Cómo no ser pirateado, una guía para los desarrolladores de sitios de WordPress (y sus clientes)

Has creado el sitio web de sus sueños de sus clientes. No permita que los hackers se hagan cargo y lo conviertan en una pesadilla. Nuestro guía “Cómo no ser pirateado” le muestra cómo … cuando los piratas informáticos comienzan a ingresar a las compañías de seguridad que nos protegen de los piratas informáticos, ¡sabes que es hora de tomar en serio la seguridad! Especialmente cuando piensas en estadísticas como estas:
Hay un ataque de hacker cada 39 segundos.
El 95% de las violaciones de seguridad cibernética se deben a errores humanos.
El 64% de las empresas sufrieron ataques basados ​​en la web.
El 43% de los ataques cibernéticos apuntan a pequeñas empresas.
Fuente: Cybint
Sí … pero no todos los piratas se realizan a través de los verdaderos sitios web, pero aquí está la cosa … La mayoría de las amenazas de seguridad son multidimensionales. Esto significa que, sin importar cuánto tiempo, el dinero y el esfuerzo inviertan en construir y alojar un sitio web de manera segura, hay muchos factores que pueden amenazar la seguridad web y permitir a los piratas informáticos devastarse en su sitio. Echa un vistazo a este gráfico para ver a qué me refiero …

Las amenazas de seguridad son multidimensionales. Arriba está mi versión condensada del modelo de clasificación de amenazas de seguridad que se presentan a continuación …

Las amenazas multidimensionales pueden afectar la seguridad de su sitio (Fuente: ScienceDirect.com, Clasificación de amenazas de seguridad en los sistemas de información). Como puede ver en el diagrama anterior, las amenazas de seguridad web pueden provenir:
Fuentes externas (por ejemplo, usuarios no autorizados y desastres naturales) o
Fuentes internas (por ejemplo, un empleado con acceso de administrador al sitio, servidor o cuenta de red).
Agregue agentes humanos, ambientales y tecnológicos con una motivación intencional o no rubor y una intención accidental o no accidental, y las amenazas de seguridad representadas por cualquier combinación de estos factores se multiplican y más. ¡La web es un complejo increíble! Un mal funcionamiento en cualquier parte del sistema puede amenazar la seguridad del todo. Incluso en situaciones en las que los atacantes no están directamente involucrados (por ejemplo, desastres naturales), estas amenazas pueden crear puntos de seguridad ciegos que podrían afectar su sitio y conducir a:
Destrucción de la información, por ejemplo, eliminar archivos o datos importantes.
Corrupción de la información, por ejemplo, tablas y archivos de bases de datos corruptas.
Divulgación de información, por ejemplo, exponiendo datos confidenciales a usuarios no autorizados o al público en general.
Robo del servicio, por ejemplo, robo o uso abusivo de datos, robo de recursos del servidor, etc.
Denegación de servicio: por ejemplo, un ataque de denegación de servicio distribuido (DDoS).
Aumento no autorizado de privilegios, por ejemplo, explotando una deficiencia del sistema para obtener privilegios de administrador en el sitio o la red
Uso ilegal por ejemplo, uso del sitio para atacar a otros sitios, propagarse virus, correr estafas, robo de identidad, etc.
Para prevenir la piración, el deterioro o la alteración de los sitios, se deben considerar todos los factores amenazantes en esta bestia de seguridad multidimensional.
¡Es difícil mantener las amenazas de seguridad, especialmente cuando luchas con una bestia multidimensional! Ahora que entendemos la enormidad con la que estamos tratando, para restringir cómo abordar esta bestia de seguridad web. Nos centraremos en cómo prevenir el pirata de sus sitios acercándose a los siguientes campos: Mattle de riesgos de seguridad web

La defensa es tu único plan de ataque
Asegurar el 95% de las vulnerabilidades contra los piratas informáticos
1. Mattlitud de los riesgos de seguridad web Muchas cosas pueden salir mal fuera de su sitio y crear una oportunidad para que los hackers ingresen a su sitio.
Estas cosas incluyen:
Servicios externos de quién y desde donde compra servicios o a los que subcontrata, incluidos alojamiento, complementos, temas, otros desarrolladores de sitios web, etc.
Procesos y métodos utilizados para construir, asegurar y administrar sitios.
Vulnerabilidades humanas: conocimiento, comprensión, experiencia y nivel inadecuado de calificación de problemas de seguridad.
Atenuación de riesgos de servicios externos Como desarrollador de WordPress, sus principales proveedores de servicios incluyen lo siguiente:
Su empresa de alojamiento y centros de datos.
Desarrolladores de complementos y temas de terceros.
Plataformas y software integrados de terceros.
Desarrolladores de outsourcing, empresarios, etc.
Los centros de datos, por lo general, las empresas de alojamiento web poseen o alquilan espacio para alojar sus servidores en varias bases de datos en todo el mundo.
Todo el procesamiento de hardware, los datos y la información de su empresa de alojamiento se llevan a cabo en bases de datos, por lo que es importante que los centros de datos tomen en serio la seguridad física y digital para aliviar todas las amenazas y riesgos de ataques y daños y para garantizar los servidores de seguridad. que alojan los sitios y los datos. La mayoría de los desarrolladores eligen su empresa de alojamiento web, y el host web elige sus bases de datos. Sin embargo, tanto las empresas de alojamiento como los centros de datos tienen la responsabilidad común de garantizar la seguridad del sitio web.
Controles ambientales: el equipo electrónico genera calor que puede provocar fallas, por lo que debe funcionar a una temperatura segura.
Fuentes de energía de reserva: los servidores deben continuar funcionando incluso si la red de energía principal falla inesperadamente.
El uso de métodos de seguridad avanzados: esto incluye sistemas y tecnologías de supervisión de CCTV para garantizar que el hardware y las personas no ingresen o abandonen el centro sin aprobación, como el uso de trampas con datos biométricos y acceso de seguridad limitado, puertas de entrada individuales (una sola La persona está permitida al mismo tiempo), jaulas de servidor que cierran, protegen y separan los servidores con datos y equipos confidenciales, detectores de metales, etc.
Instalaciones de seguridad: esto incluye contratación de seguridad e instalación de medidas de protección, como vidrio antiglón, potentes barreras anti -colisión, aislamiento climático, sistemas de extinción de incendios, etc.
Su empresa de alojamiento se enfoca en campos como la velocidad y la confiabilidad del servidor o la recomendación de las empresas basadas en los precios del plan, las comisiones afiliadas y los estimulantes para la reventa sin priorizar la seguridad pueden poner los sitios de los clientes. El rendimiento y los beneficios económicos no deben ignorarse. Pero, pero También es importante evaluar el compromiso de su anfitrión con la seguridad.El 95% de los registros violados en 2016 provenían de tres industrias, y la tecnología fue una de ellas (la gobernanza y el comercio minorista fueron los otros).Las empresas que almacenan un alto nivel de información de identificación personal (PII) en sus registros son objetivos muy populares.Por lo tanto, es importante saber cómo almacenar los datos de su empresa de alojamiento y qué medidas de seguridad activas y pasivas están en vigor para protegerlos.
Algunas opciones de alojamiento son más seguras que otras. Escribí una guía detallada sobre diferentes tipos de alojamiento, incluidos cuáles son los tipos más seguros y cómo elegir el tipo correcto de alojamiento para sus necesidades. Comprender la redundancia de la red en la infraestructura del host también es importante. ¿Qué sucede si un servidor de red o un enrutador está dañado o un componente está roto y pirateado? ¿Cómo están aislados y protegidos sus sitios web por incidentes de red e interrupciones del servicio causadas por violaciones de seguridad? Al evaluar un host, descubra qué tipo de medidas de seguridad se incluyen en su gestión de alojamiento y servidores. Su plan incluye firewalls en el servidor que evita que los códigos maliciosos ingresen a la red (por ejemplo, WAF), funciones de seguridad para el cifrado y la transmisión de datos como SSL, SFTP y CDN? 2fa), clubes nocturnos y restauraciones de un solo clic y un área de capacitación segura para el desarrollo de sitios de clientes, realizando actualizaciones de mantenimiento e instalación o probada nuevas aplicaciones sin dejar que los sitios web vulnerables y expuestos a ataques. Además, si a pesar de todas las medidas de seguridad, su sitio se ve comprometido, ¿qué tipo de garantías de seguridad y soporte ofrecen su alojamiento web?
Aquí, en WPMU Dev, por ejemplo, no solo ofrecemos alojamiento de WordPress accesible, rápido y seguro, sino que también ofrecemos a los miembros de una oficina de asistencia dedicada 24 × 7 para todos los problemas de WordPress (incluida la seguridad) y ayudaremos a limpiar su sitio. lo pirateado. También ofrecemos una documentación extendida que cubre todas nuestras características de seguridad para el alojamiento. Si es serio para proteger sus sitios contra los piratas informáticos, no debe esperar nada menos que un compromiso total con la seguridad web de su proveedor de alojamiento. Atenuar los riesgos de las terceras fuentes Aunque WordPress es una plataforma segura, es difícil evitar el uso de complementos, temas e integración del tercer partido. Cualquier vulnerabilidad de una solución de terceros puede abrir la puerta de los hackers y conducir a un sitio web comprometido. Para minimizar el riesgo al usar soluciones de terceros, descargue complementos solo de fuentes de confianza (y temas), use plataformas de terceros de renombre y siempre mantenga el sitio web actualizado de WordPress. Un excelente recurso para verificar antes de instalar cualquier solución de terceros es la base de datos de vulnerabilidad nacional. Por ejemplo, mientras escribía este artículo, hice una búsqueda rápida en la base de datos “WordPress” y más de 3.000 resultados, muchas vulnerabilidades enumeradas en complementos y temas de WordPress (también realicé un “Tema de WordPress”, que eliminó 180). + vulnerabilidades del tema). Corte en la base de datos de vulnerabilidad nacional para vulnerabilidades en complementos, temas y terceros.
(Como punto de interés, cuando escribí un artículo sobre la búsqueda de vulnerabilidades de WordPress hace casi una década, observamos ocho años de datos anteriores y descubrimos que las vulnerabilidades de seguridad para el núcleo de WordPress estaban disminuyendo, pero los informes informados para terceros para terceros . Los complementos han tenido una tendencia al alza. Tenemos la intención de revisar esto en el futuro cercano e informaremos nuestros hallazgos aquí, ¡así que mira este espacio!) Atacando los riesgos de los procesos internos para mantener las cosas simples, para compartirlos todos en Dos grupos: personas que subcontratan los servicios (por ejemplo, otros desarrolladores web, trabajadores remotos, etc.)
Las personas que ofrece servicios (por ejemplo, sus clientes): nos dirigiremos a este grupo más adelante.
Supongamos que es dueño de una agencia de desarrollo web y contrata/subcontrata a otras personas. Cada persona de su negocio es una posible amenaza de seguridad. Sus socios, personal, contratistas subcontratados, trabajadores remotos … y, desde la perspectiva de su cliente, ¡incluso usted! P.ej:
Subcontratación del trabajo técnico a alguien con habilidades tan altas que nadie más puede entender o comprender lo que hace.
Alguien en su equipo con acceso a la red era descuidado con una contraseña o un archivo adjunto de correo electrónico.

Un trabajador remoto con acceso a sus sistemas y datos funciona desde una ubicación Wi-Fi no garantizada.
En la sección Introducción, enfaticé que:

El 64% de las empresas sufrieron ataques basados ​​en la web.
El 43% de los ataques cibernéticos apuntan a pequeñas empresas.
Haga los cálculos y se dará cuenta rápidamente de que algunos de sus clientes están obligados a experimentar un ataque cibernético. Por ejemplo, si se ocupa de 10 sitios para clientes de pequeñas empresas, hay altas posibilidades de que 2 o 3 de estos sitios web sean atacados por hackers (10 x 64% = 6.4 sitios x 43% = 2.75 sitios). Para reducir la probabilidad de que su negocio sea responsable de los sitios de clientes, es importante desarrollar e implementar políticas y pautas de seguridad internas que cubran áreas como: contraseñas y cuentas, esto incluye la frecuencia con la que la configuración de las contraseñas y las cuentas que expiran , Revocar el acceso para los empleados que son abolidos, el archivo, el almacenamiento y la eliminación de datos obsoletos e información confidencial deben cambiarse.
El uso de equipos BYOD (traiga su propio dispositivo)-¿Permite al personal, a los trabajadores de subcontratación o de forma remota usar sus propios teléfonos y computadoras portátiles? En caso afirmativo, ¿qué medidas de seguridad puede implementar para almacenar y administrar de forma segura los datos de los propietarios y la información del cliente sobre sus dispositivos? ¿Qué sucede si elimino datos importantes accidentalmente o maliciosos en su sistema o servidor? ¿Tiene una Política de gestión de dispositivos móviles (MDM) que le brinde el poder de eliminar sus dispositivos de control remoto si sus dispositivos son robados o perdidos?
Capacitación: si contrata trabajadores remotos, asegúrese de que sepan cómo conectarse de manera segura y trabajar de forma remota.Además, considere la implementación de programas de capacitación para empleados, especialmente para aquellos con roles que son vulnerables a los ataques cibernéticos y les ofrezcan opciones para desarrollar habilidades preventivas y defensivas y para comprender las mejores prácticas de seguridad. Y el software similar a las evaluaciones, la seguridad de su Las empresas deben revisarse, revisarse y actualizarse regularmente.Realice evaluaciones periódicas de sus prácticas y políticas de seguridad interna para identificar y remediar cualquier debilidad.
Para obtener consejos adicionales sobre la implementación de prácticas de seguridad en su negocio o entorno de trabajo, consulte esta gran lista de consejos de seguridad cibernética. Ahora que hemos analizado las amenazas que pueden permitir a los piratas informáticos ingresar a su negocio, analizar las amenazas que pueden permitir a los piratas informáticos ingresar a su sitio web. 2. La defensa es su único plan de ataque que ha hecho todo lo posible para reducir los riesgos de seguridad generados por amenazas externas. Ha elegido un host web que toma en serio la seguridad y la ejecución de servidores de un centro de datos más seguro que Fort Knox. Instale solo complementos y terceros de fuentes confiables y confiables e integren con plataformas establecidas de terceros. Su trabajo ha implementado las mejores prácticas de seguridad. Todo lo que se ha quedado ahora es construir sitios increíbles de WordPress para sus clientes y asegurarse de que sean fortalezas inexpugables para los piratas informáticos. Considere esta cita de Sense of Security, una compañía de seguridad de TI para escalar las armas de seguridad cibernética. Los piratas informáticos para realizar ataques más grandes y más complejos. Y estos ataques evolucionan más rápido de lo que podemos mantener nuestra defensa. La seguridad web no es solo un caso clásico de buenos chicos versus chicos malos, ¡también son buenos chicos los que entrenan a los malos para empeorar aún más!
Como desarrollador web concentrado en la construcción de sitios web y no en “armas de seguridad cibernética”, lo mejor que puede hacer es tratar de mantenerse al día y defenderse. Cuanto más sepa y comprenda sobre los problemas de seguridad, mejor puede defender los sitios de ataques cibernéticos, piratas informáticos, robots maliciosos, etc. Para ayudarlo en este sentido, he escrito muchos artículos de tutoriales en profundidad y paso a paso sobre la seguridad de WordPress y cómo fortalecer los sitios de WordPress. Entonces, en esta sección, solo le daré una lista de artículos y tutoriales que lo convertirán en un profesional de seguridad de WordPress. Si es un nuevo desarrollador de WordPress si acaba de comenzar como desarrollador web, le recomendamos que consulte algunos de nuestros tutoriales de seguridad, como comprender los permisos de archivos del servidor, SSL y WAF. Además, asegúrese de comprender por qué los hackers quieren apuntar a su sitio de WordPress y cómo escanear un sitio de WordPress para malware. Si su cliente tiene un presupuesto pequeño, verifique cómo asegurar un sitio de WordPress de forma gratuita. También recomendamos que obtenga estos remedios rápidos y fáciles de las vulnerabilidades de seguridad de WordPress en su cinturón de herramientas. Una vez que haya cubierto los conceptos básicos, es hora de hacerlo.
.. Conviértase en un profesional de seguridad de WordPress Comience consultando nuestra guía definitiva para la seguridad de WordPress. Luego, revise nuestro checkPress CheckPite, verificando la lista para hacer que sus piratas informáticos de su sitio (con un PDF descargable, para que pueda verificar las casillas) y nuestros recursos de seguridad de WordPress. Además, consulte nuestras entrevistas con los expertos en seguridad de WordPress para obtener algunos consejos excelentes sobre lo que hacen los expertos en seguridad de WordPress para mantener sus sitios de clientes seguros y protegidos por piratas informáticos y amenazas maliciosas. Como parte del desarrollo de la experiencia en seguridad, asegúrese de familiarizarse con recursos como nuestra Guía de Protección DDOS y cómo probar la seguridad de su sitio de WordPress. Y si su sitio se ha roto, asegúrese de ir a esta publicación y descubra cómo limpiar un sitio pirateado de WordPress. Use Defender para la seguridad inteligente de WordPress, como dije anteriormente, “hay un ataque de hacker cada 39 segundos”. Si no cree en estas estadísticas, puede confirmar esto instalando nuestro complemento de seguridad de WordPress, Defender. El defensor envía una notificación y está registrado cada vez que alguien intenta piratear su sitio.
Los piratas informáticos continúan superando, y el defensor continúa bloqueando.El defensor bloquea a los piratas informáticos en cada nivel y agrega capas de protección a su sitio.Con solo unos pocos clics, su sitio de WordPress está protegido de ataques de fuerza bruta, inyecciones de SQL, Scripting XSS entre sitios y muchas otras vulnerabilidades y hacks de WordPress.El defensor también ejecuta escaneos de malware y antivirus y ofrece bloqueo de IP, firewall, revistas de actividad, revistas de seguridad y autenticación de dos factores.Y esta es solo la versión gratuita del complemento.Vea nuestros tutoriales en el defensor del complemento de seguridad WordPress para ver todo lo que hace este complemento y descubra cómo configurarlo fácilmente en los sitios de sus clientes (Consejo:
Nuestra WordPress, la consola de administración del Hub hace que sea aún más fácil y más rápido instalar y configurar el defensor en múltiples sitios de WordPress). 3. Asegurar el 95% de los piratas informáticos como dije anteriormente, “El 95% de las violaciones de seguridad cibernética son causadas por un error humano . ” Elegir un host web súper asegurado no es un problema. (Puede hacer esto con un solo clic aquí). La implementación de procesos de seguridad internos en su negocio requiere algo de esfuerzo, pero tampoco es un problema. Fortalecer la seguridad de WordPress … tampoco es un problema. Puede encontrar todo lo que necesita saber para que WordPress sea impenetrable para los piratas informáticos aquí en este sitio. El principal desafío cuando se trata de la prevención de los piratas informáticos es cómo asegurarse de que las personas no cometan errores cuando “no es humano”. Si logra darse cuenta, protegerá a sus clientes del 95% de todas las vulnerabilidades de seguridad en la web y eliminará permanentemente los piratas informáticos. 😉 Hasta que esto suceda, solo tendrá que ser paciente con las personas. Ayúdelos a implementar buenas prácticas de seguridad y desarrollar mejores hábitos de seguridad en línea, comenzando con cosas básicas como la seguridad de la contraseña, evitar los tramposos por phishing por correo electrónico, etc. Además, aliente a los clientes a implementar buenas políticas de seguridad en sus trabajos y capacitarlos y educarlos lo mejor posible sobre cómo ser más conscientes de las amenazas y reducir los riesgos de seguridad.
Todo el fortalecimiento de la seguridad de WordPress en el mundo no puede detener a los piratas informáticos si sus clientes se enamoran de las estafas por phishing por correo electrónico. Recuerde que al final, no importa lo que hagamos, todos somos personas y todos cometeremos errores en un momento u otro. Además, todos tienen problemas. La adicción, el resentimiento, la insatisfacción en el trabajo, la codicia, el oportunismo y las personalidades insatisfechas pueden manifestarse en cualquier momento en el entorno laboral y también pueden convertirse en una amenaza potencial para la seguridad. Por lo tanto, a menos que sus clientes sean seres humanos perfectos, sin problemas, sigue siendo el 95% de las vulnerabilidades de seguridad con las que tiene que lidiar. Lo mejor que puede hacer para no piratear las amenazas de seguridad web es multidimensional, y la seguridad cibernética es una carrera de armas en crecimiento, por lo que los piratas informáticos siempre tendrán nuevas oportunidades para identificar debilidades y vulnerabilidades a más niveles. Lo mejor que puedes hacer para que no te piratees es hacer todo lo que puedas. Reduzca tantos riesgos como sea posible, implementa las mejores prácticas de seguridad en cada nivel, continúe aprendiendo y mejorando su conocimiento de la seguridad web, manténgase vigilante y ayude a sus clientes a hacer lo mismo. Si necesita ayuda especializada con algo sobre WordPress, comuníquese con nuestro equipo de asistencia 24/7. Somos los buenos tipos que luchan de tu lado. ¿Qué medidas se toman para asegurarte de que tus sitios estén protegidos por los piratas informáticos? Comparta sus pensamientos y comentarios a continuación.