Las mejores prácticas de seguridad de WordPress

Hay muchos mitos y FUD (miedo, incertidumbre y duda) sobre la seguridad de WordPress. Y hay mucho que considerar al fortalecer un sitio web contra posibles ataques. Entonces, ¿cómo pueden las empresas aprender las mejores prácticas de seguridad de WordPress que les darán la mejor protección web posible? La semana pasada, organizamos una conversación en el seminario web para desmistar las preocupaciones sobre la seguridad de WordPress. Me uní al Ayush Malakar (sesión completa y de WordPress en Fresh Consulting) y Sean O’Shaughssy (WordPress VIP Solutions Engineering).
A través de cuatro pautas, estos dos expertos han explorado las mejores prácticas de seguridad que los desarrolladores, administradores, propietarios de sitios y directores deben tener en cuenta. Recapitulemos sobre lo que hablamos. ¿Es seguro el software de código abierto? No todas las fuentes abiertas se crean igual. Pero debido a que WordPress ha existido durante 18 años y alimenta más del 40% de los sitios web mundiales, está claro que la adopción está aumentando. Pero incluso con el software de código abierto más popular del mundo, surgen preguntas sobre sus vulnerabilidades de seguridad. ¿No es todo ese código, al aire libre, vulnerable a los ataques?
No necesariamente, dice Ayush: “Dado que tenemos tantos ojos mirando, es más seguro”. Aunque puede parecer contradictorio, el software de código abierto en realidad puede ser más seguro que el software del propietario, con una fuente cerrada. Este es el por qué. Más ojos sobre las posibles amenazas porque el código abierto funciona al aire libre, no hay nada que ocultar. Muchos desarrolladores de la comunidad lo miran y realizan actualizaciones, inspirando la confianza y la confianza. Si se encuentra una vulnerabilidad, se corrige lo antes posible, a menudo en un día o dos. Las pruebas de código continuo y las recompensas de errores pueden contribuir a WordPress, y el código es probado por la comunidad de miles de contribuyentes básicos de WordPress. A medida que el código se prueba continuamente, es cada vez más confiable. Además, los programas de recompensas de errores alientan al público a encontrar agujeros y vulnerabilidades, incluidos Brute, DDoS, Phishing y más. Actualizaciones de seguridad Cuando se realizan actualizaciones de seguridad, los desarrolladores de sitios web deben asegurarse de que el código básico esté actualizado y protegido con los últimos vectores de ataque. Las actualizaciones automáticas también están disponibles, y los desarrolladores de negocios deben pensar si son la opción correcta para cada proyecto. ¿Es mi código seguro? WordPress Core es solo uno de los “cubos” de código que componen un sitio web de WordPress. En la parte superior del software desarrollado por la comunidad se encuentra el código de aplicación de un tema de sitio web o front-end y complementos.
Mientras que el código básico de WordPress con código abierto es desarrollado por la comunidad, el código de aplicación escrito para o implementado en sitios web individuales también puede introducir vulnerabilidades de seguridad. Hay varias medidas que puede tomar para asegurarse de que su código de aplicación se fortalezca lo más posible contra los ataques. Aunque puede tomar diferentes decisiones para diferentes proyectos, dependiendo del nivel de riesgo aceptable, lo más importante es ser consciente de los posibles vectores de ataque. Aquí, nuestros expertos en seminarios web tienen algunos consejos. Herramientas de seguridad de WordPress Hay varias herramientas que los desarrolladores pueden usar para ayudar a identificar defectos de seguridad tanto en la primaria como en la tercera parte. “Siempre que hablamos de herramientas, necesitamos comprender cuáles son las ventajas son las desventajas de estas herramientas y cómo deberíamos usarlas ¿Lo mejor para nuestra ventaja? – Ayush Malakar, consultas frescas Estas herramientas pueden realizar análisis de código estáticos o dinámicos. El análisis estático se realiza sin ejecutar ningún código y, por lo general, puede identificar aproximadamente el 85% de los defectos del código. El análisis dinámico del código se basa en el estudio de cómo se comporta el código durante la ejecución y tiene la capacidad adicional de encontrar problemas de seguridad causados ​​por la interacción del código con otros componentes del sistema, como bases de datos SQL, servidores de aplicaciones o servicios web de servicios.
Es importante sopesar los beneficios de las personas hacia los automóviles que realizan este análisis de código. El aprendizaje automático (ML) y la inteligencia artificial (AI) se pueden usar como una primera línea de defensa para garantizar que se identifiquen valores comunes. Pero también es útil tener una mirada humana al código después. Esto garantiza que las personas puedan trabajar en diferentes aspectos, como la vulnerabilidad basada en características, casos marginales, etc. Algunas herramientas recomendadas por nuestros expertos: WPSCAN es una herramienta CLI que los desarrolladores pueden usar para escanear su código en busca de agujeros de seguridad. Ayush recomienda a los desarrolladores que ejecuten esto en un Chron Job.
PHP_CODESNIFFER (PHPCS) inspecciona el código y destaca los problemas, desde la sintaxis hasta las vulnerabilidades de seguridad. Hay un conjunto de estándares específicos de WordPress. Se puede configurar para ejecutarse en una tubería de integración continua (CI) y ejecutar en todos los depósitos VIP de WordPress.
Sonar Cloud, utilizada por Fresh Consulting para analizar el código estático, escanea el código PHP y JS para vulnerabilidades e implementación más segura.
“¿Hacemos la cantidad correcta de validación de las entradas? ¿Desinfectamos correctamente algún tipo de resultado que tendremos en nuestro código?
-Sean O’Shaughnessy, WordPress VIP Security y WordPress Plugins Al elegir complementos de terceros, busque un complemento que tenga buenas revisiones y evaluaciones, una gran cantidad de descargas y flexibilidad para usar en su sitio. Está actualizado y es compatible con La última versión de WordPress. No use un complemento que pueda escribir solo. Especialmente en los casos en que solo se requiere una pequeña cantidad de código, escriba este código en su tema en lugar de usar un complemento. Esto asegurará que no se ingresen vulnerabilidades al actualizar el complemento. “Lo que recomendaría es escribir el código en el tema en sí, porque lo que he visto en el pasado son complementos que hacen un trabajo muy mínimo para realizar actualizaciones. Y lo más probable es que, a medida que evoluciona la tecnología, estos complementos no. El potencial de aquellos complementos que introducen vulnerabilidades podría ser mayor de lo que anticipamos ”. – Ayush Malakar, consultoría fresca como siempre, es importante para mantener el código actualizado. Atención a las actualizaciones y complementos básicos y mantenga WordPress, complementos y temas de UP -To -FaCe. Seguridad y puntos finales WordPress XML-RPC y la API REST son los puntos finales que WordPress usa para comunicarse con otros sistemas o con el front-end de una aplicación. Es importante comprender estos puntos finales y si serán importantes para su aplicación, porque son vectores de ataque potenciales que pueden desactivarse si no son necesarios.
XML-RPC como un posible vector de ataque XML-RPC es una especificación que permite la comunicación entre WordPress y otros sistemas.En las versiones iniciales de WordPress, XML-RPC se ha desactivado de forma predeterminada.Pero desde la versión 3.5, se activó de forma predeterminada.La razón principal de esto fue permitir que la aplicación móvil de WordPress hable con su instalación de WordPress.REST API como un posible vector de ataque Asegúrese de usar las mejores prácticas de seguridad al usar la API de WordPress.Si bien las empresas pueden necesitar mantenerlas abiertas, por ejemplo, en una arquitectura sin cabeza en la que el contenido debe circular a un frente desacoplado, asegúrese de que aquellos que permanecen expuestos tengan la autenticación y la autorización adecuadas.
“Tiene este castillo, WordPress, su aplicación y la presencia de un puente móvil no hace que su aplicación sea inherentemente segura. Pero es una forma. Es una forma de entrar en ese castillo. Por lo tanto, tener una buena comprensión, conocimiento y contabilidad de estas cosas es definitivamente vital para tener una mejor posición en términos de seguridad de su aplicación. Hay muchas consideraciones que tomar cuando determina si su anfitrión es lo suficientemente seguro para sus necesidades es una buena idea considerar todas las opciones de seguridad disponibles y no olvidar la importancia de la asistencia rápida en caso de emergencia, como ser una actualización. del complemento que causa un incidente de seguridad. “¿Su proveedor de alojamiento ofrece asistencia rápida y proactiva? Además, ¿cómo responden cuando se publican las vulnerabilidades de las aplicaciones o complementos? – Sean O ‘
Shaughnessy, WordPress VIP en general, busque una plataforma que considere alojar una responsabilidad común. Algunas características a considerar incluyen: permisos del sistema de archivos Algunos hosts ofrecen un sistema de lectura solo para leer, en lugar de escribir archivos. Esto evita que los usuarios de procesos web puedan escribir archivos en todas partes, cerrando un posible vector de ataque. Los contenedores buscan un host que aísla los recursos de su sitio de los sitios de otros clientes. Aunque esta no es una medida de seguridad integral, la contenedores proporciona una medida de seguridad básica. Como beneficio adicional, también permite recursos dedicados para escalabilidad horizontal o incluso vertical. Control de la versión Cuando una plataforma de alojamiento de WordPress bloquea SFTP y permite actualizaciones de código a través de un sistema de versión controlado, reduce la superficie de ataque de su aplicación. Administrar el código fuente de la aplicación controlando las versiones ofrece una copia “impresa” del código como fuente de verdad , junto con una historia completa, audible y rica del código respectivo. ¿Cómo puede mi empresa imponer seguridad de WordPress? La seguridad no es solo una consideración a nivel de código o host. También hay factores humanos, y las empresas pueden construir procesos como controles de seguridad regulares y reglas de higiene de contraseñas, que contribuirán en gran medida a aumentar la seguridad de su sitio “a nivel organizacional, es importante pensar en la implementación de varias capas de autenticación o validación continua “. – Sean O ‘

Shaughnessy, WordPress VIP Zero Trust y gestionando el acceso con el privilegio más bajo al analizar y administrar cuidadosamente el acceso, las organizaciones pueden equipar a las personas para que hagan su trabajo con el nivel más bajo de privilegios, por lo tanto, posiblemente el riesgo más bajo, posiblemente. Asegúrese de definir y asignar los roles y capacidades de los usuarios correctamente. Esta capacidad viene con WordPress de la caja y se puede extender para cualquier caso de uso. Los usuarios de higiene de contraseña deben crear contraseñas únicas y difíciles de adivinar para cada aplicación. A Sean le gusta especialmente estos cómics, que aboga por el uso de una colección de palabras aleatorias, en lugar de una combinación de letras, números y símbolos: XKCD 2FA y SSO Comics, mientras que dos factores de autenticación (2FA) y conexión única (SSO) no se Aumente la seguridad de su sitio, proporcionan el beneficio de los usuarios centralizados en todas las aplicaciones aceptadas. Recomendaciones de seguridad de WordPress
El código abierto tiene beneficios de seguridad
Mantenga los complementos de WordPress y actualizados
Usar control de versiones
Comprenda los puntos finales de WordPress

Buscar un host para tener en cuenta la seguridad
Adoptar prácticas de seguridad maduras a nivel de organización
Hemos cubierto muchos más temas sobre la seguridad de WordPress en el seminario web único. Si te lo perdiste en vivo, te animo a que veas el registro aquí.