¿Qué factores de seguridad debe considerar al elegir su proveedor de alojamiento WodPress?

Debido a la creciente popularidad de WordPress a nivel general, hay más y más incidentes de seguridad que afectan a varios sitios web de WordPress. GoDaddy es el último ejemplo, porque recientemente tuvieron una violación de seguridad en su entorno de alojamiento de WordPress. La semana pasada, anunció que hubo acceso no autorizado por parte de terceros a su entorno de alojamiento de WordPress administrado, afectando los datos de hasta 1.2 millones de clientes activos e inactivos. Violación de la seguridad de WordPress en el Director de Seguridad de la Información de GoDaddy (CISO), Demetrius llega, anunciado el 22 de noviembre, en un archivo de la Comisión de Securías y Valores (SEC), que el 17 de noviembre descubrieron el acceso no autorizado a Godaddy Manad WordPress. Establecieron que el incidente comenzó el 6 de septiembre de 2021 y expuso los datos de 1.2 millones de clientes activos e inactivos de WordPress. Habían identificado actividades sospechosas en el entorno de alojamiento de WordPress e inmediatamente comenzaron una investigación con la ayuda de una empresa forense de TI y contactaron a las autoridades legales. Una contraseña comprometida permitió a los atacantes acceder a sus sistemas.
El anuncio indica que:
Hasta 1.2 millones de clientes de WordPress administrados activos e inactivos han tenido la dirección de correo electrónico y el número de cliente expuesto. La exposición de las direcciones de correo electrónico presenta el riesgo de ataques de phishing.
La contraseña inicial del administrador de WordPress que se estableció en el momento de la oferta ha sido expuesta. Si aún se usaban esas credenciales, esas contraseñas se restablecieron.
Para clientes activos, se han exhibido nombres de usuario y contraseñas para SFTP y base de datos. Restablecen ambas contraseñas.
Para un subconjunto de clientes activos, la clave privada SSL ha sido expuesta. Estoy en el proceso de emisión e instalación de nuevos certificados para estos clientes. Finalmente, viene: “Somos honestos por este incidente y la preocupación que causa a nuestros clientes. Nosotros, el liderazgo y los empleados de GoDaddy, asumimos la responsabilidad de proteger los datos de nuestros clientes muy en serio y nunca queremos decepcionarlos. Aprenderemos de este incidente y tomaremos medidas para fortalecer nuestro sistema de suministro con capas de protección adicionales “.
Como puede imaginar, hay muchos mensajes en Internet que critican a Godaddy, no solo porque tardó 5 días en informar la violación, sino también porque tardó más de 2 meses en detectar el ataque, porque probablemente tuvo lugar 6 de septiembre. También encontrará información adicional sobre las acciones que debe tomar tanto técnica como legalmente, si es un cliente afectado. ¡Ni siquiera quiero pensar en lo que la miseria es esto para GoDaddy y para todos los clientes que podrían haber sido afectados! La importancia de la seguridad Al elegir una empresa de alojamiento al hablar sobre los requisitos clave para elegir el alojamiento de WordPress, consideramos un conjunto completo de factores: compatibilidad con diferentes versiones de PHP, qué características y herramientas ofrecen para administrar fácilmente la instalación de WordPress, la carga rápida de la velocidad de la velocidad rápida de Nuestras páginas, soporte de servicio eficiente y, por supuesto, un costo razonable.
Pero no nos engañemos: a menudo podemos hacer el aspecto de seguridad en la parte inferior de nuestras prioridades. ¿Por qué? En primer lugar, porque la seguridad de nuestro proveedor de alojamiento es algo que consideramos a sí mismo. Pero esto es absurdo, porque si hay algo que sabemos con certeza, es que ningún sistema informático es 100% seguro. En segundo lugar, la seguridad es difícil de evaluar de manera rápida y fácil. Solo cuando ocurre una violación de seguridad, nos damos cuenta de las posibles vulnerabilidades. La seguridad de su sitio web es un poco como su salud. Si estás bien, no piensas demasiado en eso. Pero el día que no eres bueno, el mundo se derrumba sobre ti. A menudo, la enfermedad es inevitable, pero la prevención y la detección temprana pueden ahorrarle mucho dolor. Es lo mismo con la seguridad. Si su sitio está roto, no solo su negocio puede destruir, sino que puede alcanzar un problema legal porque no ha tomado las medidas de seguridad apropiadas.
Si queremos tratar de evitar una violación de seguridad, ¿qué debemos esperar de nuestro proveedor de alojamiento? Seguridad del software Algo que nos aburre a todos es la necesidad de actualizar el software que usamos en nuestras computadoras. ¡Pero es bastante importante hacerlo, porque la mayoría de las actualizaciones son precisamente para protegerlas de las vulnerabilidades conocidas! Por esta razón, al alojar un sitio web de WordPress con una empresa de alojamiento, asegúrese de que cumpla con los requisitos de compatibilidad y las últimas actualizaciones de software recomendadas por WordPress. Eche un vistazo al sitio web oficial de WordPress para conocerlos. Al momento de escribir esta publicación, los requisitos recomendados fueron: PHP 7.4 o más nuevo.
MySQL 5.6 o más nuevo o mariadb 10.1 o más nuevo.
Https
Mi recomendación: ni siquiera considerar ninguna empresa de alojamiento que no cumpla con estos requisitos. Disponibilidad y asistencia El Protocolo de transferencia de hipertexto SSL (protocolo de ransfiguración o HTTP) es un protocolo utilizado en sistemas de red, diseñado para definir y estandarizar la sintaxis y la semántica de las transacciones que tienen lugar entre las diferentes computadoras que componen una red. . En otras palabras, describa cómo se comunica un servidor web con navegadores web como Google Chrome o Mozilla Firefox.
HTTPS se refiere al uso de HTTP sobre una capa de enchufes segura (SSL) o una conexión de seguridad de capa (TLS) y es responsable de cifrar todos los mensajes HTTP para que su transmisión sea segura. Cuando un usuario envía información a un servidor web, SSL esencialmente proporciona un conjunto completo de capas de protección:
Cifrado: si un atacante logra interceptar esa información, esto será inútil, porque no sabrá cómo descifrar (pero usted lo sabrá).
Autenticación: se evitan los ataques de phishing o hombre en el medio, en los que un usuario proporciona información a terceros cuando creo que está hablando con otra persona.

De esta manera, por ejemplo, se asegura de que los datos de sus compras realizados en su sitio no puedan ser leídos y/o modificados por los delincuentes.
Si su sitio usa SSL, la mayoría de los navegadores mostrarán la URL web que comienza con https: // y un icono de bloqueo en algún lugar al lado o en la barra de direcciones, dando a los visitantes una pista visual a la seguridad del sitio actual.
Imagen con la URL de Nelio que se muestra en el navegador.
Cuando busque un proveedor de servicios de alojamiento, asegúrese de que acepte SSL y verifique lo fácil que es configurarlo. Copia de seguridad y restauración Si alguna vez sufre un ataque de malware en WordPress, es posible que deba restaurar una copia de seguridad anterior que no contiene código infectado. Por esta razón, asegúrese de que su proveedor de alojamiento realice niños de seguridad regulares y automáticos de su sitio de WordPress.
Asegúrate de saber:

La frecuencia de las copias de seguridad,
A cuántos niños de seguridad para niños tienen acceso,
Ya sea que pueda restaurarlos fácilmente todos por su cuenta o que necesite solicitar una restauración y pagar el servicio,
Ya sea que pueda realizar restauraciones parciales de archivos, carpetas, cuentas de correo electrónico o bases de datos,
Si puede acceder a la historia de las restauraciones.
La protección contra los ataques de DDoS Un ataque de denegación de servicio distribuido (DDoS) es un tipo de ataque que intenta destruir el servidor web activando “una tonelada” hasta que el servidor sobrecarga y bloquea).
Para evitarlos, algunos proveedores de alojamiento, como SiteGround y Bluehost, trabajan con Networks de entrega de contenido (CDN) como CloudFlare. Los CDN operan redes de servidores globales que facilitan la provisión de datos más rápida y absorben ataques que consumen muchos recursos, como DDoS. Esto ayuda a alojar a las empresas a reducir la tarea en sus propios servidores sin tener que invertir masivamente en infraestructura adicional. Se recomienda verificar si su empresa de alojamiento funciona con CDN. También asegúrese de que tengan protocolos preparados para este tipo de ataque, como:
Tráfico de inundación de filtrado de hardware de firewall,
Software de firewall basado en iptables con funciones complejas y monitoreo del tráfico,

Limitan el número de conexiones que se pueden establecer desde la distancia,
Verifican la gran cantidad de pruebas fallidas de los hosts y para hacer el filtrado.
El escaneo de malware de malware, como hemos visto en el caso de GoDaddy, es un software malicioso que puede afectar a los servidores. Estos pueden causar una infección menor, como el robo de ciertos datos o pueden eliminar una base de datos completa. Es importante saber cómo controlar y verificar a su proveedor de alojamiento este tipo de ataque. ¿Con qué frecuencia lo hacen los escaneos? ¿Tienen un sistema para aislar cuentas para que, en caso de infección, estén incluidos? Disponibilidad y tiempo de actividad Los tres pilares de seguridad de la información se conocen como la tríada de la CIA (confidencialidad, integridad y disponibilidad). La disponibilidad y el tiempo de operación de su sitio (el porcentaje de tiempo en el que un sitio está activo y disponible) son esenciales en cualquier sitio. Las empresas de alojamiento tienen muchas formas de garantizar esta disponibilidad. Por ejemplo, algunos usan la tecnología RAID, la redundancia de hardware, la redundancia de la red e incluso las ubicaciones alternativas de espejo. Asegúrese de que su proveedor de alojamiento le garantice la disponibilidad mínima en el acuerdo de nivel de servicio (SLA) de sus términos y condiciones. Por ejemplo, en el caso de SiteGround, garantizan: 5.2. Garantizamos el funcionamiento de la red 99.9% anualmente. Si caemos por debajo del tiempo de operación garantizado de la red, lo compensaremos de la siguiente manera; 99.9% – 99.00% Tiempo de operación: 1 mes de alojamiento gratuito
Un mes adicional de alojamiento gratuito por cada 1% del tiempo de operación perdido por debajo del 99.00%.