5 Desafíos que afectan el ecosistema de seguridad de WordPress

El mes pasado, más de 2,000 participantes de todo el mundo se reunieron en Viena en Wordcamp Europe para compartir su afinidad por WordPress. Mientras estaba sentado allí, sudando abundantemente y compartiendo ideas y pensamientos con los participantes, pensé que teníamos un largo camino de viajar en la comunidad. Pasé los siguientes dos días pensando y decidí compartir mis conclusiones en un foro abierto. Este artículo destaca cinco problemas que creo que afectan a la comunidad de seguridad de WordPress y proporciona algunas ideas sobre cómo podemos trabajar juntos para superarlos. Estos pensamientos provienen de mis experiencias en jugos durante la mayor parte de los seis años y la participación activa con la comunidad de WordPress en todo el mundo. Están diseñados para generar discusiones, introducir una nueva perspectiva y, con suerte, aportar buenas ideas y participación adicional.
Observaciones generales Si miramos hacia atrás en los últimos meses, WordPress ha estado lejos de cualquier ataques importantes. Con esto, los medios se alejaron lentamente de los ataques que había solucionado en la plataforma. Esto se debe en parte a que la plataforma en sí ha realizado una serie de cambios, adoptando un modelo de seguridad más predeterminado. Hemos visto mejoras, como una mejor generación de contraseñas de forma predeterminada en 4.3, la función de actualización automática básica en 3.7 e incluso las tácticas de reacción rápidas tomadas por el equipo de seguridad actualizan automáticamente los problemas de seguridad críticos en los complementos en depósito. Probablemente podemos acreditar la buena condición general en la que hoy somos comparados con estos cambios.
Sin embargo, incluso con estas mejoras, los sitios de WordPress todavía están pirateados. En el informe de las tendencias piratas de los sitios web Juices 2016/T1, en el que el 77% de los 11.5k sitios web infectados que analizamos eran WordPress, encontramos que más del 56% de las instalaciones de WordPress estaban desactualizadas. También descubrí que el 25% de los compromisos tenían formas de gravedad, Revslider o Timthumb. Esto indica un problema general de administración de sitios de WordPress y destaca los desafíos introducidos por los complementos premium. Aunque se ha hecho una serie de progresos en la plataforma en sí, todavía es necesario mejorar en el campo de la educación y la conciencia. Por ejemplo, en WordCamp Europe, solo había dos sesiones centradas en la seguridad: una duró 10 minutos y la otra fue de 20 minutos. Esto dice mucho sobre cómo nosotros, como comunidad, mostramos y apreciamos la seguridad del sitio web.
Cuando se trata de seguridad de WordPress, necesitamos cambiar nuestra perspectiva. El software básico no es responsable de los hacks del sitio. Estamos. Es la forma en que presentamos nuestros proyectos, aprendemos nuevos usuarios y administramos nuestros sitios web. Este es un desafío, porque, a diferencia del código, no se puede solucionar, porque se basa en gran medida en una variable no másgestural: personas. Desafíos de seguridad de WordPress 1. La mayor vulnerabilidad de WordPress en 2012 escribí un artículo en el que compartí mis pensamientos sobre la verdadera vulnerabilidad de WordPress. Hoy, después de cuatro años, no ha cambiado. El denominador común más pequeño sigue siendo los propietarios del sitio. La plataforma de diseño está creada para usuarios finales, lo que ha contribuido directamente a la adopción y un crecimiento masivo de WordPress. En cambio, también es el enlace de seguridad más débil. Como comunidad, activé una mentalidad de indiferencia entre los usuarios de WordPress. El proceso fue excesivamente simplificado y se hizo un énfasis excesivo en la facilidad de uso. Aunque estas cosas son innatas en las mismas WordPress, también son parte del problema. No hay absoluto en seguridad, pero esto es lo que comunicamos y nos convirtió en una expectativa. No significa que debamos conducir con miedo, incertidumbre o duda (FUD), pero no debemos disminuir la realidad. Los sitios web están rotos, les sucederá cosas malas a su propiedad web. Estarás en pánico. Maldijo a todos los proveedores que use. Será culpa de todos, pero tuyo. Su negocio en línea puede ser días fuera de línea o incluso semanas. Estas son experiencias reales, no son exageraciones de la verdad.
2. La disminución continua en la aptitud técnica La plataforma fue construida para el usuario final. Está en el centro de cada decisión tomada por la plataforma, está grabado en su filosofía. El desafío que enfrentamos es cómo mantenemos este enfoque en el usuario final, al tiempo que fomentamos un modelo de seguridad predeterminado de manera más eficiente. ¿Cómo trabajamos con nuestros usuarios para aumentar sus habilidades técnicas? En WordPress, más que en cualquier otra plataforma con la que colabore, noté que las habilidades técnicas continúan disminuyendo. Menos propietarios de sitios web conocen los elementos básicos de alojamiento, cómo funciona Internet o la administración básica de su propiedad web. No puedo decidir si esto es bueno o malo. Por un lado, es excelente para aumentar la plataforma, pero desde la perspectiva de un proveedor de servicios, nos enfrentamos al desafío de educar a los usuarios sobre los problemas de seguridad que puede no tener la capacidad técnica de entender. La educación y la conciencia no extienden el crecimiento de WordPress es increíble, sin embargo, con ella, debemos continuar educando y prestando conciencia sobre la seguridad del sitio web. El mercado de seguridad ha aumentado, y la cantidad de ruido que inunda Internet es bastante difícil de descifrar como profesional de seguridad, y mucho menos al propietario de un sitio web.
Superficie de ataque de WordPress Este desafío es aún más complicado por la calidad de la educación disponible. Además del consejo básico sobre la seguridad del sitio web, debemos comenzar a tener conversaciones de seguridad más integrales. Adoptando un enfoque más holístico de la seguridad, podemos centrarnos en todo el panorama de las amenazas y podemos comenzar las conversaciones que incluyen un mayor énfasis en los conceptos básicos.
4. Los efectos de las revelaciones de vulnerabilidad hoy, muchas revelaciones son oportunistas, con clasificaciones y conciencia incorrectas, lo que crea más ruido en un campo ya ruidoso. Creo que una investigación saludable trae buenas mejoras y impulsa la plataforma. Por ejemplo, mire la postura de seguridad de WordPress, en comparación con 2014. Hemos observado un gran progreso de desarrolladores básicos y desarrolladores de complementos para revisar y mejorar las prácticas de desarrollo de seguridad, así como la respuesta general y la conciencia de posibles problemas.


Siento que cómo se tratan las revelaciones de vulnerabilidad hoy pone más énfasis en el potencial de marketing que en la verdadera divulgación. La mayoría de las revelaciones, aunque correctas por ser una “vulnerabilidad”, no hagan enfatizar la amenaza real que representan para el propietario del sitio. “Si todo es una prioridad, entonces nada es una prioridad”. Un ejemplo perfecto a este respecto se puede encontrar cuando pensamos en una vulnerabilidad de secuencias de comandos (XSS). Se pueden ver otros ejemplos en la falta de peso aplicado a las vulnerabilidades que requieren autenticación a quienes no lo hacen. Aunque algo en la superficie podría ser grave, al considerar el requisito de autenticación, el valor de la gravedad puede disminuir. No todas las vulnerabilidades son iguales y no todas requieren el mismo nivel de amplificación. Con la configuración actual, podemos hacer más daño que bien, tanto en la forma en que compartimos la información como, lo que es más importante, en la forma en que esta información está sindicalizada. Afortunadamente, esto se puede abordar enfatizando más énfasis en cómo clasificamos y clasificamos las vulnerabilidades. 5. Regurgitación de malos consejos necesitamos hacer un mejor trabajo de autogobierno cuando se trata de lo que les contamos a los propietarios de sitios web sobre seguridad. No podemos continuar regurgitando lo que otros dicen, sin pensar primero en la recomendación en sí. También necesitamos hacer un mejor trabajo de actualización de nuestras 10 listas principales, a medida que el panorama continúa evolucionando.
En una publicación futura, me abordaré en profundidad algunos de los malos consejos que existe y cómo erradicarlos. Pero por ahora, podemos comenzar acordando que la eliminación del eslogan “impulsado por WordPress” es quizás la más ridícula de todas las recomendaciones. Es bastante difícil verificar el ruido, hagamos un mejor trabajo para que el proceso sea más eficiente. Pensar en los desafíos de seguridad será una lucha difícil para la comunidad, especialmente la trayectoria actual de crecimiento de WordPress. Necesitamos comenzar, tenemos conversaciones serias sobre la seguridad de WordPress y cómo nos comunicamos y presentamos proyectos y lo que le contamos a los propietarios de los sitios web. El cambio no provendrá de una sola persona o proveedor, sino como un grupo colectivo. En cuanto a quién es responsable, sinceramente no tengo idea. Creo que es injusto poner esto sobre los hombros del equipo base. Además, como se mencionó anteriormente, no es un problema de programación. Me pregunto a dónde se llama el zar de seguridad en el gran esquema de las cosas. Debemos comenzar a mantenernos a nosotros mismos y a los demás más responsables y debemos ser mejores administradores del tipo de información que transmitimos y para enfatizar más en los artículos y discusiones basados ​​en valores. Necesitamos dejar de tragar a nuestros clientes y necesitamos tener una presentación de seguridad concentrada en cada Campamento de Word. Pensemos en las responsabilidades que tenemos como propietarios de sitios web. La responsabilidad de ser un buen administrador de Internet.