Cómo comparar las características de los complementos de complementos de seguridad de WordPress (y los servicios)

Como parte de la seguridad de WordPress con confianza, creé una característica que sentí que muchas personas tenían hambre. Es una tabla de comparación de complementos de seguridad de WordPress. Comienza a llevar a las personas a lo largo del viaje de “La seguridad es un tema serio que no tengo idea de cómo administrar” y “la seguridad es un conjunto de problemas que puedo resolver de varias maneras”. Esta transición es mi motivación para el curso y también es la motivación para algo que acabo de hacer: wpsecuritycompared.com. Lo que, bueno, hace que los complementos de seguridad de WordPress se comparen.

¿Por qué necesita comprender en detalle los servicios de los complementos de seguridad de WordPress lo que ves hoy en wpsecuritycompared.com es la primera versión? Trabajo lentamente para mejorarlo, y el impulso promocional más concentrado vendrá después de tener poco tiempo para quedarme y pensar en el mejor formato para los datos que trato de presentar allí. Incluso en una forma aproximada, esta tabla es útil para ayudarlo a tomar una decisión informada sobre qué y por qué comprar un complemento de seguridad de WordPress o elegir usar uno gratis. Gran parte del marketing en torno a la seguridad no tiene claro lo que hacen, en aras de hacer declaraciones más impresionantes.
¿Quieres entender realmente la seguridad de WordPress? Seguridad de WordPress con confianza

La seguridad de WordPress con confianza es nuestra guía integral de seguridad de WordPress. Comenzando con los principios generales de seguridad y avanzando a pasos de actuación muy específicos, explicamos todos los detalles que necesita comprender en un lenguaje claro, sin jerga. Es su socio esencial para la seguridad de WordPress. Conviértase en un experto absoluto y tenga confianza en que está haciendo correctamente la seguridad de WordPress.
WordPress es seguro
Una de las primeras cosas que la gente malinterpreta es que creen que necesitan un complemento de seguridad de WordPress. No necesita un enchufe de seguridad.

Dicho esto, las necesidades son diferentes de los deseos. WordPress predeterminado, que ejecuta complementos bien hechos y todos se mantienen actualizados. Pero no todos controlan los complementos de cerca, actualizaciones lo antes posible o verifican si la configuración de su servidor es perfecta. Para esas personas ocupadas, los complementos de seguridad de WordPress pueden ser una opción atractiva. Ofrecen un avance en el proceso de asegurar su sitio de WordPress, brindándole algunas tareas claras y simples para realizar y cuidar otras cosas sin tener que trabajar. ¿Por qué existen complementos de seguridad de WordPress los complementos de seguridad de WordPress porque hay cosas útiles que puede hacer para que WordPress sea más seguro en un complemento? Y teniendo en cuenta cuán grande es el ecosistema de WordPress, si puede hacerlo, puede apostar que alguien lo hará.
La idea cínica: quieren su dinero cínicamente, hay tantos complementos de seguridad de WordPress y servicios de seguridad que puede ganar dinero vendiéndolos. Se podría decir que ni siquiera importa si su complemento hace que WordPress sea más seguro. Las personas asustadas lo comprarán independientemente de si hacen algo o no. Y para continuar hasta el apogeo del cinismo: no hay una mejor audiencia para vender que las personas asustadas que compran elementos de seguridad. Estoy algunas veces que un comprador está más dispuesto a separarse del dinero que cuando teme ser “pirata” o que lo ha sido. La idea optimista: quieren ayudar de manera más realista, nadie en el ecosistema de seguridad está tratando de ganar dinero solo de personas asustadas. Todos comenzaron a hacer un enchufe de seguridad con la intención de ayudar. La mayoría lo hace. Con la seguridad hay funciones mal implementadas y mal diseñadas, donde los beneficios de la seguridad pueden y deben debatirse. Pero elijo creer que vivimos en un universo amigable, y los pequeños o varias veces que los complementos de seguridad nominales tienen problemas son el resultado del error humano, no el mal. Qué características buscar en los complementos de seguridad de WordPress
No debemos entender los complementos de seguridad de WordPress como herramientas monolíticas con la capacidad de hacer que nuestros sitios sean completamente “seguros”. No debemos entender los complementos de seguridad de WordPress como herramientas monolíticas con la capacidad de hacer que nuestros sitios sean completamente “seguros”. Pensar de esta manera entra en conflicto con la realidad de la forma en que la seguridad realmente funciona (en la web y en cualquier otro lugar).
Más bien, la defensa y la seguridad son procesos en evolución que contienen muchos procesos distintos en sí mismos. Por ejemplo, para proteger al Presidente, el Servicio Secreto de los Estados Unidos hace mucho: asegúrese de que nunca salga de un automóvil sin cobertura, asegúrese de que el área general haya sido supervisada, asegúrese de que no se permita ninguna necesidad verificada cerca. Ellos etc. Del mismo modo, un complemento de seguridad de WordPress “completo” es una selección de diferentes procesos que puede usar. Cada uno funciona de manera diferente y es imposible enumerar clara y específicamente cada característica que contendrá un complemento. Pero, en general, se ajustan a unos 10 cubos y esto es lo que describimos. Firewall de aplicación o WAF un “WAF” o firewall para aplicaciones web separa su aplicación web de los malos actores en Internet. Un firewall para aplicaciones web es uno de los tipos de beneficios de seguridad más interesantes y menos comprendidos. Como cualquier firewall, la idea es la segregación de cosas malas en un lado. (Un firewall literal es una barrera resistente al fuego (o resistente) que detiene un fuego. Con un “WAF” o firewall para aplicaciones web, la idea es separar su aplicación web de los malos actores en Internet. O para WordPress , evitando que el mundo tenga un acceso demasiado fácil a su instalación de WordPress.

En la práctica, verá dos tipos diferentes de WAF vendidos para WordPress:
DNS intermedio: los jugos, CloudFlare y Sitelock se configuran cuando enderezan sus DNS hacia ellos, y luego lo vuelve a donde estaba adelante. De esta manera, son un intermediario completo para (casi) todo el tráfico a su sitio cuando se instalan como intermediario, pueden controlarle todo el tráfico (vale la pena señalar si alguien conoce la IP su servidor real). Firewall. Endpoint: WAFS de punto final se ejecutan en el mismo servidor que su aplicación e intente hacer lo mismo. En WordPress, este es el complemento de WordFency. Tiene la ventaja de que no tiene que redirigir DNS y no puede ser dirigida por personas con su IP de servidor tiene la desventaja de que casi todo el tráfico (incluso malo) llega a su servidor. Esto los hace más o menos inútil contra un ataque (d) DOS.
Estos dos tipos pueden funcionar como dos capas distintas de la misma estructura de seguridad, pero es probable que sean exagerados para la mayoría de los sitios.
Desviación rápida: ¿Qué es un ataque (d) DOS? Este artículo no es un resumen completo de todos los problemas de seguridad. Pero la comprensión de DDoS es importante para la evaluación de WAF. Soy un ataque de Internet común, no contra los sitios habituales de WordPress. La idea es enviar una cantidad abrumadora de mal tráfico (es decir: intencionalmente intencional) a su servidor con la intención de ralentizarlo tanto que queda inoperable. Esto se llama negación (distribuida) de servicio. (No se trata del robo de datos). Este ataque es el más comúnmente motivado políticamente. Un buen DNS WAF intermedio bloqueará todo este tráfico y evitará que destruya su sitio. Pero el volumen de los ataques DDoS más grandes registrados es tan grande que algunos de los bloqueadores de tráfico más decididos se han rendido. Esto sucedió más claramente con la “enseñanza” de Akamai frente al ataque de seguridad Krebs en 2016. Este tipo de ataque no es realmente una preocupación para un blog regular o para un sitio de pequeñas empresas. Pero Krebs es un sitio de WordPress, por lo que las defensas de WordPress son relevantes para esa historia.
De vuelta a WAFS, la mayoría de las WAF hará todo lo posible para bloquear todo el tráfico que sé que es malicioso, utilizando varias formas de tratar de decidir que es malicioso. Un método que tienen: cuando veo solicitudes que parecen intentar atacar las vulnerabilidades conocidas en una aplicación web (tal su. Esto a menudo se llama “parcheo virtual” y es una característica muy interesante. Bloqueo IP inteligente o agrupado Si tiene un WAF, lo tendrá. Pero muchos complementos de seguridad que no afirman que un WAF bloqueará la IP. Otra característica que incluirá todos los WAF es que bloquearán las direcciones IP maliciosas. Esta característica es un método diferente de la “ruta virtual” mencionada anteriormente, pero a menudo lo ofrecen complementos de seguridad e independientemente de otras características de WAF. Para casi todos los casos, puede considerar que si tiene un WAF, lo tendrá. Pero muchos complementos de seguridad que no afirman que un WAF hará esto.
El mecanismo varía, pero en general, cualquier persona que siga el tráfico malicioso (la mayoría de las veces contra los ataques de las fuerzas brutas, que continuaremos tratando) puede bloquear las IP (servidores) que se sabe que han intentado “atacar” a su sitio, algunos métodos ofrecen esto. Solo a su sitio local (nos “atacaron”, ahora los bloqueamos) y algunas piscinas. Cuando se unen, sé que una IP ha atacado el sitio web de Suzy, por lo que evitará que la misma IP ataque y que su sitio sea un buen beneficio, pero no esencial. El servicio que conozco de memoria que bloquea la IP es la seguridad de Ithemes (mediante un registro/registro opcional) y JetPack. Bloqueado con fuerza bruta para dejar de adivinar la contraseña de la caja, WordPress no hace nada para reducir la velocidad o detener un ataque de contraseña en bruto. Una característica aún más estrecha ofrecida por casi todos los enchufes de seguridad (que sigue a la extensión) es lo que yo llamaría “protección de fuerza cruda”. Cuando alguien está tratando de conectarse a su cuenta sin conocer su contraseña (pero tratando de adivinarlo), llamamos a este “ataque de fuerza bruta”. La idea es que, en lugar de tener un conocimiento real (como su contraseña en otra fuente), simplemente adivinan y adivinan y esperan que la fuerza bruta de adivinar su computadora sea suficiente para pasarlos. Sal de la caja, WordPress no hace nada para reducir la velocidad o detener este tipo de ataque. Esto significa que si olvida su contraseña, podrá adivinar los cinco de los cuales sale bien.
También significa que el Beth Hacker puede hacer que su computadora adivine 10,000 contraseñas para su cuenta tan rápido como su servidor lo permita. Te protegen contra un ataque de fuerza bruta, ralentizando las contraseñas después de tres o cinco intentos de conexión fallidos. Estos son supuestos suficientes que la mayoría de las personas que escriben la contraseña mal continuarán ingresando sin problemas, pero lentamente ralentizarán lentamente un descanso de contraseña. Hay muchos complementos gratuitos que solo ofrecen esta característica, los “intentos de inicio de sesión de límite” es mi favorito. Después de la tercera conjetura de contraseña pobre, bloqueará una dirección IP para no intentar autenticarse nuevamente durante 10 minutos. Autenticación En dos factores para mejorar la seguridad de la cuenta Si necesita algo más allá de una contraseña para el acceso, es poco probable que alguien más pueda tener éxito un intento de conexión no autorizado. Otro método de protección muy diferente contra un ataque con contraseña de Gross Force es hacer una contraseña inadecuada con el fin de autenticarlo. Si necesita algo fuera de una contraseña de acceso, es poco probable que alguien más tenga éxito en una conexión no autorizada. Ataque, intento. ¿Qué estaría más allá? ¿Qué dice que necesita la casilla de correo electrónico o el teléfono móvil para conectarse como usted? El acceso a esta cosa se usa así como un segundo factor en el proceso de autenticación (asegurándose de que sea suyo) y haga que su cuenta sea más segura. Hay muchos complementos de WordPress para un solo propósito que solo ofrece autenticación de segundo factor. La mayoría están hechas por compañías de seguridad específicas.
Pero muchos de nuestros complementos de seguridad de WordPress más completos en la tabla también ofrecen esto como una característica. Le envían un correo electrónico o usan un código de tiempo de una aplicación telefónica como Google Authenticator o Authy. “Escaneos de malware” para PHP que buscan estúpidamente en las líneas de archivos PHP que parecen hacer que las cosas malas sean una característica muy común para los complementos de seguridad de WordPress es que está tratando de escanear sus archivos de complementos y su tarea para tratar de decidir si contienen líneas malas o si son conocidos maliciosos. La lógica aquí es simple: si un atacante tuviera acceso a su sitio, ejecutaría un código malo en un complemento o un tema. Pero es difícil saber que elegirían, por lo que la mayoría de las personas que ofrecen esta función escanearán todos sus archivos PHP. Buscan en las líneas que parecen hacer cosas malas, como robar la información de los visitantes y enviarlas a otro sitio. Sin embargo, hay. Los jugos ofrecen un servicio de votación de “caja negra” (así como un escaneo basado en archivos). En los jugos de la suite, este es un primer nivel, frente a un escaneo de archivos en el servidor. Ithemes Security ofrece este servicio fuera del servidor (de jugos, revendido). No tengo experiencia de primera mano con lo buenos que son estos servicios, nunca he realizado experimentos masivos con codos malos conocidos contra ellos y no he sido atacado. Estoy seguro de que las personas tienen opiniones sobre su calidad relativa y están seguros de que algunos de ellos son opiniones informadas. Pero me abstendré de dar cualquiera de esos aquí.
La integridad de los archivos para detener los sombreros Una función similar al escaneo de malware es verificar solo el hecho de que los archivos de WordPress no han cambiado con el tiempo. La preocupación aquí es similar: creemos que las cosas malas pueden suceder a los archivos de complementos o PHP con el tema. La diferencia aquí es que suponemos que ahora son buenos, solo para advertirle que esos archivos han cambiado. Dependiendo de la configuración, esto puede crear mucho ruido o falso positivo. (Algunos complementos cambian los archivos a medida que funcionan y esto puede generar ruido a partir de dicho sistema). La idea es buena: si verifica la integridad de los archivos en un momento en que sabe que el sitio está asegurado, será segura si “Está frente a cada cambio a cada archivo. Auditar el diario para averiguar qué sucede con su sitio de WordPress, la idea es que generarán un diario con todos los cambios en el sitio con el tiempo. De manera similar, una de las cosas más simples que puede Hacer que su sitio sea seguro es asegurarse de que todos los cambios sean conocidos para hacer esto cuando solo tiene una cuenta en el sitio (y solo conectarse con él) es fácil. Haga esto cuando muchas personas controlen y cambien el sitio es Más duro. Es por eso que algunos complementos ofrecen un diario de auditoría de seguridad. La idea es que Generarán un diario con todos los cambios en el sitio con el tiempo. Con ellos, puede autenticarse y asegurarse de que periódicamente no se ha hecho nada perturbador en su sitio.

Y si sucede algo malo, podrá verlo y corregir desde el diario de auditoría.Fortalecer las instrucciones de WordPressexist muchas pequeñas prácticas que puede hacer para hacer un sitio de WordPress más seguro:
Mueva la URL de conexión, verifique los permisos de su sistema en su servidor, limite su wp-config.php. La mayoría de estas cosas tienen algunos (una especie de pequeños) beneficios de seguridad. Muchos complementos de seguridad de WordPress tienen una característica cuyo único propósito es ayudarlo a seguir este tipo de consejo. Casi todos estos complementos le brindan un contexto limitado sobre por qué las prácticas que ayudan (o no) realmente ayudan al objetivo de tener un sitio seguro. Pero “sí” tiene como objetivo facilitar este tipo de práctica. Las copias de seguridad de las copias de seguridad son una característica auxiliar de un complemento de seguridad. Realmente preferiría tener una buena solución de respaldo, además de mi complemento de seguridad. Estas cosas dicen que las copias de seguridad son una parte esencial de una estrategia de seguridad de WordPress, porque le brinda la seguridad de un plan de emergencia. Si lo peor sucede y su sitio se ve comprometido en una violación de seguridad, puede restaurar. Es mejor evitar la cama, pero una buena reserva es la siguiente mejor delgada. Y una cosa necesaria para un nivel de seguridad razonable. Cómo comparar y elegir complementos de seguridad de WordPress Hay tantas opiniones sobre las prácticas de seguridad, así como las prácticas de seguridad. Hay tantas opiniones sobre prácticas de seguridad como muchos profesionales de seguridad existen. Qué complementos variarán mucho por razones reales e imaginarias. La ferviente opinión de un amigo puede estar bien informada o arbitraria. Lo mejor que puede hacer es comprender el ecosistema. ¿Qué características cree que hará que su propio sitio sea más efectivo?