Si ya tenías una web de comercio electrónico desde la cual presentar tus productos y servicios al público, probablemente sabes de la importancia que tiene mantener tu navegación y la de los usuarios controlada. Pero en estos tiempos en los que muchos emprendedores han dado el salto a los e-commerce, no está de más ofrecer algunos trucos y sugerencias al respecto. No tenemos dudas de que te serán de gran ayuda.
Como decíamos, la pandemia por coronavirus ha arrastrado a una enorme cantidad de pequeñas y medianas empresas a buscar soluciones alternativas. Imposibilitadas de tener contacto físico con sus clientes habituales y nuevos, Internet se posiciona como la mejor opción para mantener las ventas y resistir la crisis económica. Pero el Covid-19 no es el único riesgo que corremos ahora mismo.
Aprovechando el mayor tráfico que tienen la mayoría de las webs de negocios, los oportunistas de siempre aguardan la ocasión para hacer daño. ¿De qué forma? Por ejemplo, robando datos de los usuarios. Sean personales, bancarios, etc. Y si piensas que no es un problema tuyo, ten en cuenta que nadie querrá comprar en un sitio donde pueden extraer su información personal, así que mejor tomar cartas en el asunto.
Y es que si bien jamás lograrás eliminar las posibilidad de sufrir un ataque, sí puedes reducir las probabilidades. Con un poco de esfuerzo y una eventual inversión mínima, lograrás que tu web de ventas sea tan segura como tus clientes se merecen. Y con su confianza, ganarás reputación y dinero.
¿Cómo mantener una web de comercio electrónico segura?
Actualizaciones y parches
Así como cada componente de Internet está en evolución constante, estos pasos adelante se traducen en novedosos agujeros de seguridad. Los piratas están atentos a ellos para meterse en la brecha que se genera allí donde los propietarios tardan demasiado en cubrir esos huecos. Por tal razón, las actualizaciones de software y parches deben ocupar un espacio importante en tu agenda. Tienes que ejecutarlas tan pronto estén disponibles porque son la primera línea de defensa. Por ejemplo, si cuenta con una web e-commerce con WordPress, intenta mantener siempre actualizados los plugins, theme y, sobre todo, WordPress.
Incluso, aunque por supuesto hay registro de ataques dirigidos, que son los que generan mayores ganancias a los ciberdelincuentes, también se producen otros automatizados. Éstos requieren de un sacrificio mínimo de su parte, y son los que consiguen colarse en esas vulnerabilidades que decíamos.
Cada hora, estas personas con las peores intenciones pueden escanear la seguridad de miles de sitios. Esto les permite actuar con una celeridad impresionante. Así que no pierdas tiempo e instala actualizaciones y parches cuanto antes. Y, por ningún motivo, elimines las notificaciones que advierten sobre su disponibilidad. En general terminarás olvidándote de ellas.
Control de los accesos
Saber quién entra al núcleo de tu página, de qué forma lo hace, y con qué objetivo, es fundamental. Algunos principiantes pierden de vista que indexar sus páginas de administradores sólo logra exponerlas ante los hackers. En este caso, tienes que usar el archivo robots.txt para evitarlo.
Si tienes empleados, también tendrás que ser muy cuidadoso con los permisos que les otorgas. El primer paso es analizar que no haya malware en los dispositivos que conectan a la red de la empresa, o a la que se use para gestionar tu web de comercio electrónico. Además, tienes que configurar los inicios de sesión para que ésta se cierre en poco tiempo o al registrar inactividad. Limitar el número de intentos de inicio de sesión tampoco es mala idea. Por último, no envíes datos sensibles a tus empleados por mail, pues podría estar intervenido.
Las contraseñas, con seriedad
Lo de las contraseñas es un asunto que suena obvio. Pero a mediados de 2020, hay gente que sigue usando el nombre de su mascota, su DNI o número móvil para ingresar a sitios importantes. Ni que hablar si se trata del e-commerce de tu firma. En estas circunstancias, hay que extremar las precauciones.
Las estadísticas indican que cerca del 80% de los hackeos se llevan a cabo como consecuencia de contraseñas débiles. Y cerca de la mitad de las personas utilizan una, dos o tres para todos sus usuarios. Si los piratas pueden probar suerte con miles de combinaciones en minutos, queda claro que una contraseña sencilla de 8 caracteres será vulnerada en pocas horas. Y si ese password es el mismo en todos tus portales, la tragedia será inevitable. ¿Qué deberías hacer entonces? Seguir estos consejos:
- Cada uno de tus usuarios debe tener una contraseña distinta.
- Esas contraseñas deben ser lo más largas posible, combinando números, letras mayúsculas y minúsculas, símbolos y signos.
- Mejor aún: utilizar un generador de contraseñas. Para no olvidarlas, puedes utilizar un programa que las almacene, de modo que sólo tengas que recordar la de ese software.
- El rellenado automático de Google está muy bien para tu cuenta de Facebook, pero de ninguna manera debes habilitarlo para acceder a tu web de comercio electrónico. Escríbela tú mismo.
- Cambia las contraseñas al menos una vez por mes.
Control de trafico
Pasemos al control de tráfico, el siguiente punto a detenernos tras el control de acceso y las contraseñas. Inmediatamente luego, debes establecer un control de tráfico que te resulte confiable. Por ejemplo, utilizando un firewall de aplicación web o WAF. Los hay muy variados, pero los más populares hoy en día son aquellos que están basados en la nube. Su coste no es demasiado elevado.
Desde ese momento, los WAF funcionarán como la puerta que controle el tráfico entrante a tu sitio. Así, podrá leer todos los datos que pasan. Bloqueará los intentos de piratería, filtrará el molestro tráfico no deseado. Evitará los bots y spammers en tu web comercial, etc.
Por otro lado, mediante el protocolo SSL encriptado podrás controlar el tránsito relacionado con la información personal, de usuarios como de clientes. Eso soluciona los inconvenientes de accesos no autiorizados, que a veces derivan en datos corruptos dando vueltas por su página.
La carga de archivos, un auténtico peligro
Llegados hasta este último punto, debes comprender que cuidar todos los anteriores sin estar encima de la carga de archivos, equivale a que todo el trabajo previo se pierda.
Es sumamente habitual que en las cargas de archivos se contengan comandos maliciosos. El desafío es dar con ellos, porque hasta los sistemas de seguridad más sólidos pueden dejarlos pasar. Si ese script llega a tu servidor, todos los elementos que conforman tu web de comercio electrónico estarán en manos de los ciberdelincuentes. En síntesis, cada carga de un archivo representa todo un reto en materia de seguridad.
Lo más aconsejable frente a esto sería almacenar los archivos subidos fuera del directorio principal. Puedes utilizar un script para pasar los contenidos luego de uno a otro. De esa manera, si alguien vulnera la carpeta donde subes los archivos, no podrá ver tus datos esenciales, sino sólo los archivos cargados.
Otra alternativa, aunque un poco más costosa, sería no usar tu servidor web para ejecutar la base de datos. Eso requerirá contratar un segundo servidor, pero acaba con un peligro muy habitual en un instante.