Diseño de Tiendas Virtuales Online

Hace poco a un cliente le pasó un caso que quiero comentaros. Recibió un pedido típico en su tienda virtual, comprobó el cobro y realizó el envío. A la semana siguiente recibió una llamada diciéndole que no habían comprado nada en su tienda, que les devolviese el dinero (pago con tarjeta de crédito) y que le iban a denunciar por estafa y demás barbaridades. Una vez realizadas las pertinentes consultas con el banco se demuestra que la compra fue realizada correctamente, sin fraude. Al final, resulta que había sido un niño de 15 años el que había realizado la compra con la tarjeta de sus padres.

Este tipo de sucesos comienzan a ser más comunes de lo que nos pensamos. Y van a ir a más. Y no sólo cogiendo una tarjeta de los padres, cuando se instauren los pagos por dispositivos móviles la cosa se disparará. Pensando en lo que viene estoy desarrollando un módulo de control parental para tiendas virtuales. Con él trataremos en la medida de lo posible en reducir este tipo de casos, sin cansar al usuario “normal” con excesivas trabas ni pasos extras. Una vez que lo tengamos bien depurado espero poder publicar un post a fondo sobre el tema. ¿Os ha ocurrido algo parecido?. ¿Y qué tipo de soluciones habéis pensado?.

Todavía no comprendo por qué no se extiende más el uso de certificados de seguridad en las tiendas virtuales. Aumentas la seguridad de tu plataforma de ecommerce, das garantía y confianza a tus clientes y usuarios, y el coste es ridículo. Entonces… ¿por qué todavía hay tantas tiendas virtuales sin SSL?.

Parece que, en muchos casos, el administrador del ecommerce en cuestión pasa por alto dicha cuestión, o no le da la importancia que tiene. No voy a decir mucho más sobre este tema, creo que es lo suficientemente obvio para cualquiera que tenga una tienda virtual que debería instalar un certificado de seguridad en la misma. Sólo dejar un dato curioso: casi el 30% de los usuarios que abandonan el proceso de compra sin finalizarlo es debido a que la tienda no dispone de un certificado de seguridad. Y os hablo de usuarios españoles, porque en muchos países con más cultura de internet el usuario ni siquiera empieza el proceso de compra si no accede a un sitio con SSL.

Y para terminar, y aprovechando un poco para hacer autopromoción, os dejo un link por si queréis consultar los certificados de seguridad que tenemos disponibles en nuestra empresa.

Link: http://www.lineagrafica.es/seguridad-ssl

Llevo ya un par de semanas sin dar señales de vida. El motivo no es otro que la preparación de las nuevas tiendas virtuales Excellent. Hemos renovado nuestra tienda virtual básica para ofrecer más prestaciones y aprovechar las últimas tendencias. Las principales novedades son:

- Mayor integración con Google Services (maps, analytics, adwords, etc).

- Mayor integración con Redes Sociales (Facebook, Twitter, Tuenti).

- Mejora del seguimiento del cliente (tracking, monitoreo, estadísticas).

Todavía estamos en fase de desarrollo, por lo que os pido desde aquí que me comentéis qué características debe tener tu tienda virtual para cumplir todas tus expectativas. La mejor manera de mejorar es preguntar las necesidades, ya que no siempre logras captaras todas por tí mismo. Así que espero que me ayudéis con vuestras sugerencias y comentarios.

Con las fiestas de navidad no sólo suben las ventas de las tiendas virtuales, también se multiplican los ataques a las mismas. Me han preguntado mucho últimamente sobre cómo proteger una tienda virtual, así que vamos a dar algunas pistas. En este post en concreto nos basaremos en cómo securizar y proteger una tienda virtual Oscommerce, pero muchas de las aplicaciones son extensibles a otros scripts.

1- Versión actualizada y control de plugins, contribuciones y addons instalados.

Es importante estar lo más actualizado posible en la versión de Oscommerce que actualicemos. Actualmente tenemos disponible Oscommerce v2.3.1 pero teniendo la v2.2RC2a es suficiente. Una versión inferior a la v2.2 sería preocupante. Igualmente tenemos que tener cuidado con las contribuciones, plugins y addons que instalamos, ya que pueden tener fallos de seguridad que ni siquiera el mismo creador de la contribución conozca. Ante la duda mejor no instalarla, y si no se tienen conocimientos de programación intentad instalar contribuciones que sean populares (muy utilizadas y testeadas) y revisad en google y foros oficiales si se conoce algún problema en ellas.

2- Corrección de Bugs básicos.

Existen listados de bugs básicos de Oscommerce (la mayoría antiguos) que deben ser corregidos para aumentar la seguridad del mismo. Normalmente no son realmente peligrosos, más bien incómodos de cara al usuario final, pero conviene tenerlos controlados.  En Oscommerce.com tenemos un listado de reportes de bugs, además de los foros oficiales en inglés donde más se tratan estos temas. A día de hoy la versión v2.2RC2a la considero lo suficientemente segura, aunque debemos aplicar el siguiente punto para reforzar su seguridad.

3- Dificultad el acceso al admin.

Para acceder al administrador de Oscommerce por defecto se accede a la carpeta /admin, donde te pedirá usuario y contraseña. Además del sistema de usuarios de Oscommerce deberíamos renombrar la carpeta /admin por otro nombre (y adaptar el correspondiente configure del administrador) y añadir una clave de acceso protegiendo la carpeta vía hosting. Estos sencillos pasos multiplican la seguridad de tu tienda virtual, no los dejes pasar.

4- Eliminar el editor de archivos del administrador de oscommerce.

Si por cualquier motivo acceden a nuestro admin, con el editor de archivos tendrían acceso completo a los archivos de nuestro Oscommerce. Es mejor eliminar directamente el archivo, sin más complicaciones. Los que necesiten modificar archivos deberían usar una cuenta de ftp.

5- Control de acceso al administrador por IP.

Con tu .htaccess puedes limitar el acceso al área de administración a una IP determinada. Si tienes IPs fijas esta medida es realmente efectiva, ya que imposibilita el acceso si no te encuentras físicamente en el equipo con dicha IP de conexión.

6- Denegación de acceso selectiva.

Pequeñas reglas de seguridad, ya sea en tu firewall (el del servidor web) o a través de tu .htaccess, pueden evitar ataques de forma sencilla. Uno de los ataques más básicos y redundantes es la captura de una clave ftp desde el ordenador del usuario. El servidor web está limpio pero el atacante obtiene acceso directamente desde el equipo del administrador de la tienda virtual. Una vez una tienda está en producción se puede bloquear el servicio ftp a dicho dominio hasta que se vuelva a necesitar, pero esta medida es un poco extrema. En principio basta con tener un antivirus actualizado y tener un poco de cabeza usando el pc con el que nos conectamos a nuestra tienda virtual.

7- Backups actualizados.

Y si todo falla, siempre debemos tener backups actualizados de todos los datos de nuestra tienda virtual. Configurad un sistema de backups automatizado y dormiréis más tranquilos.

Espero que esta pequeña guía básica sobre cómo securizar y proteger Oscommerce os sea de utilidad y os ayude a proteger vuestras tiendas virtuales de forma sencilla y efectiva.

Ya no tengo tiempo de presentar todas las tiendas virtuales que hacemos. El ritmo ha acelerado y casi no tengo tiempo de postear y responder los comentarios del blog. Pero no quería pasar la oportunidad de dedicarle unas líneas a una tienda en la que hemos trabajado mucho, tanto en diseño como en programación, y de la que estamos muy orgullosos. Se trata de Totenart, una tienda virtual especializada en artículos para bellas artes y manualidades.

Un diseño cuidado, mimando en lo posible los tiempos de carga y la gestión de una base de datos enorme de productos. Usable y amigable, unido a un gran servicio de atención al cliente (con posibilidad de asistencia online) y unos precios muy competitivos logran hacer de totenart un referente a tener en cuenta en su sector.

Un saludo desde aquí a Cesar, agradeciendo su confianza y paciencia (ha sido una de las víctimas de la terrible mudanza) deseándole lo mejor para su proyecto de ecommerce.

Y como siempre que posteo sobre alguna de nuestras tiendas virtuales, se agradece un poco de feedback ;)