La seguridad de la obscalidad no es la seguridad en absoluto

Lo que importa como seguridad y cómo se asegura de que esté a salvo son temas grandes y complicados. Pero su complicación empeora cuando las personas confunden la creación de tareas innecesarias con beneficios reales. El “Teatro de Seguridad” era un término cada vez más común para caracterizar las prácticas que parecen mejorar la seguridad, pero que no hacen mucho. Hay una clase específica de consejos de seguridad comunes de WordPress, que simplemente no merecen todo el tiempo y la energía que las personas gastan en él: ocultando que ejecuta WordPress. Creo que, si bien algunas de las funciones de “seguridad de oscuridad” a menudo recomendadas tienen valor para un sitio regular de WordPress, no merecen los dolores de cabeza.
En este artículo, comenzaremos con una breve presentación general de cómo pensar sobre la seguridad de WordPress, cubriremos lo que es “seguridad a través de la oscuridad”, qué práctica implica y luego qué beneficios modestos tiene. Antes de comenzar, una invitación:
¿Quieres entender realmente la seguridad de WordPress? Seguridad de WordPress con confianza

La seguridad de WordPress con confianza es nuestra guía integral de seguridad de WordPress. Comenzando con los principios generales de seguridad y avanzando a pasos de actuación muy específicos, explicamos todos los detalles que necesita comprender en un lenguaje claro, sin jerga. Es su socio esencial para la seguridad de WordPress.
Conviértete en un experto absoluto y gane la confianza de que hace seguridad de WordPress correctamente.
Saber más
¡Vamos a bucear!WordPress es seguro, cualquier otra cosa es FUD Basic WordPress es seguro.WordPress que ejecuta complementos y temas aún es seguro.FUD es un acrónimo común dentro de la comunidad tecnológica.Significa “miedo, incertidumbre y duda”.Cuando dice que alguien difunde “FUD” en general, quiere decir que usa incertidumbre o duda sobre la utilidad de una determinada tecnología o ideas para difundir el miedo a ella.Es muy común que las personas que saben muy poco acerca de WordPress decir que es incierto.Y hay algunas razones en la historia por las cuales este pensamiento difuso debe ser honrado por tener algo de verdad.Pero la mayoría de las cosas que hicieron que “WordPress” sea incierta, no son WordPress, el software básico.Hay sitios web antiguos mantenidos mal y con software instalado por personas que no se dan cuenta de la gravedad de lo que hacen.
El núcleo de WordPress es tan seguro como cualquier herramienta similar a su historia y edad. La mayoría de los problemas de seguridad que se encuentran y se remedian hoy en día son bastante oscuros y esotéricos. No hay cosas que un atacante malicioso pueda explotar fácilmente en sitios aleatorios. Entonces, si deja que WordPress se actualice automáticamente como debería, nunca debe preocuparse de que WordPress en sí no esté seguro. Dicho esto, el ecosistema que rodea a WordPress es vasto. Y aunque los ojos centrados en la seguridad en el instrumento básico lo han reforzado, el ecosistema más amplio contiene muchos temas y complementos que cometen errores de seguridad de vez en cuando. Esto es natural y comprensible, pero esas vulnerabilidades a veces son grandes e importantes. Pero la mayoría no lo son. E incluso contra ellos, pueden protegerse en gran medida si simplemente mantiene sus complementos y temas actualizados. WordPress básico es seguro. WordPress que ejecuta complementos y temas aún es seguro. Pero eso no significa que no deba tomar otros pasos para que su sitio sea más seguro.
Lo que es la seguridad a través de la seguridad de la oscuridad a través de la oscuridad es la razón por la que no deja objetos de valor visibles en un área bien poblada. La seguridad por oscuridad es una práctica general en muchas partes del mundo. Un ejemplo: la seguridad por oscuridad es la razón por la que no deja sus objetos de valor visibles en el automóvil en un área bien poblada. Al ocultar sus objetos de valor con un tronco o una manta, hace menos obvio para un atacante potencial lo que los beneficios podrían obtener después de romper su automóvil. Específicamente, nos referimos a la seguridad a través de la oscuridad cuando confía en las personas que no entienden cómo se construye su sitio y dónde se puede esperar que encuentren sus archivos para protegerlo. Otra técnica habitual de seguridad a través de la oscuridad es “asegurar” ciertos archivos que No quieren verlos enviándolos como “trabajo en la escuela” o algo tan inofensivo. La cuestión es que sus documentos fiscales o fotos sexys no están realmente aseguradas al colocarlos en la escuela/2017/física/experimento. De hecho, están ocultos. Esto se asemeja a la adición de seguridad para ellos, pero no es lo mismo. Todo lo que se ha hecho es que es un poco más difícil para alguien encontrarlo. Este es el corazón de la seguridad a través de las ventajas y desventajas de la oscuridad.
Volvamos al auto. Deje sus objetos de valor bloqueados en el tronco de un automóvil es mejor que tenerlos. Con ellos visibles, un atacante sabe lo que recibirá. Sin ellos visibles, no son más difíciles de obtener, pero son más difíciles de evaluar como valiosos. Pero en cualquier oscuridad, aumenta más la seguridad de los objetos de valor, asegurándose de que el automóvil esté bloqueado que usted. Esto es similar a WordPress. Supongamos que desea que sea difícil descubrir que usa WordPress. El consejo común es que debes esconderte “con orgullo impulsado por WordPress”, encabezados del metagenerador HTML y varias otras cosas. Todo esto debería hacerte más seguro. Pero ninguno de ellos es tan valioso para asegurarse de bloquear la puerta metafórica. Trajes específicos de WordPress. Aquí están los grandes:
Esconder “orgullosamente impulsado por WordPress”
Esconde las etiquetas del metagenador
Oculta la versión de WordPress
Eliminar readMe.html
Ocultar la página de inicio de sesión a una URL diferente
Cambiar las carpetas WP-Admin, el contenido de WP, etc.
Todos estos pasos, como reubicar objetos de valor fuera de la visión, dificultarán discernir que su sitio ejecute WordPress y eventualmente tendrá otro beneficio menor. Pero ninguno de ellos es lo suficientemente bueno como para recomendar pasos para mejorar la seguridad de un sitio regular de WordPress.
Ninguna de estas prácticas es lo suficientemente buenas como para ser recomendada para mejorar la seguridad de un sitio regular de WordPress.Con cada uno de estos pasos, solo te protege de cierto tipo de atacante: uno lo suficientemente inteligente como para hacer un ataque, pero lo suficientemente estúpido como para no tener una forma más robusta de tratar de discernir y enfrentar un sitio de WordPress.Tomemos el consejo más simple de este tipo: asegúrese de eliminar el sótano del tema que posiblemente menciona a WordPress.Esto sería útil si su adversario en el ámbito de la seguridad es alguien que, literalmente, busca en los sitios de Google WordPress para atacar buscando esa cadena.Pero tal atacante no irá demasiado lejos en el mundo.
Los otros trucos te llevarán un poco más allá. Por ejemplo, si peleas con un atacante que es lo suficientemente inteligente como para buscar archivos ReadMe.html, estás tratando con alguien que al menos es un nivel más sofisticado. Así que es un poco más digno de tu tiempo. Y creo que mover la URL de inicio de sesión lo suficientemente lento como para ralentizar a los atacantes de WordPress, para que realmente se beneficie de la práctica. En la base de todos estos consejos está el pensamiento de que un atacante no debe saber que está ejecutando WordPress, entonces estará a salvo. Pero la cosa es que ninguno de ellos solo evita que un atacante sofisticado sepa que estás ejecutando WordPress. Mientras la hoja de estilo se llame style.css y contenga el nombre del texto, está bastante claro que usa WordPress. Debido a que ejecutamos la minimización y la concatenación de nuestras hojas de estilo en WPShout, no ofrecemos el estilo tan común Style.css. Pero todavía tenemos un tema de nombre que aparece en una hoja de estilo en nuestro sitio. Si fuera atacante, el último método es en el que confiaría para encontrar sitios de WordPress. (Aunque la búsqueda de la API REST, XML-RPC o algunos bits de marcado HTML que se usan menos fuera de WordPress también son buenas ideas).
¿Por qué es una seguridad útil por la oscuridad? Dígales cuán inútiles son estas técnicas de seguridad. Y realmente creo que les falta una historia convincente sobre por qué vale la pena. Pero no puedo negar que tengan algún valor. No creo que sea aconsejable recomendarlos debido a su costo en el esfuerzo y el beneficio mínimo, pero no son inútiles. Es cierto que si hace que sea difícil decir que su sitio es WordPress, probablemente evitará que varios atacantes prueben su sitio. Si este es uno de ellos, o al 100%, es solo especulación cuando los datos son perdido. Y simplemente no tenemos datos. Pero creo que algunos de los beneficios son claros. Puedo ver a un hacker construyendo un guión para investigar una larga lista de sitios para readMe.html que sugiere que los sitios son WordPress y luego atacando solo aquellos que realmente contienen ese archivo. Entonces, si eso sucediera, sería un valor innegable para eliminar el tuyo. Entonces el atacante ya no haría ningún esfuerzo para atacar su sitio (como un sitio de WordPress). Del mismo modo, es fácil imaginar a un atacante que escribe un script para visitar todos esos sitios de WordPress y dirigirse a {url} /wp-login.php para tratar de conectarse por la fuerza bruta. Si ha ocultado la página de autenticación colocándola en Ejemplo.com/let-me-in-Tease, es muy poco probable que intente conectarse a su sitio.

Entonces algunas de estas cosas son útiles. Esencialmente, un plan de seguridad de múltiples capas incluye la reducción de la probabilidad de que las personas incluso intenten acceder a las cosas a las que no desea acceder. Por lo tanto, vale la pena tomar estas medidas para algunas personas. Solo creo que son mucho menos valiosos que indicar la frecuencia en la que se dan. ¿Por qué no debería perder el tiempo con las técnicas de oscuridad El problema básico aquí es que la oscuridad puede tener sentido como una capa en sus prácticas de seguridad, pero no es una práctica de seguridad útil? Fundamentalmente, tener la oportunidad de elegir entre el seguimiento por seguridad por oscuridad o técnicas sustanciales y útiles que aseguran que su sitio de WordPress esté configurado correctamente, que los archivos están bloqueados, que no tiene cuentas de usuario antiguas con niveles de acceso. Inadecuado, etc. es mucho más importante. Hablé en la última sección de los atacantes que podrían desacelerarse o detenerse tomando los pasos de seguridad por obscuros. Pero también podría tener sentido que nuestro atacante teórico ignore cualquier tipo de verificación para ver si un sitio ejecuta WordPress y ataca sin discriminación todos los sitios en una lista de URL que han reunido como si fueran sitios de WordPress. El porcentaje de sitios de WordPress en el mundo es lo suficientemente alto como para que pueda ser tan inteligente como la libertad condicional. El problema básico aquí es que la oscuridad puede tener sentido como una capa en sus prácticas.
de seguridad, pero no es en sí mismo una práctica de seguridad útil. La distinción se puede hacer entre las cosas que hacen que el acceso de las personas a las que no desea acceder a un recurso y cosas que dificultan un poco más de encontrar el recurso. La seguridad por oscuridad es, por definición, la última. Pero, en esencia, la seguridad no es algo que este aspecto es, reconoceré, alguna distinción académica. Literalmente, no hay forma de garantizar que un sitio (o cualquier otra cosa) sea completamente seguro. Es por eso que un plan de seguridad que incluye varios pasos de protección diferentes es muy importante. Su propósito, para asegurar cualquier sitio de WordPress, no es obtener una seguridad perfecta, sino tomar medidas para aliviar las amenazas que considera las más importantes. No puedo contradecir el hecho de que si un atacante no puede encontrar una manera de conectarse a su sitio, la probabilidad de él conecta con éxito disminuye con éxito. De hecho, al infinito. (Aunque vale la pena darse cuenta, puede luchar para encontrar su página de autenticación a la vez …) o si su atacante no sabe que usa WordPress, es menos probable que tenga éxito atacaría un sistema bien conocido. Entonces, si quieres hacer estas cosas en un martes inactivo, hazlas. Esconde el metacenerador. Mueva la URL de conexión. Oculta la versión de WordPress. Cambie incluso el prefijo de la base de datos. Muchos de estos pasos tienen algunos (muy) pequeños beneficios, por lo que pueden tener sentido como parte de un plan integral para fortalecer y proteger su sitio.