Asegúrese de sus sitios 100% inmunes de WordPress para phishing

Google recientemente ha hecho una oportunidad en la escena de seguridad cuando se anunció que ninguno de sus más de 85,000 empleados ha sido exitosamente en sus cuentas relacionadas con el trabajo desde principios de 2017. Es el tipo de salsa mágica con la que todos anhelamos jactarse de los sitios de WordPress de nuestros clientes. ¿Cuál fue el secreto del éxito de Google y cómo puedo obtener ese nivel de protección para mis sitios que preguntas? No había magos protegiendo la sede de Google. La respuesta es la seguridad física del segundo factor universal (U2F) y resulta estar listo para WordPress. Entonces, ¿por qué no todos usan esta capa de seguridad impenetrable?
Quiero la mejor seguridad de WordPress. Así que investigué un poco y tomé una llave. Es bastante épico … pero no todos son profesionales. En este artículo, analizaremos el U2F, la magia de las claves de seguridad física, cómo puede configurar un sitio de WordPress de prueba de Phish a prueba de 100%, los beneficios y por qué no es adecuado para todos. Contenido:
¿Qué es U2F?
¿Qué hacen las claves de seguridad U2F?
¿Como funciona?
U2F y seguridad de WordPress
¿Cuáles son las desventajas de las claves de seguridad?
U2F vs OTP
U2F VS 2FA en teléfonos inteligentes
¿A quién son YubiKeys?
Otras soluciones de seguridad de WordPress
¿Cuál es una clave de seguridad física universal del factor 2 (U2F)? U2F es un estándar de autenticación que permite a los usuarios acceder a sus cuentas en línea con una clave de seguridad sin controladores o software del cliente de manera segura.
Simplemente registre un dispositivo físico en el servicio en línea que acepte el protocolo. Fue creado por Google y Yubico y ahora está alojado por Fido Alliance.

Teclas de seguridad de Fido U2F
Básicamente, las teclas de seguridad U2F son teclas USB físicas que parecen una unidad flash. Solo puede acceder a su cuenta tocando la clave mientras está conectado. Como usuario final, se siente como un dispositivo dedicado para la autenticación de dos factores. En lugar de usar el teléfono y la aplicación Authenticator, use una llave física. ¿Contra lo que protege las claves de seguridad U2F? Las claves de seguridad U2F protegen contra diferentes tipos de hacks y ataques: secuestrar la sesión, el hombre en medio, el malware y, por encima de usted, puede compartir sus credenciales). ). Crees que nunca serás víctima de un intento de phishing … ¿Crees que eres demasiado inteligente para esto? Según este informe, el noventa y siete por ciento de los consumidores no pudieron identificar correctamente los correos electrónicos de phishing. Noventa y siete por ciento? Con una clave física, como Yubikey, su información de inicio de sesión no puede ser tomada por un inicio de sesión de imitación, ya que solo funciona en sitios registrados. La autenticación fallará en sitios falsos, incluso si te engañan para creer que es real. Esto alivia en gran medida el aumento en el volumen y la sofisticación de los ataques de phishing y deja de tomar cuentas.
¿Cómo funcionan las claves de seguridad U2F?
Proceso simple para U2F

Una vez que haya configurado la tecla de seguridad, lo único que debe hacer es conectarse a su computadora (¡o toque su teléfono!) Y presione un botón. No, quiero decir, desde un punto de vista técnico, ¿cómo funciona? Para esta publicación, no quiero perderme en los detalles técnicos, pero en un alto nivel, las claves de seguridad aceptan dos comandos que se proporcionan a las páginas web como API del navegador: Registro: la clave de seguridad genera un nuevo par de asimétricos Keys devuelve la clave pública. El servidor asocia esta clave pública con su clave física y cuenta de usuario.
Autenticación: cuando se autentica, la clave de seguridad probará el Stick USB y su presencia física. Si se verifica, la clave privada se envía para desbloquear su cuenta.
Suena complicado, pero todo sucede casi al instante.
Si está buscando más detalles, Google ha lanzado este trabajo. Para más personas con conocimientos de tecnología, las especificaciones completas de Yubikes se pueden encontrar en FidoAlliance.org. U2F y WordPress Security que quería probar en mi sitio. Así que compré yubikey. Al ver que este fue un experimento y no soy súper técnico, no estaba listo para atacar la configuración manual. Busqué una opción de complemento gratuita en wordpress.org. La búsqueda terminó bastante rápido. Actualmente, no hay muchas opciones o información para WordPress, por lo que he optado por la opción gratuita más popular.
Ahora, armado con mi nueva llave y complemento, pensé que “no debería ser demasiado difícil”. Entonces, ¿cómo se usa U2F y las claves de seguridad física con WordPress?
Ir a usuarios -> su página de perfil
Desplazarse hacia abajo. Verás algunas funciones nuevas. Bajo la administración de cuentas, debe haber opciones con dos factores disponibles ahora. Active FIDO U2F y establecido como el principal
Desplácese hacia abajo hasta las teclas de seguridad y presione el nuevo botón del teclado
Inicie sesión en su tecla de seguridad FIDO U2F y toque el botón Círculo en él
Espere a que la página actualice y haga clic en Actualizar perfil
Mejorar la seguridad de WordPress configurando U2F
Suena bastante fácil. ¡Pero estaba atrapado en el paso 5! Estas instrucciones comienzan con la suposición de que se registra su clave.
No es complicado, pero me impidió. Entonces, aquí está mi “Guía Noobs” para la configuración U2F para WordPress:

Una vez que tenga la clave en su mano, el primer paso es registrarse en Google
Para configurar U2F en WordPress, debe ser autenticado como administrador
Use un navegador con soporte U2F (se recomienda Google Chrome. Asegúrese de tener la última versión).

U2F requiere una conexión HTTPS
No puede agregar nuevas claves de seguridad a través de HTTP
¿Cuáles son las desventajas y las barreras en la forma de ingresar las claves de seguridad? Aunque es bastante fácil de implementar, ha habido algunas desventajas.
Este nivel de seguridad no es gratuito y proporcionar claves de seguridad a todos aquellos que necesitan acceso a su sitio podrían ser costosos, especialmente para grandes equipos. El precio de las claves varía de $ 20 a $ 50. Además, es aconsejable mantener una llave de repuesto para cada uno de sus usuarios, si su clave se pierde, se daña o roba. Si conduce un equipo de 10, tomaría 20 llaves. Cha-ching. Si el costo no es prohibitivo, el próximo desafío es que las claves de seguridad aún no se adoptan ampliamente. Si bien el uso ha aumentado, la configuración de claves de seguridad para otros sistemas puede ser un proceso doloroso y largo. La buena noticia es que las cosas están mejorando y configurando la seguridad en Google, Facebook o Twitter es bastante simple. Otra cosa a considerar para equipos o agencias de desarrollo es la gerencia. Las claves crean un proceso más complicado de integrar a los empleados y clientes. También significa encontrar una persona puntual para la configuración y la recuperación. Hola gerentes intermedios. Quizás el obstáculo más obvio, no puede acceder a su sitio sin la clave de seguridad. Esto es bueno para la seguridad de su sitio, pero puede ser malo para la conveniencia. Supongamos que solo tienes que trabajar y te diste cuenta de que dejaste tu llave en casa. No puede llamar a alguien para dictar una contraseña única, ¡porque no hay contraseña de cucharadita! Esto podría significar unas pocas horas más de conducción, lo que cancelaría todos los segundos adicionales que “robó” usando U2F sobre OTP en un día.
Finalmente, la distribución de claves de seguridad a sus clientes WordPress obviamente podría ser un problema potencial. Entonces, ¿por qué no se ejecuta simplemente con códigos de acceso únicos (OTP) o 2FA en mi teléfono? Estas son opciones válidas, pero hay algunas desventajas. Los códigos de acceso únicos U2F VS OTP (OTP) son códigos numéricos cortos que se usan de manera única y se envían mediante mensajes de texto o se generan en un dispositivo físico separado. Aunque son más seguros que las contraseñas ordinarias, los OTP no son perfectos: son vulnerables al phishing y los ataques de hombre en el medio
Tienes que usar un dongle para cada sitio web/contraseña
Los mensajes SMS se pueden interceptar
En resumen, no es un plan de protección del 100%. Aunque ofrece otro nivel de seguridad, si alguien Phisses accede a su cuenta de correo electrónico o mensajes, aún puede obtener acceso al back-end de WordPress (o sus clientes) con un código OTP. ¿Qué pasa con 2FA en los teléfonos inteligentes? Si está utilizando una aplicación 2FA en su teléfono inteligente, como Google Authenticator, puede hacer esta pregunta. Respuesta corta: Nada está mal con 2FA, de hecho, ofrece un alto nivel de seguridad si está configurado correctamente. Esto puede fortalecerse con cosas como desactivar la opción OTP, menos conveniente, pero más seguro. 2FA es más flexible, pero si deja opciones de recuperación en nombre de la comodidad, puede dejarlo con una falsa sensación de seguridad. Las ventajas de las claves de seguridad U2F a los teléfonos inteligentes:
Proteger la lógica de la aplicación de malware es difícil en una plataforma informática de propósito general
Es posible que un teléfono no sea accesible en situaciones en las que se descargue la batería o cuando no hay servicio para la mayoría de los teléfonos inteligentes, los yubikes son resistentes al agua y le permitirán besarse bajo la lluvia
¿Para quiénes son las claves de seguridad física como yubikeys?
Para la mayoría de los usuarios de WordPress, los defensores 2FA con Google Authenticator en el teléfono es más que suficiente. Las claves de seguridad dedicadas ofrecen protección dedicada contra el phishing y los ataques de hombre en el hombre y, sin duda, son más rápidos y más fáciles de usar una vez que los ha configurado y se acostumbra a ellos. El habitual Joe de Joe probablemente realmente no necesita un Yubikey. Dicho esto, si está conduciendo una agencia con varios administradores en los sitios de clientes de perfil, puede ser hora de considerar las claves físicas para su equipo U2F, el estudio de Google mostró que, además del hecho de que se han convertido en una “zona sin phishing”, También han observado una productividad acelerada de los empleados, un soporte reducido en comparación con la autenticación del teléfono e incluso un menor costo de tenencia. Los beneficios de las claves físicas se multiplican por el número de empleados/clientes que usan las claves y la cantidad de sesiones diarias que comienza cada usuario. Las mejores soluciones para la seguridad de WordPress U2F son probablemente la tecnología del futuro y está aumentando en popularidad. Pero por ahora, no parece proporcionar suficientes beneficios para las agencias pequeñas o medianas, al menos no para reemplazar un 2FA bien configurado. Si las teclas físicas suenan de manera poco práctica o ligeramente excesiva para sus clientes, el defensor es la mejor opción para asegurar sus sitios de WordPress.
La combinación de ajustes de seguridad de un solo clic, buenas prácticas de contraseña, autenticación de dos factores junto con nuestra autenticación forzada en dos factores para ciertos roles de usuario, copia de seguridad automática y limpieza gratuita de asistencia experta es más que suficiente.¿Qué piensas?Los riesgos de phishing asociados con su teléfono están considerando sus claves físicas para su agencia de WordPress? ¿Qué tan importante es la seguridad para usted y sus clientes?¿Dónde te sientas en 2FA y U2F?¿Pensarías en comprar claves de seguridad?
Etiquetas:
Seguridad de WordPress
Seguridad
autenticación con dos factores
U2F