WordPress Development Corner [Episodio 2]

En el segundo episodio de WordPress Development Corner, hablamos con el desarrollador WordPress Timothy Jacobs sobre la nueva función de dispositivos de confianza para iThemes Security Pro, nuestro complemento de seguridad de WordPress. Transcripción de video: Michael: Hola a todos. Bienvenido a esta edición de Developers Corner. Hoy tenemos a Timothy con nosotros, que es un desarrollador del complemento IThemes Security Pro, y hoy está aquí con nosotros para hablar sobre la nueva función de dispositivos de confianza. Timothy, ¿puede decirnos cómo se le ocurrió la función de dispositivos confiables? Timothy: La idea para dispositivos confiables proviene de otra aplicación de características popular, que es recordar el dispositivo actual que usa para la autenticación de dos factores. Una de las cosas que son molestas en términos de autenticación con dos factores o un poco de inconveniente es que cada vez que se conecta, debe ingresar su código de autenticación. Tienes que hacerlo una y otra vez y, para usar algo como el correo electrónico, podría llevar algo de tiempo. Por lo tanto, cuando estábamos construyendo dispositivos de memoria para la autenticación de dos factores, hemos expandido un pequeño alcance para incluir algo llamado dispositivos confiables en su conjunto.
Los dispositivos de confianza le permiten administrar los dispositivos a los que se ha conectado previamente y le advertirá si no ha conectado desde este dispositivo. Utilizamos ese dispositivo confiable para ayudarnos a recordar el dispositivo con dos factores. Michael: Bueno, suena genial. ¿Puede decirnos por qué deberíamos usar esta nueva característica? Timothy: Entonces, los dispositivos de confianza son excelentes para dos tipos diferentes de usuarios. Uno de los usuarios que realmente pueden beneficiarse son los usuarios que no pueden o quieren usar la autenticación en dos factores utilizando la autenticación de dos factores. Recomendamos mucho, porque fortalece mucho la seguridad de su cuenta, pero algunos usuarios no podrán usar esto o considerarlo demasiado complicado. Por lo tanto, un dispositivo confiable funciona si se conecta desde un dispositivo en el que no ha iniciado sesión, le enviará un correo electrónico que le informará que esto ha sucedido y puede evitar que el atacante haga cualquier otro progreso al que los saqué de eso. cuenta. En el futuro, nos hemos cumplido esto para tener un tipo de reemplazo con dos factores que obligan a los usuarios a confirmar el dispositivo antes de que esto pueda suceder, por lo que esperamos que para los usuarios que no quieran activar dos factores. Será algo que será algo Protección de seguridad para ellos. Hay cuatro usuarios, como los administradores que ya deberían tener la autenticación en dos factores debido a sus beneficios de fuerza.
También tenemos una característica llamada Protección de la sesión, y la forma en que se desvía la sesión es que cuando WordPress lo conecta, le brinda una cookie de sesión. Esta cookie de sesión es muy importante. Esto es lo que le permite hacer cualquier cosa en su sitio web de WordPress y, una vez que se establece la cookie, le permite evitar cosas como Recaptcha e ingresar su código de dos factores, por lo que si el atacante puede comprometer esa cookie por sesión, Sobre lo que sucedió en Facebook a principios de este año, puede llegar a muchos problemas y es una de las cosas que hace el secuestrador de sesión. Esa sesión está bloqueada en el dispositivo especial que usó. El propósito es que si se mueve como en el teléfono, aún debe recordar que es su dispositivo actual, pero si el dispositivo está demasiado lejos, lo obligará a conectarse nuevamente y puede bloquear completamente su dispositivo y puede cambiar tu contraseña.
Michael: Es realmente sorprendente.Me gusta mucho y luego cuáles son las mejores prácticas para la característica de los dispositivos confiables.Timothy: Hay dos formas en que funcionan los dispositivos de confianza.Una es por una notificación en la barra de herramientas en la barra de administración de WordPress y la otra es por correo electrónico.El correo electrónico es opcional, no se activa de forma predeterminada, pero le recomendamos que lo active y lo que le sucede al correo electrónico es que cada vez que se conecta un nuevo dispositivo, ese correo electrónico se envía de inmediato, por lo que le recomendamos que lo mantenga y Tenga en cuenta la casilla de correo electrónico para los correos electrónicos de ellos y asegurándose de que, cada vez que vea uno, tome medidas de inmediato. Michael: ¿Cuáles son los beneficios de usar API Max Mind?
Timothy:
Por lo tanto, una de las formas en que ITHEMES SEGURY implementa dispositivos confiables es examinar la dirección IP del usuario. Una de las formas en que podríamos haber hecho es, incluso si la dirección IP cambia en absoluto, lo consideramos un dispositivo que no es confiable, pero no hemos encontrado esto tan ideal, especialmente para los muebles de los usuarios de teléfonos o va. Pasan de un punto de Wi-Fi diferente a otro punto de Wi-Fi diferente, y su dirección IP puede cambiar, por lo que una de las cosas que hacemos es usar algo llamado geolocalización para limitar esto a los usuarios que están en un área particular o en un Número de kilómetros en un área en particular y lo usamos con varios otros factores, como el navegador que utiliza. Ithemes Security utiliza una serie de API de geolocalización gratuitas, y estas tienen límites de API OK, pero pueden no ser los más precisos o más actualizados que funcionarán en el cuadro. Lo que recomendamos a los usuarios es usar una de las API MaxMind. Por lo tanto, tenemos la API de la base de datos MaxMind, que es lo que la mayoría de los usuarios podrían querer usar de inmediato. Es bastante simple de configurar.
Simplemente haga clic en el botón y descargue y debe estar listo para irse, y las ventajas son que no envía una dirección IP a otro servidor, no lleva ningún tiempo y es razonablemente preciso. Entonces, para las personas que están más preocupadas por las implicaciones con respecto a la confidencialidad, les recomendamos que activen la opción MaxMind DB simplemente haciendo clic en el botón Descargar. Para los usuarios que desean el más alto grado de precisión, recomendamos usar maxmind api.maxmind ofrece una serie de API que necesitamos usar algo llamado nivel de la ciudad y es bastante barato y accesible, especialmente para el caso de uso que usamos en la seguridad de Ithemes y si Lo activa, se asegurará de que tenga la información más actualizada sobre las direcciones IP, para que pueda mantener a los usuarios Geo-Lococate de manera correcta y precisa. Micheal: Es genial. Esto es algo que siempre decimos sobre Timothy. La razón por la que lo amamos es que todo está tan bien pensado hasta los detalles. Siempre impresionado.
Entonces, ¿cómo aumentará la precisión la restricción de las capacidades de una sesión no reconocida? TIMOTHY: Por lo tanto, esta es otra excelente característica opcional que recomendamos usar. Entonces, una de las preocupaciones es cuando un atacante gana acceso a su cuenta, puede usarla para tener acceso a su servidor e instalar el código malicioso. Entonces, si tienen acceso a una cuenta de administrador en WordPress, pueden instalar un complemento malicioso, podrían editar archivos, crear una nueva cuenta de administrador para que puedan volver a cosas posteriores como esta. Lo que hacen las restricciones es que cada vez que un usuario se ha conectado con éxito desde un dispositivo irreconocible, restringe una serie de capacidades a nivel de administrador, para que no pueda instalar nada. No se puede manejar archivos. Ni siquiera puedo administrar la seguridad de IThemes. También evitamos que editen la dirección de correo electrónico de los usuarios de WordPress o con contraseña, por lo que esto es excelente para los usuarios de administradores, ya sea para suscriptores de comercio electrónico o clientes, por lo que no tienen la cuenta comprometida y no pueden poder Para ingresar una nota rápida sobre esta opción es que deberá activar la notificación de correo electrónico para activar la opción real.

Michael: Cuando cargué por primera vez esta función, estaba enamorado a primera vista.Muy duro.La memoria de solicitar la función de mi dispositivo es aún más impresionante para mí.Me gustan las capacidades de restricción de dispositivos no reconocidos y mejorar las posibilidades de ingresar allí y hacer el ridículo de su sitio Timothy: Exactamente.Es una de las razones por las que nos aseguramos de que tenga esa notificación necesaria para no ser bloqueada solo.Haga esto si esto dice Hey, usted es un dispositivo que no es confiable e inicie sesión en el sitio de su sitio web y diga que se ve diferente, no puedo hacer todas estas cosas diferentes.Consulte su correo electrónico, probablemente recibió un correo electrónico que he reconocido y no reconoció el inicio de sesión y solo tiene que hacer clic en ese botón y todo su acceso volverá a la normalidad.
Michael: Muy genial. Realmente me gusta eso. Ahora, ¿por qué no se recomienda activar recordarme la configuración de usuarios privilegiados? TIMOTHY: Entonces, recuerde que mi dispositivo es la configuración de dos factores, lo que le permite recordar su dispositivo durante 30 días y, aunque he implementado esto lo más seguro posible, establece una cookie por cada uno cuando lo pierde, este es un valor generado al azar. Hay otra diferencia al usar la autenticación de dos factores. Debe abrir su aplicación móvil o abrir su dirección de correo electrónico y proporcionar el token generado, además de su contraseña, generamos lo que es esencialmente un token único durante 30 días, por lo que es una seguridad ligeramente reducida, por lo que recomendamos a los usuarios Los administradores no usan esto. Puedes cambiar los roles permitidos. La recomendación es activarlo para los usuarios sin privilegios para cosas como sus usuarios, especialmente sus clientes, si hace un sitio web basado en una membresía en la que las personas podrían hablar sobre cosas que son importantes para ellos o su confidencialidad es importancia. Para esos tipos de usuarios, le recomendamos que siempre active dispositivos confiables. Un usuario también podría usar las mejores prácticas recomendadas solo para el más alto nivel de seguridad, sin importar lo que sea incómodo en este momento. Prometo que nunca se sentirá tan incómodo como reparar su sitio y reparar la confianza de sus clientes después de que su sitio se haya comprometido.
Michael: De nuevo, realmente me gusta esta característica. Me gustan las capacidades de administración restringida de dispositivos no reconocidos, porque si tiene un nuevo dispositivo e inicia sesión, vaya a la dirección de correo electrónico y está listo para comenzar. TIMOTHY: Aunque usa una contraseña segura y una autenticación de dos factores, la probabilidad de que su sitio se vea comprometida o su correo electrónico o cuenta personal se use en un ataque de fuerza bruta, pero si sucede, por cualquier motivo, ahora no puedo hacer nada. Michael: Maravillosa y maravillosa característica. Buen trabajo. Todo esto vino de una solicitud para recordar mi dispositivo y luego Timothy fue más allá. Estoy muy emocionado de ver lo que haces a continuación. Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.