5 formas por las cuales WordPress aumentó fundamentalmente la seguridad

WordPress es uno de los sistemas de gestión de contenido más conocidos (CMS) allí. Es la plataforma más popular para crear sitios web y esto puede deberse en parte a la facilidad de uso, el permiso para que los principiantes creen sitios web, pero también para desarrolladores web avanzados. WordPress tiene un impresionante almacenamiento de complementos de más de 50,000 complementos y más de 5,000 temas enumerados en su biblioteca, público para cualquiera que quiera descargarlo. La plataforma ha aumentado para convertirse en un CMS flexible, confiable y seguro, ampliamente utilizado de nuevas empresas, comercio electrónico, fotógrafos, diseñadores, organizaciones sin fines de lucro y muchas otras industrias.
Aquí hay algunos hechos sorprendentes publicados por CodeInwp:
El 32% de Internet se ejecuta en sitios de WordPress
¡WordPress domina el mercado global de CMS con una participación total del 50-60% de todo el mercado!
Alrededor de 19.5 millones de sitios web se ejecutan en WordPress CMS
Sin embargo, estas impresionantes estadísticas ubican naturalmente proyectos de WordPress entre los sitios web de hackers más específicos. Las hazañas de seguridad, las violaciones y las vulnerabilidades recién descubiertas son algo contra el cual el equipo de seguridad de WordPress está luchando constantemente. Aunque el equipo de seguridad remedia constantemente las brechas y las vulnerabilidades, los usuarios de WordPress también deben conocer y actualizar su tema y complementos en cualquier momento.
Seguridad de WordPress En este artículo, pronto presentaré el documento de seguridad de WordPress, una breve explicación sobre cómo mantenerse a salvo y también hablaré sobre cómo WordPress ha mejorado fundamentalmente su seguridad a lo largo de los años.
¿Ya has sido pirateado? ¿Perdiste tu contraseña o toda tu cuenta? ¿Se comprometen sus archivos básicos? El script de recuperación de emergencia gratuito resolverá su pesadilla con un solo clic. White WordPress es gratuito y está disponible para cualquiera que quiera leerlo, el libro blanco completo se puede encontrar en el sitio web de WordPress.
Destacaré a continuación algunas secciones importantes del libro blanco:
El equipo de seguridad de WordPress consta de 50 expertos, incluidos los principales desarrolladores e investigadores de seguridad que colaboran con otros investigadores confiables y empresas de alojamiento de confianza.
Comenzando con WordPress 3.7 Los usuarios tienen la oportunidad de activar actualizaciones automáticas para todas las actualizaciones menores (lo cual es increíblemente importante)
El Proyecto Open Web Application Security (OWASP) es una comunidad en línea que trabaja sin parar para mejorar y reparar la seguridad de las aplicaciones web.
Las amenazas más comunes que enfrenta WordPress son las inyecciones SQL y los scripts de sitios cruzados (XSSCRIPTING).
Como puede imaginar con el volumen de usuarios que tiene WordPress, los hackers atacan incansablemente los sitios web.
No puedo enfatizar esto demasiado, pero a menudo se niega o subestima. Sin embargo, el arma más importante contra los posibles ataques es estar siempre al día. Por lo tanto, preferiblemente, active actualizaciones automáticas para temas y complementos. Además, debe instalar un complemento de seguridad de WordPress para mantener su sitio seguro.
Lo que nos lleva a la siguiente sección, donde me acercaré a 5 formas en que WordPress ha aumentado su seguridad y qué incidentes han causado la respuesta de WordPress. 1. Verificar el acceso al nivel externo de usuario hace poco más de 10 años, cuando WordPress estaba en la versión 2.1.1. Uno de los servidores de WordPress sufrió una violación masiva. Los piratas informáticos han logrado explotar una vulnerabilidad, lo que les permitió modificar los archivos descargables. Los piratas informáticos han obtenido acceso al nivel de usuario a uno de los servidores y utilizaron la capacidad de acceder al servidor para modificar e inyectar los archivos descargados con código malicioso. El código malicioso que los hackers han inyectado en los archivos del servidor WP permitieron a los piratas informáticos ejecutar el código PHP desde la distancia. Por lo tanto, la mayoría de los usuarios que descargaron WordPress 2.1.1, de hecho, descargaron una versión maliciosa. WordPress respondió rápidamente y lanzó una versión mejorada de 2.1.2 en breve para remediar la vulnerabilidad. WordPress ha mejorado su seguridad aquí al implementar una verificación externa exhaustiva del paquete de descarga, lo que significa que recibirán una actualización cada minuto cuando algo sucede fuera del lugar. Además, restablece muchas cuentas de cuentas que tenían acceso al nivel de usuario a los servidores.

2. Eliminar la corona Php4 y MySQL
WordPress encontró problemas serios cuando se informó una operación del vector de seguridad en 2009. La operación permitió a los piratas informáticos ver y modificar varias opciones de complementos. Las mismas explotaciones conducen al descubrimiento de un problema de higiene de URL. Lo que permitió a cualquier persona familiarizada con una cadena de código particular para eliminar a los usuarios administrativos en otro sitio. En respuesta, WordPress Security Team ha lanzado varias actualizaciones básicas, cerrando las brechas del vector de seguridad. Además, el equipo de seguridad ha hecho mucho esfuerzo para eliminar una cantidad significativa de PHP4 y MySQL. Que se corrigió en WordPress 3.2. Comenzando con 3.2, hubo muy pocas actualizaciones importantes. Simplemente porque los problemas de saneamiento y el código PHP y SQL se han actualizado y mejorado. 3. Las vulnerabilidades de los complementos minimizados como se mencionó anteriormente, WordPress alberga más de 50,000 complementos. La mayoría de estos complementos son desarrollados y actualizados por terceros. Aunque WordPress tiene un equipo que trabaja en tiempo completo para revisar los complementos y verificar las vulnerabilidades de seguridad. La comunidad en línea de OWASP también participa en el fortalecimiento de los terceros complementos básicos.
Como se menciona en la página del documento de seguridad: “El sistema interno de acceso de acceso y acceso de WordPress protegerá contra los intentos de dirigir a los usuarios a destinos no deseados o redirecciones automáticas. Esta funcionalidad también se pone a disposición de los desarrolladores de arado a través de una API, wp_safe_redirect () 16. ” Por lo tanto, el sistema interno de autenticación de acceso y control se ha actualizado y consolidado intensamente y ayuda a los desarrolladores de complementos a construir complementos seguros. Cuando un investigador o equipo de seguridad identifica una vulnerabilidad al complemento. Se contacta al desarrollador del complemento para colaborar para remediar el problema y lanzar una actualización para mejorar la seguridad del complemento. Si el desarrollador no responde y la vulnerabilidad es una amenaza grave. El complemento se elimina del almacén público. Si es necesario, el equipo de seguridad puede actualizar el código de complemento y actualizarlo sin la necesidad del autor del complemento. 4. Remedios de inyección SQL y Scripting XSS


Los ataques de inyección SQL y inscripción XSS siguen siendo una de las técnicas más populares que los hackers usan para infiltrarse en los sitios web y lesionar el código malicioso.Las inyecciones de SQL se utilizan para enviar código malicioso a una base de datos, a menudo permitiendo la posibilidad de enviar otro código ejecutable.La inscripción XSS permite que un hacker ejecute código malicioso en un sitio web o en el navegador del visitante.Si los campos introductorios en un sitio web no están protegidos.Es relativamente fácil para un hacker abusar de estos campos de entrada, como un campo para el nombre o el número de teléfono.