Especialista en servidores y Hosting VPS
¿HTTPS? Es necesario cifrar datos
/
RSS Feed
El candadito en algunas webs no garantiza que ese WordPress este seguro. En este episodio mezclamos WordPress+Servidores jejeje y hablamos hasta de pasarelas de pago:
- Muchos implementadores WordPress
- Han puesto un SSL para que su WordPress vaya en HTTPS
- Y que el navegador muestre un hermoso candidato verde
- Muchos no piensan en la seguridad
- Ni en cifrar los datos que van y vienen de su sitio web
- Pero no son todos…
- Muchos como vos y como yo
- Estamos con ese pendiente
- Y procuramos estar al día con el tema de la seguridad
- Por lo que es importante recordar
- Que ponerle un SSL a nuestra web no protege el origen
- Y muchos cyber criminales se aprovecha de esto para hackearnos y robarnos datos
- Poner el SSL esta bien
- Pero no basta con tener el candadito verde en nuestra web
- Debemos tener presente muchas cosas más
- Por ejemplo el cumplimiento de PCI
- La norma de seguridad de datos PCI
- Incluyen guías que debemos seguir
- Para garantizar que nuestro sitio cumple con los mínimos para aceptar pagos online
- Desde cosas tan simples como el uso de contraseñas seguras
- Hasta garantizar el cifrado y uso de firewall
- Estas normas las rige el Consejo de Normas de Seguridad PCI
- El cual es una organización global formada por las principales compañías de tarjetas de crédito entre ellas Visa, Mastercard, Discover y American Express.
- ¿Esto tiene que ver con mi web? Si
- Es obligatorio para todo sitio web que permita pagos con tarjetas de crédito
- Y es tu pasarela que se encargará de verificar si tu web cumple con los mínimos
- ¿Y si uso PayPal? ¿Stripe?
- Seguimos obligados a seguir estas normas y garantizar un mínimo de seguridad
- Para cumplir con la PCI
- Lo primero, primero, primero es un certificado SSL
- Que garantice el cifrado de todo el trafico de nuestro sitio web
- Para asegurar que todo el trafico irá por HTTPS
- Es recomendable activar el HSTS
- Si el HSTS no te es posible
- Tu WordPress si o si debe tener activa la redirección de http a HTTPS
- Si no tenés idea de lo que estamos hablando jejeje
- Esto tu hosting debe darte la posibilidad de activarlo o se lo pedís a ellos que lo pongan a punto
- Y además podés usar herramientas como Cloudflare para subir un poco más el nivel de seguridad
- Pero no se te olvide:
- Tu VPS debe tener su firewall activo
- Tu WordPress debe tener su certificado SSL
- Tu web debe tener el HSTS desde el servidor
- Si añadís Cloudflare no se te olvide hacer el repaso en SSL/TLS y Seguridad
- Ademas… la seguridad no solo se debe testear desde el lado publico
- Como administradores debemos de testear el estado de nuestra instalación
- Ya sea con plugins como WP Cerber
- O aprovechando las nuevas funciones de iThemes free 8.1
- Desde dentro también es necesario verificar que todo este seguro
- Y usar diferentes scanners para garantizar que no tenemos nada de que preocuparnos
- Te quiero contar mi experiencia con el PCI y sus normas
- Mi primera pasarela de pago fue Pagadito
- Darme de alta fue todo un reto
- Al ser cliente Pagadito
- Del equipo técnico me pidieron la URL de mi web
- Luego de una semana
- Me pidieron que les creara un usuario
- Siguieron probando
- Y al final de la semana
- Me dijeron que había pasado todos los test
- Que podía usar su pasarela en mi web
- Mi segunda pasarela fue 2Checkout
- Me di de alta
- Active la cuenta
- Y por lo menos a mi no me preguntaron ni dijeron nada
- No se si ellos por su lado abran testado algo
- Pero por lo menos a mi no me dijeron nada
- Luego fui feliz y realizado por un tiempo muy breve con Stripe jejeje
- Me puse a probar Wompi
- Que tampoco me preguntaron nada de nada
- Me di de alta y use por un tiempo PayWay
- En un inicio al igual que Pagadito me hicieron un test y me dijeron que esta bien
- Pero independientemente de mi WordPress
- Ellos tenían sus propias reglas, filtros y agregados
- Y estaba todo como estaba
- Que los clientes no podían pagar y les rechazaba sus tarjetas
- Como vez esto de la seguridad es un trabajo conjunto
- Y nosotros tenemos que hacer nuestras tareas jejeje
Tener datos de nuestros usuarios, información de nuestros clientes y pasarelas de pago configuradas… Debemos sí o si tomarnos en serio la seguridad y reservar tiempo para poner todo a punto y para verificar que todo siga funcionando.