Problemas de seguridad comunes de WordPress y cómo asegurar su sitio

Anoche me invitaron a hablar con la reunión de Boulder WordPress. Mi amiga Angela ha atraído mucho y me ha escuchado atentamente hablando demasiado sobre las vulnerabilidades de seguridad de WordPress y lo que puede hacer para proteger su sitio web de WordPress. Esa discusión, como este artículo, se centra en proteger a los usuarios de WordPress y a los propietarios de sitios de problemas de seguridad comunes. Tengo un curso completamente diferente de lo que los desarrolladores de WordPress deberían hacer para mantener a WordPress a salvo. Este artículo simplificará intencionalmente detalles técnicos complejos, que a menudo solo oscurecen la historia de la seguridad desde la perspectiva de los propietarios de sitios de WordPress. Hay demasiados acrónimos complejos para las conversaciones de seguridad de WordPress para que sea fácil para la mayoría de los no desarrolladores.
Pero, sin otras extensiones, nuestra estructura aquí será enfatizar los problemas comunes de seguridad de WordPress y luego ofrecer los pasos más importantes y simples que le brindan más beneficios cuando se trata de la seguridad de WordPress. Como explora la seguridad de WordPress con confianza, hay muchas cosas más difíciles y menos valiosas que puede hacer. Pero para la mayoría de las personas, los cuatro problemas de seguridad de WordPress que describimos y los cinco consejos de seguridad de WordPress que cubrimos serán más de lo que necesita. ¡Vamos a eso!
Problema general: dejar su sitio fácil para los ataques de botnet

Uno de los puntos básicos en los que la claridad ayuda a comprender los problemas de seguridad en WordPress es lo que llamamos el modelo de amenaza. Su modelo amenazante son los factores mundiales que contribuirán al posible compromiso futuro de su sitio de WordPress. Por ejemplo, un sitio de WordPress para el presidente de los Estados Unidos tiene un modelo de amenaza muy diferente de su tienda de velas o del consultorio dental. Mientras que el sitio web de WordPress del presidente enfrentaría la misma amenaza que tendría muchos otros que considerar. Lo más importante: los oponentes políticos y financieros, tanto extranjeros como pasantes, a quienes les gustaría darle al presidente de los Estados Unidos una mancha política, lo que demuestra que él (o ella) es estúpido para la seguridad cibernética. La mayoría de nosotros no somos los presidentes de ningún país ( Aunque el “buen día” del Señor/Sra. Presidente), debemos centrar nuestras preocupaciones sobre la seguridad de WordPress en una gran amenaza: Botnet. La mayoría de los problemas de seguridad de WordPress son simplemente problemas cuando y si es posible que una red de botnet lo explote con éxito. Porque, aparte de su primo vengativo, que vence en Dodge-Ball en 2001 (¡deja Ranchiun, Donny!), Con mucho, la mayor amenaza para ti es la Horde robot que explota la seguridad que está tratando de llevar el sitio. Las redes de BOT son una fuente de horas de especulación y complicaciones interesantes, pero solo las entienden como un títere de uno o más actores malos que desean tomar tantos sitios de WordPress como sea posible para hacer cosas malas con ellos.
Vulnerabilidad de WordPress preferida por los robots: ¿Está su código anticuado de WordPress tan anticuado?
Con mucho, la causa más común y probable de comprometer un sitio de WordPress es el código anterior. Como cualquier software evolutivo, las vulnerabilidades de seguridad de WordPress (y sus complementos y temas) deben tratarse como partes concretas y consistentes del ecosistema. Las personas escriben software, las personas están equivocadas, por lo que todos los programas contendrán errores (de seguridad) de vez en cuando. Luchar con esta realidad es una excelente manera de guiarte con los plátanos, pero no una excelente manera de vivir. En cambio, debe aceptar y comprender que los problemas de seguridad de WordPress más comunes siempre serán que una versión anterior de WordPress, complementos o tareas contenía una vulnerabilidad de seguridad.

Vale la pena decir que puede contar con el hecho de que las vulnerabilidades de WordPress se remediarán una vez que sean conocidos. Aaron Campbell, jefe del equipo de seguridad de WordPress, explicó cómo este proceso funcionó en la entrevista con él para la seguridad de WordPress con confianza. Pero si no actualiza WordPress, no se beneficie de este parche. En cambio, está experimentando la verdadera desventaja de WordPress de ser software de código abierto: un problema de seguridad es inmediatamente visible para los malos actores que desean atacar su sitio de WordPress tan pronto como se remedia. Entonces, si puedo explotar una violación de seguridad, tendrán el plan de la forma en que funcionó para las versiones obsoletas.
WP #2 Problema de seguridad de seguridad: mala seguridad de inicio de sesión para WordPress
¿La siguiente forma más común en la que se compromete un sitio de WordPress? Que usaste una mala contraseña. La “contraseña mala” es difícil de cuantificar muy específica. Pero uno de los ataques más comunes y fáciles que amenazan la seguridad de un sitio de WordPress es lo que se llama “fuerza bruta” o “suposición de contraseña”. Aquí está configurada una computadora para intentar conectarse a su sitio de WordPress adivinando contraseñas hasta que las encuentre. Hay formas de ralentizar tales ataques, pero generalmente finalmente comprometerán el sitio, independientemente de si su contraseña es “ilikebeer” o “Gatos”. Hay diferentes contramedidas que puedes tomar, pero los ataques de fuerzas en bruto y otros ataques de contraseña son una causa muy común de compromiso. Comprender que las contraseñas incorrectas son un problema de seguridad de WordPress muy serio es un primer paso importante. Problema de seguridad #3: Desventración del entorno de alojamiento Esta es una combinación de algunos problemas de seguridad de WordPress diferentes. Pero están relacionados. Puede comprometer la seguridad de su entorno de alojamiento de WordPress debido a la supervisión o negligencia. Incluso el mejor alojamiento de WordPress no puede hacer nada si comete errores como:
Ejecute otras instalaciones (o instalaciones) inseguras (o instalaciones) en la misma cuenta de host. Una versión obsoleta de WordPress es un subdosar o subdominio de su sitio de WordPress que puede usarse para comprometerlos a todos. Lo mismo también puede ser un instrumento como la búsqueda reemplazar DB de Interconnect IT, lo cual es muy útil para un desarrollador, pero puede usarse para terminar con bastante facilidad si se deja allí.

Ejecute un PHP obsoleto, MySQL u otra herramienta que WordPress usa, que se ha visto comprometida. Especialmente porque WordPress continúa aceptando versiones de PHP sin correcciones de seguridad (de regreso a PHP 5.2 hoy en día), esto podría ser una fuente de compromiso. Estos son los dos mayores problemas. También puede suceder (pero rara vez es una memoria distante) que su host ha configurado las cosas inciertas, y un compromiso de su cuenta puede provenir de otra persona en su servidor web compartido. Esto no ha sucedido en un gran anfitrión durante algunos años. Pero si estás en el “alojamiento web barato” de Joe, puedo estar un poco preocupado por esta posibilidad.
Problema de seguridad #4: Otras formas de acceder a su sitio de WordPress hay muchas formas diversas e interesantes en su sitio de WordPress que no son específicamente el resto de esta lista. Estos métodos de compromiso (que tengo un poco perezoso 🙃) incluyen:
Un tema, tema o vulnerabilidad de WordPress para el que no se ha lanzado ningún parche puede destruir su sitio.
Su sitio se ve comprometido porque su cuenta de alojamiento ha sido eliminada por una contraseña FTP incorrecta o un compromiso para la placa de alojamiento de WP.
Su seguridad de WordPress ha sido comprometida por alguien que trabaja para usted o con usted y quería eliminar su sitio.
Un complemento de WordPress de confianza anterior se ve comprometido intencionalmente por un nuevo hombre de mantenimiento. (Un ataque de la “cadena de suministro”, que todavía son inusuales, pero amenazas reales).

Cada uno de estos es una amenaza real, pero algunas que son mucho menos comunes como causas de compromiso que las mencionadas anteriormente.
Consejos de seguridad de WordPress: cómo asegurar su sitio de WordPress Haga WP, paso #1. Actualizar, actualizar, actualizar como nuestro problema de seguridad número 1 de WordPress fue que no mantiene todo actualizado, lo mejor que puede hacer para mantener su sitio de WordPress seguro como propietario del sitio es mantener todo de día. En el ecosistema de WordPress, no siempre hay una clara delimitación entre las versiones de “remedios de seguridad” y “nueva función”. Si existiera, podría cambiar esto en “siempre obtener las últimas versiones de seguridad”. Las vulnerabilidades de seguridad “básicas” de WordPress funcionan de esta manera, por lo que WordPress 4.9.x es la última solución de seguridad que no agrega nuevas funciones. Es menos común que los complementos y los temas de WordPress acepten este tipo de historial de seguridad, por lo que será más fácil “actualizar todo todo el tiempo”. Hay muchas maneras de hacer esto. El núcleo de WordPress se ha auto-actualizado durante al menos unos años. Recomiendo calurosamente que deje esta función activada. Y si te sientes cómodo, me gusta dejar que los complementos se actualicen automáticamente. Aquí hay una guía rápida sobre cómo hago esto: habilite las actualizaciones automáticas de complementos en WordPress sin código WP Security PASA #2: Buena seguridad de inicio de sesión nuevamente, nuestra seguridad de WordPress número 2 proporciona nuestro consejo de seguridad número 2 WordPress: tiene un sistema de buen inicio de sesión seguridad. Desde un punto de vista técnico, puede fortalecer su seguridad de inicio de sesión de WordPress de varias maneras. Los más importantes de estos, en el orden de la importancia descendente, son:
Tiene una buena contraseña de inicio de sesión para su cuenta de WordPress. Idealmente, la contraseña de su sitio de WordPress es: larga, única y aleatoria. El uso “Tengo en L0V3 con Kittehs !!! Los administradores de contraseñas son de gran ayuda aquí. Considere la autenticación con dos factores. 2FA no elimina la utilidad de una buena contraseña. Pero el uso de un código de tiempo en el teléfono o incluso un código enviado por correo electrónico puede hacerle una autenticación de WordPress mucho más segura. Si ya se siente muy cómodo con 2FA, agregar su sitio de WordPress a las cosas que accede de esta manera es una victoria obvia.
Considere otros desafíos de inicio de sesión. Ya sea que se trate de una captcha que agrega en su formulario de autenticación o si bloquea a su administrador para que trabaje solo desde ciertos IP (demasiado dolor de cabeza, en mi humilde opinión, pero una gran ganancia de seguridad), hay muchas otras cosas. Creo que todos son beneficiosos, pero menos importantes que una buena contraseña y un posible 2FA.
SECUSIZACIÓN WP Paso #3: Principio de acceso mínimo Esto se refiere al asesoramiento no. 2, pero no comparta sus datos de inicio de sesión de WordPress a nadie. Ya sea que quieran hacer una publicación de invitado, desarrollar un complemento o cualquier otra cosa, generalmente es mejor que darle a Sarah o John su propio usuario y contraseña. Además, si les da esa cuenta, asegúrese de que su cuenta solo tenga acceso a WordPress. Las vulnerabilidades de WordPress son mucho más numerosas cuando tiene una cuenta de “administrador” cuya contraseña estaba comprometida que cuando esa cuenta estaba “suscrita”. Entonces, si John solo escribe una publicación para los invitados para usted, conviértelo en una cuenta de “colaborador”. Claro, si Sarah desarrollará un complemento para usted, probablemente necesitará una cuenta de “administrador”, pero no debería darles a John esos derechos. Asegurar WP Paso #4: Copia de seguridad para “Tiempo de seguridad” Solía ​​creer que las copias de seguridad son un tema tangencial en “WordPress Security”. Y, de hecho, ninguna copia de seguridad evitará que una botnet u otro atacante explote las vulnerabilidades de seguridad de su sitio de WordPress. Pero lo que hace una copia de seguridad (o 300) para usted es darle lo que yo llamaría seguridad con el tiempo. Lo que quiero decir con esto es que si te comprometieras el sábado y note esto el martes, tu respaldo hace una semana aún se puede usar para remediar tu sitio. Sin una copia de seguridad, debe tratar de limpiar lo que puede ser una infestación compleja y difícil que quizás no comprenda. ¡Mantenga las copias de respaldo!