Proceso de seguridad de WordPress;Probar, fortalecer, monitorear, mejorar

La seguridad de WordPress no es diferente de muchas otras áreas de seguridad de TI. No es un remedio una vez. Es algo que nunca termina. Aunque hay algunos pasos que puede seguir para mejorar su seguridad de WordPress, su sitio y los requisitos comerciales cambiarán. Por lo tanto, la adopción de una evaluación de seguridad en un momento dado solo le dará una falsa sensación de seguridad. En cambio, la estrategia ganadora es seguir un proceso continuo. Un proceso de prueba constante de sus defensas y repetición para mejorar la posición de seguridad de su sitio web.
Este artículo tiene como objetivo proporcionar un término a largo plazo, que puede implementar para asegurarse de que su esfuerzo de seguridad de WordPress le haga. Ha notado algo mal configurado en su instalación de WordPress o lee sobre el uso de herramientas como WPSCan o NMAP para evaluar la seguridad de su sitio de WordPress. Es posible que haya sido víctima de un incidente de seguridad y le gustaría leer sobre cómo probar su seguridad de WordPress.
Las pruebas de seguridad son un paso vital en una estrategia de seguridad continua de WordPress. Con respecto a su sitio a través de la misma lente que la de un atacante, puede comprender mejor su posición de seguridad. Esto significa que descubrirá qué se puede hacer para fortalecer su defensa contra las debilidades que ha identificado. Vea el paso #2 para obtener más detalles al respecto. Si no está seguro de dónde comenzar con las pruebas de seguridad de WordPress, contrate a un profesional de un tercero. Por supuesto, nada le impide construir su conocimiento gradualmente para probar su sitio de WordPress. Fortalecer WordPress Una vez que comprenda lo que han descubierto sus pruebas de seguridad, es hora de fortalecer su instalación de WordPress. Por defecto, WordPress es razonablemente seguro. Sin embargo, hay muchas opciones, optimizaciones y cambios que puede hacer en la configuración de WordPress y la infraestructura del servidor para dificultar la vida de un atacante. Muchas de estas optimizaciones, muchas de ellas pueden depender de su caso. Este proceso generalmente se llama “refuerzo de seguridad” o simplemente “refuerzo”. Fortalecer la instalación de WordPress ciertamente no es un asunto único. Deberá instalar nuevos complementos y ampliar la funcionalidad de su sitio de WordPress para que se ajuste a las necesidades comerciales cambiantes. Definitivamente, los recursos no faltan para comenzar a apoyar la seguridad de WordPress. Los siguientes son dos principios básicos que debe respetar cuando fortalezca su configuración de WordPress.
Ejecute menos software inicialmente, “ejecutar menos software” no suena muy útil. Sin embargo, lo más probable es que ejecute más software del necesario. Esto también significa más espacio para que los atacantes exploten las posibles debilidades en ese software adicional. Si no está seguro de por dónde comenzar, comience por echar un vistazo a sus complementos de WordPress. Pregunte qué puede prescindir y eliminar. Aplique el mismo principio a las extensiones de PHP, la configuración del servidor web y las herramientas del sistema operativo y los servicios de red. El software generalmente no es fácil de iniciar. Sin embargo, cada vez que realice este ejercicio, se volverá más difícil. Aunque el resultado de ejecutar un sistema más débil merece el esfuerzo. Además de asegurarse de probar siempre cualquier cambio en un entorno de prueba u organización, debe asegurarse de no eliminar software como WordPress, WordPress Activity Journal o WordPress Integrity, que están ahí para mejorar su seguridad de WordPress. Esto también se aplica a los complementos y a los temas de desactivación. Los complementos deshabilitados deben eliminarse de inmediato, porque en algunos casos, su código aún puede explotarse si es vulnerable. En cuanto a la tarea, su sitio usa un solo tema. Tal vez dos si tienes una configuración de tema para niños. Elimine toda la tarea adicional de su sitio, incluidos los valores predeterminados entregados con WordPress.
El principio del privilegio mínimo de WordPress no necesita que se ejecute el usuario root de MySQL. También es una mala idea ejecutar la mayoría del software como raíz en los servidores Linux (equivalente al administrador de Microsoft Windows). Use cuentas de administración/raíz solo si hay una razón justificada para hacer esto. En tal medida, como regla general, siempre trate de dar a una aplicación o un usuario los menores privilegios posibles para llevar el trabajo para que sean el final. Por supuesto, ejecutar todo como raíz o administrador significa que todo funcionará sin preocuparse de sus privilegios. Sin embargo, es potencialmente muy peligroso. Ejecutar aplicaciones (incluidos embarazos como trabajos crónicos) con privilegios administrativos puede permitir que un atacante o un complemento malicioso cause más daño a una violación de seguridad.
Si no está seguro de por dónde comenzar, comience por echar un vistazo a quién es administrador en WordPress y decida si tiene que limitar esto de una manera; mientras lo está, es posible que desee asegurarse de acceder al administrador WordPress a través de HTTPS (SSL) y que ha implementado dos factores (2FA) (o al menos implementado la autenticación HTTP para su administrador de WordPress). Por supuesto, hay otros consejos de refuerzo de seguridad de WordPress que puede implementar para mejorar la postura de seguridad del sitio de WordPress. Vea nuestros tutoriales de seguridad de WordPress y consejos para obtener más información.
3. Monitorear las revistas de WordPress son absolutamente cruciales para mantener cualquier sistema seguro. Soy lo más cercano que tenemos por un auto de tiempo. Poder responder a lo que sucedió y cuándo es una herramienta indispensable al investigar un incidente de seguridad. Tener acceso a las revistas correctas podría marcar la diferencia entre tener en cuenta que un atacante ha adquirido un lugar en su sitio web y dejar que un robo pase sin ser observado hasta que sea demasiado tarde. Además del registro es el monitoreo. En su forma más básica, el monitoreo está esperando un evento (generalmente, examinar periódicamente una revista), lo registra y generalmente está configurado con una especie de sistema de alerta para alertar al administrador del sistema que tuvo lugar (como un sistema de detección de intrusos de WordPress ). ). Si bien muchos administradores de sistemas generalmente monitorean el uso de la CPU y la memoria, pueden carecer de monitoreo de acceso a WordPress. La actividad de WordPress podrá mirar hacia atrás en una actividad de WordPress para averiguar exactamente lo que hizo un usuario, un cierto período de tiempo es una herramienta analítica crucial en una investigación. Además, desea poder correlacionar esta información con el servidor web, los errores de PHP y las revistas de la base de datos. Aquí hay algunos consejos para asegurarse de cubrir al menos la gestión básica del diario correctamente.

Asegúrese de rotar correctamente las revistas para asegurarse de no quedarse sin espacio en el disco
Realice una copia de seguridad de sus revistas periódicamente a un oficial de respaldo (por ejemplo, Amazon S3 o Digital Ocean Spaces)
Descubra cuánto tiempo desea mantener las revistas y configurar la actividad de las revistas de actividad. Es aconsejable mantener al menos 1 ancassigue que tenga una forma rápida de acceder a información importante de sus revistas durante un incidente.
Otros registros además de las revistas de actividad de WordPress, como administrador del sitio, tiene acceso a muchas otras revistas, como revistas de servidores web, revistas PHP y muchas más. Consulte la lista de archivos del diario para los administradores de WordPress para obtener más información sobre todos los diferentes archivos de registro que tiene. Las publicaciones también subrayan cómo puede usar la información de todas las revistas para rastrear un incidente o ataque.
4. Mejore su seguridad de WordPress una vez que haya terminado con el ciclo descrito anteriormente, el siguiente paso es tratar de analizar lo que puede hacer mejor la próxima vez. Como se discutió al comienzo del artículo, tenga en cuenta que la seguridad es un proceso continuo: trate de conocer las noticias de seguridad de WordPress y, críticamente, asegúrese de estar siempre actualizado con las actualizaciones de seguridad de WordPress. Una vez que realice este proceso varias veces, intente documentar los detalles sobre su propio proceso. Haga una rutina que esté siguiendo de vez en cuando. Además, cada vez que ingrese los cambios en su sitio de WordPress, tenga en cuenta su seguridad. Siga el proceso de seguridad de WordPress de WordPress de pruebas, consolidando, monitoreando y mejorando la seguridad de su sitio siempre que realice un cambio en su sitio.