Saltar al contenido
ElevoCloud - Hosting en Chile ElevoCloud
Ver planes
← Volver al blog
Guías WooCommerce y E-commerce 1 de junio de 2026 7 min de lectura

Seguridad en WooCommerce: cómo proteger tu tienda y los datos de tus clientes

Proteger una tienda WooCommerce va más allá del hardening WordPress general. Esta guía cubre la seguridad del checkout, protección de datos de clientes, prevención de fraude y los estándares que debes cumplir.

Seguridad en WooCommerce: cómo proteger tu tienda y los datos de tus clientes

Seguridad en WooCommerce: cómo proteger tu tienda y los datos de tus clientes

Una tienda WooCommerce tiene una superficie de ataque mayor que un sitio WordPress estándar. Maneja datos de clientes, procesa pagos, registra pedidos y gestiona inventario. Una brecha de seguridad no solo interrumpe el negocio — puede exponer datos de cientos o miles de clientes y generar responsabilidad legal.

Esta guía es específica para WooCommerce y complementa el hardening WordPress general. Cubre los vectores de ataque propios del e-commerce y las medidas que debes implementar.

Para el hardening base de WordPress (login, XML-RPC, permisos de archivos), consulta nuestra guía de hardening WordPress. Esta guía asume que ese baseline ya está en su lugar.

Por qué WooCommerce necesita seguridad específica

WooCommerce amplía la superficie de ataque de WordPress en varios puntos críticos:

  • Endpoints de API REST: WooCommerce expone endpoints /wp-json/wc/v3/ para gestión de pedidos, productos y clientes. Si están mal asegurados, pueden filtrar datos.
  • Cuentas de cliente: formularios de registro, login y "olvidé mi contraseña" son vectores de credential stuffing y fuerza bruta.
  • Datos de pago: aunque los números de tarjeta los procesa el gateway (Webpay, Stripe), tu servidor maneja datos de facturación que son sensibles.
  • Panel de pedidos: contiene nombre, dirección, teléfono, email y historial de compra de todos tus clientes.
  • Plugins de WooCommerce: extensiones de pago, envíos y facturación son puntos de entrada adicionales que deben mantenerse actualizados.

SSL: no opcional, es el piso

Una tienda sin HTTPS activo no debería estar en producción. El SSL cumple tres funciones en e-commerce:

  1. Cifra los datos en tránsito: contraseñas, datos de dirección y tokens de pago viajan cifrados entre el navegador del cliente y el servidor.
  2. Genera confianza: el candado en la barra de dirección es una señal de seguridad que los compradores esperan ver.
  3. Es requerido por los gateways de pago: Webpay Plus, Stripe y prácticamente todos los gateways exigen HTTPS para procesar pagos.

Verifica que tu SSL esté activo para el dominio principal Y para todos los subdominios involucrados en el proceso de pago. Consulta nuestra guía de instalación de certificado SSL en cPanel si necesitas configurarlo.

Protección del checkout y los formularios de registro

El checkout y el formulario de registro de clientes son los objetivos más frecuentes de ataques automatizados en WooCommerce.

Limita intentos de login y registro

El plugin Loginizer o Limit Login Attempts Reloaded bloquea IPs después de N intentos fallidos. Configúralo en máximo 5 intentos antes del bloqueo temporal.

Para el formulario de registro de clientes, activa la verificación de email obligatoria en WooCommerce → Ajustes → Cuentas → "Enviar correo de verificación al registrarse".

Agrega CAPTCHA al checkout

Los bots de card testing usan el checkout de WooCommerce para verificar si tarjetas robadas son válidas, haciendo micropagos. Esto genera chargebacks y puede suspenderte del gateway.

Solución: Google reCAPTCHA v3 en el checkout. El plugin WPForms o Advanced Google reCAPTCHA lo implementan sin fricción para el usuario legítimo.

Detecta intentos de card testing

Señales de alerta:

  • Múltiples pedidos fallidos seguidos desde la misma IP
  • Pedidos de $1 o importes mínimos con distintos números de tarjeta
  • Intentos a horas inusuales con datos de envío inconsistentes

WooCommerce Payments, Stripe y algunos plugins de seguridad como WooCommerce Anti-Fraud detectan estos patrones automáticamente.

Gestión de roles y acceso al panel

WooCommerce agrega roles específicos (Shop Manager, Customer) que necesitan configuración cuidadosa.

Revisa los permisos del rol Shop Manager

Por defecto, el rol "Shop Manager" tiene acceso casi total a WooCommerce pero no a la configuración de WordPress. Sin embargo, dependiendo de los plugins instalados, puede tener más acceso del necesario.

Usa el plugin User Role Editor para auditar y ajustar los permisos exactos de cada rol. El principio de mínimo privilegio aplica: cada usuario solo debe ver y editar lo que necesita para su trabajo.

No uses administradores para operaciones diarias

Si tienes empleados que gestionan pedidos, crea cuentas con rol "Shop Manager" y no con rol "Administrador". Un administrador comprometido da acceso total al sitio; un Shop Manager limitado limita el daño potencial.

Activa autenticación de dos factores para administradores y Shop Managers

El plugin WP 2FA (gratuito) implementa 2FA con aplicaciones como Google Authenticator o Authy. Hazlo obligatorio para todos los usuarios con acceso al panel.

Protección de datos de clientes

Tu tienda acumula datos personales: nombres, emails, teléfonos, direcciones, historial de compras. Esto tiene implicancias legales bajo la Ley 19.628 (Protección de la Vida Privada) en Chile y, si vendes a la UE, bajo GDPR.

Limita el tiempo de retención de datos

WooCommerce guarda los datos de pedidos indefinidamente por defecto. En WooCommerce → Ajustes → Avanzado → Privacidad de datos, puedes configurar:

  • Retención de datos inactivos: borrar datos de cuentas de clientes que no han comprado en X años
  • Retención de datos de pedidos completados: anonimizar pedidos después de N días
  • Retención de datos de pedidos fallidos: borrar en 30-90 días

Agrega política de privacidad y términos claros

WooCommerce permite agregar texto de privacidad en el checkout. Actívalo en WooCommerce → Ajustes → Avanzado → Privacidad y enlaza tu política completa.

No almacenes datos de pago en tu servidor

Nunca almacenes números de tarjeta, CVV o datos bancarios en tu base de datos. Los gateways como Webpay Plus o Stripe manejan esto en sus servidores certificados PCI-DSS. Tu responsabilidad es no interceptar esos datos antes de que lleguen al gateway.

Monitoreo y alertas

La seguridad reactiva no es suficiente. Necesitas detectar ataques mientras ocurren.

Instala un plugin de seguridad con monitoreo

Wordfence (gratuito) es el estándar para WordPress/WooCommerce:

  • Firewall de aplicación web (WAF) que filtra tráfico malicioso
  • Escaneo de malware con alertas por email
  • Monitor de cambios en archivos del núcleo
  • Registro de actividad de login y acciones de administrador

Monitorea cambios en el panel de WooCommerce

El plugin WP Activity Log registra quién cambió qué en WooCommerce: precios editados, pedidos modificados, configuraciones cambiadas. Si hay un empleado deshonesto o una cuenta comprometida, los logs lo revelan.

Configura alertas de pedidos sospechosos

WooCommerce permite configurar notificaciones por email para administradores en varios eventos. Activa notificaciones para:

  • Pedidos con importe mayor a X (configurable)
  • Pedidos cancelados o fallidos en serie
  • Nuevas cuentas de Shop Manager creadas

Backups: el seguro contra todo lo demás

Ninguna medida de seguridad es infalible. Los backups diarios son tu recuperación ante cualquier escenario: hackeo, error humano, fallo del servidor.

Un backup de WooCommerce debe incluir:

  • Todos los archivos de WordPress + WooCommerce
  • La base de datos completa (con pedidos, clientes, configuración)
  • Las imágenes de productos (que están en /wp-content/uploads/)

Consulta nuestra guía de backup WordPress desde cPanel para el proceso detallado. Con un hosting que incluye backups diarios automáticos, este riesgo está cubierto desde la infraestructura.

Preguntas frecuentes

¿Necesito certificación PCI-DSS para usar Webpay en mi tienda?

No directamente. Al usar Webpay Plus o Stripe como gateway, el procesamiento de la tarjeta ocurre en los servidores de ese gateway, que sí están certificados PCI-DSS. Tu responsabilidad es no interceptar ni almacenar los datos de tarjeta en tu servidor, lo que WooCommerce cumple por defecto con gateways certificados.

¿Qué hago si detecté una brecha de seguridad?

  1. Cambia inmediatamente todas las contraseñas (admin, base de datos, FTP, hosting)
  2. Activa el modo de mantenimiento para evitar que los clientes accedan mientras limpias
  3. Contacta a tu hosting para aislar el servidor si la brecha es a nivel de servidor
  4. Escanea con Wordfence o desde cPanel para identificar archivos infectados
  5. Restaura desde el último backup limpio si el daño es extenso
  6. Notifica a tus clientes si sus datos personales pudieron verse comprometidos (obligatorio bajo la Ley 19.628)

¿Wordfence gratuito es suficiente?

Para la mayoría de las tiendas medianas, sí. La versión gratuita incluye WAF, escaneo de malware y alertas. La versión premium agrega reglas de firewall en tiempo real (vs 30 días de delay en el plan free) y soporte prioritario, lo que conviene para tiendas con alto tráfico.

La seguridad de una tienda WooCommerce es una capa adicional sobre el hardening WordPress base. La combinación de SSL activo, WAF, CAPTCHA en checkout, 2FA para administradores y backups diarios cubre la gran mayoría de los vectores de ataque. Un hosting con SSL incluido, backups automáticos y soporte especializado es la base de una tienda segura → Ver planes Elevocloud

Seguir leyendo

Mas entradas del blog

Ver todas →
Escríbenos por WhatsApp