Comprender los riesgos de compartir la conexión en WordPress

Aunque es una gran seguridad, no, no, compartir las autenticaciones en WordPress sucede con más frecuencia de lo que piensas. Como sugiere el término, el intercambio de conexión es la práctica por la cual los usuarios comparten su información de conexión con otros usuarios. En una encuesta reciente, el 49% de los usuarios reconocieron que han compartido sus detalles de conexión comercial, usuarios más jóvenes (16-24 años) sin preocupaciones sobre compartir detalles de conexión que los del Grupo MAI. Aunque podría pensar que esto no sucede en su sitio web de WordPress, muchos administradores tienden a subestimar el alcance del intercambio de contraseñas. Sin controles, puede ser bastante difícil de entender si alguien en su equipo comparte su inicio de sesión. Las personas rara vez reconocen que comparten contraseñas, pero compartir autenticaciones ocurren y pueden conducir a muchos problemas y problemas de seguridad de WordPress.
¿Por qué los usuarios comparten sus datos de inicio de sesión? Aunque puede haber razones legítimas por las cuales los usuarios pueden necesitar compartir los detalles de conexión, las mejores prácticas nos dicen que cada usuario debe tener su propia cuenta. Los usuarios comparten información de conexión por varias razones. Acceder a cuentas de redes sociales o direcciones de correo electrónico públicas, donde muchas personas pueden necesitar publicar y hacer aplicaciones de acción, es una razón muy común. Otras razones incluyen: Aventabilidad: tienes que hacer ahora. Enviar una solicitud solicitando la oficina de asistencia para crear otra cuenta de usuario causaría un retraso.
Costo: a medida que utilizamos varios servicios de suscripción basados ​​en la nube, podría haber costos adicionales asociados para agregar más usuarios. Esto hace que el intercambio de conexión sea particularmente tentador si la necesidad es solo temporal. Gestión: Desde el punto de vista de la gestión, los negocios y las operaciones, cuanto menos cuentas para administrar, más fácil será el trabajo. Los problemas de seguridad causados ​​por compartir la autenticación para muchos, compartir los datos de conexión es solo otra cosa que hacen en el trabajo. Incluso si los usuarios comparten sus datos de conexión sin ninguna mala intención, la práctica de compartir las credenciales de conexión tiene varios riesgos de seguridad asociados. Las credenciales para proporcionar WordPress Conectar datos a un amigo o colega confiable pueden parecer inofensivos a primera vista. Sin embargo, ¿debería preguntarse si serán tan cuidadosos con sus datos como ellos? Además, si usa la misma contraseña para varias cuentas; No solo pone en peligro la cuenta compartida, sino que posiblemente todas las demás cuentas. Como resultado, renunciar a sus credenciales el riesgo de filtrar las credenciales dentro y fuera de la empresa. Fomentar el uso de contraseñas débiles de más del 80% de los intentos de piratería exitosos explotar las contraseñas débiles, utilizando ataques de fuerza sin procesar o credenciales robadas. Si hay una cultura de intercambio de contraseñas, estas contraseñas serán inevitablemente débiles y fáciles de recordar.
El uso incorrecto del servicio cuando se trata de seguridad de WordPress, el principio de privilegio más bajo es una de las mejores herramientas que los administradores pueden usar para mantener un alto nivel de protección. Esto significa que la cuenta de cada individuo tendrá privilegios específicos para realizar las tareas necesarias para el trabajo. Como tal, no todas las cuentas son iguales, porque no todos los roles en un negocio son iguales. Algunas cuentas tendrán más privilegios y acceso a más información que otras. Al compartir la autenticación, todos aquellos que tengan conocimiento sobre las credenciales tendrán acceso a todos los privilegios de la cuenta respectiva, independientemente del nivel de acceso que deberían tener. Esto puede permitirles acceder a funciones y datos a los que generalmente no tienen acceso. Esto puede conducir a fugas de datos y violaciones de regulaciones como GDPR, PCI DSS y otros. Responsabilidad del usuario Las cuentas individuales atribuyen la responsabilidad de las acciones, quién hizo qué y cuándo. El siguiente es el mismo principio para el cual cada operador casero tiene un cajón de efectivo individual, que se elimina al final de la gira. Si estos cajones de efectivo se dividieran y hubiera un déficit, ¿cómo determinaría quién es responsable? En esta situación, todos aquellos que tienen acceso a esta atracción de efectivo estarán bajo sospecha, ya sea que sucediera en el reloj o no. Lo mismo es cierto para los sitios de WordPress. ¿Cómo determinaría quién aprobó un pedido, reembolso o modificó erróneamente una lista de productos o precios? Si se descubre un error, ¿quién será responsable? ¿Cómo demostrarías tu inocencia?
¿Qué puedes hacer para dejar de compartir autenticaciones? Educar, alentar, imponer. Si aún no lo ha hecho, asegúrese de tener una política para administrar las contraseñas que desalientan las autenticaciones. También debe asegurarse de que el equipo esté al tanto de sus obligaciones regulatorias y de cómo puede desempeñar un papel en el cumplimiento de estos requisitos. Educar al personal sobre los peligros potenciales de compartir sus detalles delicados, no solo para la empresa, sino también para ellos mismos. Supongamos que hay robo de datos y que la aplicación de la ley está involucrada. En este caso, sin duda analizarán quién ha accedido a qué, verificar los registros de las cuentas de los usuarios.
Un factor principal que hace que los usuarios compartan sus detalles contables es que es fácil de hacer y se puede hacer en este momento, para que el trabajo pueda completarse. No se basa en un tercero, como la oficina de asistencia o con retrasos posteriores. Eficiencia del proceso de gestión de cuentas, al tiempo que lo hace accesible y eficiente. También recomendamos que se asegure de que el equipo de asistencia sea consciente de las mejores prácticas regulatorias y de seguridad y esté facultado para apoyarlos en toda la organización.
Hay varias soluciones tecnológicas disponibles para imponer sus contraseñas a las contraseñas y para desalentar la parte de las autenticaciones. Por ejemplo: aplicar y usar contraseñas seguras Una desventaja significativa del intercambio de contraseñas es que serán invariablemente débiles, por lo que son fáciles de recordar y pueden anotarse en notas adhesivas, haciéndolas disponibles para cualquier persona que los vea. Al obligar a los usuarios a usar contraseñas seguras, los desanima a compartir credenciales. Los complementos como WPassword hacen que todo el proceso sea muy fácil. Le brinda un control completo sobre la implementación, lo que lo ayuda a lograr el equilibrio adecuado entre la seguridad y el uso. Usilizar los administradores de contraseñas solo aplicar contraseñas potentes no es suficiente. Debe ayudar a sus usuarios a administrar sus contraseñas. Implemente y fomente el uso de administradores de contraseñas para que sus usuarios puedan hacer esto manteniendo sus contraseñas difíciles en un lugar seguro, sin tener que recordar a cada uno de ellos. Use la autenticación de dos factores con dos factores (2FA) agrega otro nivel de seguridad a un costo administrativo muy bajo. A través de 2FA, los usuarios deben llevar a cabo una segunda autenticación a través de un factor secundario, OTP (contraseña única) es uno de los métodos más utilizados.

Al implementar 2FA y OTP, los usuarios que intentan conectarse a su cuenta deben tener acceso a su teléfono inteligente o correo electrónico, además de conocer el nombre de usuario y la contraseña. Dado que los OTP caducan cada 30 segundos, compartir contraseñas se vuelve muy difícil facilitar una nueva cuenta. La implementación de 2FA para su sitio de WordPress es más fácil de lo que piensa. Los complementos como WP 2FA ofrecen asistentes amigables y amplias opciones de compatibilidad para facilitar todo el proceso. Monitoree la actividad del usuario con los ojos de los que accede a qué en su sitio web con un diario de actividad. Un diario de actividad integral en tiempo real le dará una visibilidad total de todas las acciones realizadas en sus sitios de WordPress. Las revistas de actividad son fundamentales para las buenas prácticas de seguridad y contribuirán en gran medida a cumplir con sus obligaciones de cumplimiento. ¿Qué sucede si tiene que compartir sus detalles de inicio de sesión? Si necesita compartir las credenciales por algún motivo, entonces: asegúrese de que esto esté limitado a aquellos que realmente necesitan acceso y ese acceso es temporal. Cuando finalice la sesión de intercambio, restablezca la contraseña.
Use un administrador de contraseñas que acepte una base de datos común que se puede compartir. La mayoría de los administradores de contraseñas en línea lo permiten; Puede tener su propia base de datos y una base de datos con credenciales que se comparten con otras personas.
Comunique la contraseña verbalmente o envíe partes de las credenciales en diferentes canales, como la mitad de Skype, la mitad por correo electrónico cifrado u otro canal de mensajería segura. Muy importante;Al final de la sesión o el acceso necesario, siempre restablezca la contraseña.Evite compartir su información de conexión en conclusión, compartir credenciales nunca es algo bueno.Debe desalentar activamente esta práctica alertando a todos los usuarios sobre su política, además, utilizar las herramientas y soluciones disponibles que pueden ayudarlo a aplicar su política.