¿HTTPS? Es necesario cifrar datos

Implementador WordPress y VPS
Implementador WordPress y VPS
¿HTTPS? Es necesario cifrar datos
icon loader
/

El candadito en algunas webs no garantiza que ese WordPress este seguro. En este episodio mezclamos WordPress+Servidores jejeje y hablamos hasta de pasarelas de pago:

¿HTTPS? Es necesario cifrar datos
  • Muchos implementadores WordPress
  • Han puesto un SSL para que su WordPress vaya en HTTPS
  • Y que el navegador muestre un hermoso candidato verde
  • Muchos no piensan en la seguridad
  • Ni en cifrar los datos que van y vienen de su sitio web
  • Pero no son todos…
  • Muchos como vos y como yo
  • Estamos con ese pendiente
  • Y procuramos estar al día con el tema de la seguridad
  • Por lo que es importante recordar
  • Que ponerle un SSL a nuestra web no protege el origen
  • Y muchos cyber criminales se aprovecha de esto para hackearnos y robarnos datos
  • Poner el SSL esta bien
  • Pero no basta con tener el candadito verde en nuestra web
  • Debemos tener presente muchas cosas más
  • Por ejemplo el cumplimiento de PCI
    • La norma de seguridad de datos PCI
    • Incluyen guías que debemos seguir
    • Para garantizar que nuestro sitio cumple con los mínimos para aceptar pagos online
    • Desde cosas tan simples como el uso de contraseñas seguras
    • Hasta garantizar el cifrado y uso de firewall
    • Estas normas las rige el Consejo de Normas de Seguridad PCI
    • El cual es una organización global formada por las principales compañías de tarjetas de crédito entre ellas Visa, Mastercard, Discover y American Express.
    • ¿Esto tiene que ver con mi web? Si
    • Es obligatorio para todo sitio web que permita pagos con tarjetas de crédito
    • Y es tu pasarela que se encargará de verificar si tu web cumple con los mínimos
    • ¿Y si uso PayPal? ¿Stripe?
    • Seguimos obligados a seguir estas normas y garantizar un mínimo de seguridad
  • Para cumplir con la PCI
  • Lo primero, primero, primero es un certificado SSL
  • Que garantice el cifrado de todo el trafico de nuestro sitio web
  • Para asegurar que todo el trafico irá por HTTPS
  • Es recomendable activar el HSTS
  • Si el HSTS no te es posible
  • Tu WordPress si o si debe tener activa la redirección de http a HTTPS
  • Si no tenés idea de lo que estamos hablando jejeje
  • Esto tu hosting debe darte la posibilidad de activarlo o se lo pedís a ellos que lo pongan a punto
  • Y además podés usar herramientas como Cloudflare para subir un poco más el nivel de seguridad
  • Pero no se te olvide:
    • Tu VPS debe tener su firewall activo
    • Tu WordPress debe tener su certificado SSL
    • Tu web debe tener el HSTS desde el servidor
    • Si añadís Cloudflare no se te olvide hacer el repaso en SSL/TLS y Seguridad
  • Ademas… la seguridad no solo se debe testear desde el lado publico
  • Como administradores debemos de testear el estado de nuestra instalación
  • Ya sea con plugins como WP Cerber
  • O aprovechando las nuevas funciones de iThemes free 8.1
  • Desde dentro también es necesario verificar que todo este seguro
  • Y usar diferentes scanners para garantizar que no tenemos nada de que preocuparnos
  • Te quiero contar mi experiencia con el PCI y sus normas
  • Mi primera pasarela de pago fue Pagadito
    • Darme de alta fue todo un reto
    • Al ser cliente Pagadito
    • Del equipo técnico me pidieron la URL de mi web
    • Luego de una semana
    • Me pidieron que les creara un usuario
    • Siguieron probando
    • Y al final de la semana
    • Me dijeron que había pasado todos los test
    • Que podía usar su pasarela en mi web
  • Mi segunda pasarela fue 2Checkout
    • Me di de alta
    • Active la cuenta
    • Y por lo menos a mi no me preguntaron ni dijeron nada
    • No se si ellos por su lado abran testado algo
    • Pero por lo menos a mi no me dijeron nada
  • Luego fui feliz y realizado por un tiempo muy breve con Stripe jejeje
  • Me puse a probar Wompi
    • Que tampoco me preguntaron nada de nada
  • Me di de alta y use por un tiempo PayWay
    • En un inicio al igual que Pagadito me hicieron un test y me dijeron que esta bien
    • Pero independientemente de mi WordPress
    • Ellos tenían sus propias reglas, filtros y agregados
    • Y estaba todo como estaba
    • Que los clientes no podían pagar y les rechazaba sus tarjetas
  • Como vez esto de la seguridad es un trabajo conjunto
  • Y nosotros tenemos que hacer nuestras tareas jejeje

Tener datos de nuestros usuarios, información de nuestros clientes y pasarelas de pago configuradas… Debemos sí o si tomarnos en serio la seguridad y reservar tiempo para poner todo a punto y para verificar que todo siga funcionando.

Si querés ponerte en contacto conmigo, podes escribirme en mi Formulario de contacto aquí en la web 😉

Deja un comentario