo a las áreas necesarias que un hacker requiere.

Acceso: Trabaja siempre en tu web y servidor desde una red de confianza. Evita a toda costa los cibercafés o WIFI públicos.

Utilice un Plugin para limitar el inicio de sesión para limitar los intentos de inicio de sesión inusuales. Es muy común que el inicio de sesión de su sitio web sea atacado a diario. A veces miles de veces al día, por lo que el uso de un plugin de inicio de sesión bloqueará los malos intentos de inicio de sesión y evitará que intenten acceder continuamente.

Elimine las cuentas de administrador no utilizadas en WordPress.

Desactivar los editores de temas y plugins desde el panel de administración de WordPress para evitar la edición de archivos cuando se accede a su sitio sin autorización.

Todo sobre las siglas: SSL, HTTPS y conformidad PCI

Todos los sitios web, acepten pagos o no, deberían utilizar un SSL y estar protegidos con HTTPS. Los datos de inicio de sesión, así como la transferencia de información a sus usuarios, deben estar asegurados para la protección de todos.

En Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) es un conjunto de requisitos destinados a garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro. Esto no sólo significa que es obligatorio por ley tener un SSL correctamente instalado en su sitio si tiene una tienda o un sitio de membresía, sino que también significa que tiene que ir más lejos para asegurar su sitio web y este artículo cubre muchos de esos pasos que puede tomar.

Si desea aprender a instalar un certificado SSL en su sitio web, disponemos de un artículo detallado aquí con instrucciones sobre cómo instalar uno en su sitio.

El mero hecho de disponer de un certificado SSL y utilizar HTTPS no significa necesariamente que vaya a cumplir plenamente la normativa PCI. Los requisitos varían en función de su tipo de negocio, configuración técnica y/o volumen. Si tiene dudas sobre el cumplimiento de la normativa PCI, lo mejor es que hable con su procesador de pagos o con un experto en PCI-DSS. Este artículo es un buen manual sobre el tema y puede ayudarle a entender qué pasos adicionales tendrá que dar, si es que tiene que dar alguno.

Estas guías de preguntas frecuentes sobre la PCI también son sucintas y útiles:

¿Qué son los "niveles" de conformidad PCI y cómo se determinan?

PCI SAQ 3.1: Explicación de las opciones de comercio electrónico

No se olvide de la seguridad de dominios y DNS

La seguridad de la cuenta en la que está registrado su dominio (como Godaddy, Namecheap, etc.) debe protegerse mediante protocolos de contraseña segura y, cuando sea posible, 2 Stage Login. Si se obtiene acceso no autorizado a la configuración DNS de su dominio, se puede cambiar o secuestrar un sitio web y, potencialmente, se puede robar el dominio. Una auditoría anual de la cuenta de su dominio para asegurarse de que toda la información de contacto asociada al dominio está actualizada y es precisa es una buena protección y puede ayudar a mantener la propiedad.

La seguridad de los DNS se tiene menos en cuenta, pero pueden producirse graves consecuencias si los DNS son secuestrados. Estos ataques pueden redirigir el tráfico entrante de un sitio web a una copia falsa del mismo, recopilando información sensible del usuario y exponiendo a las empresas a importantes responsabilidades. Una de las formas más conocidas de protegerse contra las amenazas DNS es adoptar el protocolo DNSSEC.

Existen muchas opciones para la protección del DNS, pero Cloudflare es una gran opción ya que no sólo protegerá sus DNS, sino que puede proteger su sitio de los bots y permitir que todos los recursos de su servidor se destinen a los usuarios reales en lugar de atacar a los bots. La gran variedad de opciones que ofrecen son excelentes para proteger su sitio web y tienen diversos planes de precios, incluido el gratuito.

Conclusión

Las contraseñas y las actualizaciones son la base de la seguridad y a menudo se pasan por alto o se ignora su importancia. A menudo, la gente cree que su contraseña es segura cuando, en realidad, es probable que se haya filtrado en la red oscura cientos de veces y no tenga ningún tipo de seguridad. Acostúmbrate a actualizar regularmente tus contraseñas en todas partes y a utilizar un gestor de contraseñas fiable.

Actualice el software de su sitio web lo antes posible. Esto no solo te ayudará a mantenerte seguro, sino que a menudo resuelve problemas que puedas estar teniendo con tu software o plugins.

Si tienes un encuentro desafortunado con un hack, recurre a un profesional de confianza para resolverlo, y nunca confíes en un simple plugin para protegerte o "arreglar" el problema. Aparte de eliminar el malware y evitar que vuelva a aparecer, hay que seguir muchos pasos para reparar estas situaciones, incluida la necesidad de documentar la resolución para eliminar las listas negras de los motores de búsqueda y los proveedores de correo electrónico.

También es posible que tenga la obligación legal de informar a los miembros de su sitio de la infracción y contar con un profesional que le ayude con el tedioso proyecto de notificar a su base de miembros, la jerga necesaria y lo que se ha infringido resultará muy valioso.

Informarse sobre la importancia de la seguridad es también un buen punto de partida. A continuación incluimos referencias a los datos utilizados en este artículo, así como otros recursos útiles para aprender sobre seguridad.

Recursos adicionales:

¿Cómo se piratean los sitios web?
Cómo mejorar la seguridad de WordPress [Infografía]
Endurecimiento de WordPress
Autenticación en dos pasos
Configuración de actualizaciones automáticas en segundo plano
Buenas prácticas en materia de contraseñas
Repositorio de WordPress - Plugins etiquetados como Seguridad

---

Contenidos relacionados

---

• Compartir