ITHEMES Security Pro Spotlight – Gestión de versiones

En las publicaciones de Spotlight de características, destacamos una característica en Ithemes Security Pro y presentamos un poco sobre por qué desarrollamos esta función, para quien se pretende la función y cómo usarla. Hoy cubriremos la gestión de versiones, una excelente herramienta que hace que las actualizaciones de WordPress o los temas y los arados sea muy fácil. Por qué hemos desarrollado una gestión de versiones que mantiene el software actualizado es una parte esencial de cualquier estrategia de seguridad. Las actualizaciones no son solo para remediar nuevos errores y funciones. Las actualizaciones también pueden incluir parches de seguridad críticos. Sin ese parche, deje su teléfono, computadora, servidor, enrutador o sitio web vulnerable.
Patch Martes Patch Martes es el término no oficial para referirse a errores ordinarios y remedios de seguridad que Microsoft lanza el segundo martes. Es fantástico que Microsoft lance remedios de seguridad para una cadencia tan confiable. El martes de parche también es el día en que las vulnerabilidades de seguridad que Microsoft Patches se revelan públicamente. Consulte la sección CE para actualizar y cómo automatizar sus actualizaciones en la Guía de seguridad final de WordPress en 2020 para averiguar cómo aplicar automáticamente el parche el martes.
Explotar el próximo parche del miércoles el martes el miércoles, es común ver a muchos atacantes que explotan una vulnerabilidad previamente conocida en sistemas anticuados y no atacados.Entonces, el miércoles, que siguió a un parche del martes se inventó extraoficialmente como exploit el miércoles.¿Por qué los piratas informáticos se dirigen a las vulnerabilidades reparadas?Los piratas informáticos están apuntando a las vulnerabilidades reparadas, porque saben que las personas no están actualizadas (incluidos complementos y temas en su sitio).Es un estándar en la industria revelar públicamente vulnerabilidades el día en que se corrigen.Después de que se revela públicamente una vulnerabilidad, se convierte en una “vulnerabilidad conocida” para las versiones anticuadas y no negativas del software.El software con vulnerabilidades conocidas es un objetivo fácil para los piratas informáticos.
Los hackers como los objetivos de luz y tienen software con vulnerabilidades conocidas es como dar un hacker paso a paso para ingresar a su WordPress, servidor, computadora o cualquier otro dispositivo conectado a Internet. La divulgación responsable puede estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software. Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para dar a más personas para la corrección. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La divulgación pública de una vulnerabilidad y la aparente introducción de un cero, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad.
Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad. Los arados y los temas obsoletos representan vulnerabilidad no. 1 En WP es difícil realizar un seguimiento de cada vulnerabilidad de WordPress revelada: los seguimos y los compartimos en nuestros boletines de vulnerabilidad de WordPress, y comparamos esa lista con las versiones de complementos y temas que ha instalado en su sitio web. Sin embargo, esto no impide que los piratas informáticos de WordPress se dirijan complementos y temas con vulnerabilidades conocidas. La instalación de software con vulnerabilidades conocidas en su sitio ofrece a los piratas informáticos los planes que necesitan para hacerse cargo de su sitio web.
Escanear el sitio de IThems Security Pro verifica su sitio web para conocer las vulnerabilidades, complementos y temas conocidos de WordPress y aplicar un parche cuando hay uno disponible. A finales de 2018, los piratas informáticos aprovechaban activamente una exploit en el complemento de cumplimiento del GDPR WP. El exploit permitió a los usuarios no autorizados que no se han conectado a un sitio web para cambiar la configuración de registro del usuario de WP y cambiar el rol de usuario predeterminado de un suscriptor al administrador. Afortunadamente, los desarrolladores de complementos de cumplimiento de WP GDPR actuaron rápidamente y lanzaron una vulnerabilidad el día después de que se revelara públicamente. En los días y semanas posteriores a la divulgación del cumplimiento de GDPR de WP, recibimos muchos informes de que los sitios de WordPress fueron pirateados por atacantes que explotaron la vulnerabilidad. Tener un complemento o un tema vulnerable para el cual hay un parche disponible, pero no aplicado, es el número uno de los sitios pirateados de WordPress. Esto es tan frustrativo !!!!! Esto significa que la mayoría de los piratas informáticos de WP podrían haberse evitado.
Es inquietante pensar en todas las personas que gastaron mucho dinero para limpiar su sitio web, los ingresos que perdieron mientras sus sitios no funcionaron y los ingresos futuros que perdieron por perder la confianza de sus clientes. Lo hace aún más molesto cuando sabes que toda esa ansiedad podría haber sido evitada por una actualización simple. Con la gestión de las versiones, queríamos simplificar la gestión de las actualizaciones y evitar que utilicen versiones de software con vulnerabilidades conocidas. ¿Qué es la gestión de versiones? La función de administración de versiones de Security Pro ITHEMS le permite actualizar automáticamente WordPress, complementos y temas. Más allá de eso, la administración de versiones también tiene opciones para fortalecer su sitio cuando ejecuta software obsoleto y escanear sitios antiguos. WP automatizado vs. La gestión de las versiones sabe lo que piensa: “¿WordPress no tiene una opción de actualización automática?” Sí, debido a la adición de actualizaciones automáticas en WordPress 5.5, esto ahora es cierto, pero las características de actualización automática en IThemes Security Pro son mucho más robustas. Tomemos un minuto para comparar las actualizaciones automáticas de WP e IThemes Security Pro. Permítame comenzar diciendo que creo que la adición de actualizaciones automáticas de WordPress es excelente para el futuro WordPress. La comunidad de WordPress que adopta actualizaciones automáticas significa que se piratearán menos sitios web. Menos sitios que serán pirateados conducirán a menos personas que tengan una percepción falsa de que WordPress es una plataforma incierta.
Las actualizaciones automáticas también conducirán a desarrolladores y temas de complementos que presionarán mejores versiones. Si sabemos que nuestros clientes se basan en actualizaciones automáticas, nos aseguraremos de que nuestras versiones no necesiten una serie de versiones de seguimiento para remediar los errores introducidos con la versión inicial. Esto ayudará a cambiar la percepción de que WordPress requiere más mantenimiento manual en comparación con otras plataformas. Estas son las tres formas en que la administración del ITHEMS Security Pro ofrece más flexibilidad en comparación con las actualizaciones automáticas de WordPress. Amohadillas y temas simplificados: administre todas las actualizaciones de complementos y temas desde la configuración de administración de versiones.
Agregue períodos de retraso personalizados para actualizaciones de complementos y temas: las actualizaciones automáticas de WordPress ofrecen la opción de aplicar actualizaciones de inmediato. El planificador de actualización le permite crear un retraso personalizado. El retraso puede ser una buena opción para complementos o temas que tienden a necesitar algunas versiones de búsqueda para solucionar problemas después de una versión importante.
Aplique solo actualizaciones que remedien las vulnerabilidades conocidas: aplique solo actualizaciones que remedien las vulnerabilidades conocidas. Esta opción es perfecta si desea manejar todas sus actualizaciones manualmente, pero desea obtener parches de seguridad de inmediato.
WordPress Automatic Update WordPress ofrece dos opciones para actualizaciones automáticas de complementos y temas, activadas o deshabilitadas. Activará las actualizaciones automáticas de los complementos en la página de complementos de WordPress.
La opción de actualización automática del tema está un poco oculta en la página de detalles del tema. Actualizaciones de versiones automáticas El planificador de gestión de versiones tiene opciones para desactivar actualizaciones automáticas, actualizar inmediatamente o retrasar actualizaciones el tiempo que desee. Además, puede configurar programas para actualizar complementos y temas en la configuración de gestión de versiones.
Muy bien, saltemos en la configuración y echemos un vistazo más de cerca a las diversas opciones de gestión de versiones. Cómo usar versiones en Ithemes Security Pro se utiliza para comenzar a usar versiones, active el módulo en la configuración de seguridad principal.
Ahora haga clic en el botón Configuración de configuración para ver más de cerca la configuración.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.


Actualizaciones de complementos: instale automáticamente las últimas actualizaciones de plug -UP. La activación de esta configuración desactivará la característica de los complementos de actualización automática de WordPress para evitar conflictos.

Actualizaciones de temas: instale automáticamente las últimas actualizaciones temáticas. La activación de esta configuración deshabilitará la función de actualización automática de WordPress para evitar conflictos.

Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes.

Obliga a todos los usuarios que no tienen dos factores activos para proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente.

Deshabilite el editor de archivos WP (bloquee a las personas para editar complementos o un tema para detenerlo por completo).
Escanee en busca de sitios antiguos de WordPress, una cuenta de alojamiento diario para sitios antiguos de WordPress que podrían permitir que un atacante comprometa el servidor. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Actualización automática Si remedia la vulnerabilidad: esta opción funciona en conjunto con el escaneo del sitio de Ithems Security Pro para consultar el sitio web para conocer las vulnerabilidades de WordPress, complementos y temas para aplicar un parche cuando esté disponible.
Las actualizaciones y los temas de los complementos ahora para analizar más de cerca la configuración de arado y temas. Antes de comenzar, quería recordarle que activar la configuración de actualización del complemento y el tema desactivarán la función de actualización automática de WordPress para evitar conflictos.
Tanto la configuración del complemento como la actualización del tema tienen tres opciones.
En blanco / Ninguno: deje la configuración sin complicaciones permitirá que WordPress administre el complemento y las actualizaciones de temas.
Personalizado: la opción personalizada le permite personalizar las actualizaciones con precisión a su gusto. Lo cubriremos más en un momento.
Todos: todos actualizarán todos sus complementos o temas tan pronto como haya una actualización disponible.
Ahora echemos un vistazo más de cerca a la opción personalizada. Seleccionar la opción personalizada ofrece tres opciones diferentes para actualizaciones de complementos y temas.
Activación: elija qué complementos desea actualizar inmediatamente después de una nueva versión.

Desactivar: use esta opción para los complementos que desea actualizar manualmente.
Retraso: la opción de retraso le permite establecer la cantidad de días en los que desea retrasar una actualización de una versión. Esta puede ser una buena opción para los desarrolladores que tienden a necesitar más versiones para remediar problemas después de un lanzamiento importante.
Como podemos ver, el conjunto de actualizaciones automáticas personalizadas ofrece mucha más flexibilidad que la opción de actualización automática automática o desactivada. La conclusión de tener un complemento o un tema vulnerable para el cual hay un parche disponible, pero no aplicado, es el número uno de los sitios pirateados de WordPress. Esto significa que la mayoría de los piratería de WordPress se pueden prevenir simplemente actualizando. La función de administración de versiones de Security Pro iThemes le permite administrar sus actualizaciones automáticas de acuerdo con su programa IThems Security Pro si desea instalar todas las nuevas actualizaciones tan pronto como sean lanzadas o solo si la actualización remedia una vulnerabilidad.
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.