Entrevista con Ivica Delids sobre profesionales y seguridad de WordPress

Hasta ahora he entrevistado solo a personas que entienden y trabajan en la seguridad de las aplicaciones y WordPress. Siempre he escuchado la voz de los vendedores. Sin embargo, en esta entrevista hemos adoptado un enfoque diferente. Entrevisté a Ivica Tuele, una WordPress profesional sobre la seguridad. El propósito de esta entrevista es comprender mejor cómo los profesionales de WordPress, para los cuales la seguridad puede no ser su Copa de equipo, ver y comprender los productos y servicios de seguridad. Esta entrevista también nos ayuda a comprender dónde podemos mejorar y qué hacen estos profesionales para mantener los sitios web de los clientes de manera segura.

Ivica Tuele ha estado trabajando con WordPress desde 2011 y cofundó Freelancerstools.com. Se ofreció como voluntario en la comunidad de WordPress y participó y ha presentado numerosas reuniones de WP en la aceleración de los sitios de WordPress. Ivica ha lanzado varios grupos populares de Facebook en varios temas de WordPress. Es administrador en más de 25 grupos de Facebook, que juntos tienen más de 150,000 miembros. IVICA graduó una maestría en la economía, y después de más de 20 años de impulsar a los equipos de la industria bancaria, cofundó, una empresa de mercado digital que se enfoca en ayudar a los clientes a administrar sitios de WordPress y las necesidades de marketing digital.
Entrevista: ¿Cuáles son las primeras 5 buenas prácticas de seguridad que implementa/sigue al configurar un nuevo sitio web de WordPress? El primero es elegir un alojamiento de WordPress bueno y confiable. Trabajé con muchos hosts web y hay muchos buenos. Utilizo SiteGround para la mayor parte de mi trabajo. La segunda mejor práctica es la implementación de una buena estrategia de respaldo. Siempre uso un servicio en línea siempre que sea posible, como BlogVault. Esto permite almacenar niños de repuesto fuera del sitio y en una ubicación segura. Luego instalo una serie de herramientas y complementos de seguridad de WordPress. Siempre recomiendo el registro de actividades de MalCare y WP como la última línea de defensa del sitio de todos nuestros clientes. Las dos mejores prácticas restantes son las recomendaciones para nuestros usuarios; Use contraseñas únicas y potentes de WordPress y siempre mantenga WordPress, Temo, Plugin, PHP y todo su servidor web y su computadora. Si es posible, use el software antivirus/anti-malware. Q2. ¿Crees que los complementos de seguridad de WordPress y los servicios de seguridad son fáciles de implementar y usar o no? Hemos probado muchos complementos y herramientas de seguridad en los últimos años. Hay algunos que son muy fáciles de implementar y usar. Sin embargo, otros son muy difíciles de usar y hacen más daño que bien. Dejan mucho para que el usuario decida, sin embargo, la mayoría de los usuarios y profesionales no son conocedores de seguridad. Por lo tanto, encuentran estos complementos abrumadores y terminan para proteger o sobreprotear los sitios web.
La mayoría de las veces, los usuarios configuran erróneamente complementos de seguridad complejos. Por ejemplo, el complemento de seguridad los bloquea desde su propio sitio web o todas sus imágenes conectadas en caliente ya no se cargan. O algunos complementos de seguridad con el informe de monitoreo de integridad de archivos que un cambio de un archivo de diario es posiblemente malicioso. Los usuarios se asustan en el pánico de estas cosas porque no entienden que, por ejemplo, un cambio de un archivo de registro no es malicioso o por qué las imágenes conectadas en caliente no funcionan. Q3. ¿Cuál fue el mayor desafío/dificultad que ha encontrado en la implementación o el uso de complementos/productos/servicios de seguridad? Para referirse a la pregunta anterior, el desafío más grande que encontré personalmente es que también debo probar para verificar las herramientas de seguridad utilizadas. El sitio web de un cliente, con el que puede no estar familiarizado. A veces tomamos la administración del sitio web de un cliente y debemos verificar si todas las soluciones de seguridad funcionan juntas, sin funciones superpuestas. Necesitamos asegurarnos de que no haya problemas de compatibilidad entre sí para evitar el comportamiento no deseado, como el bloqueo de los administradores del sitio.
Î4. ¿Mira un sitio web de seguridad para conocer la seguridad de WordPress o lo deja a los profesionales? ¿O es poco de ambos?
Soy miembro y administrador de varios grupos de Facebook de WordPress Security donde publican muchos expertos en seguridad de WP. Sigo y leo todas las noticias relevantes, así como los consejos prácticos / mejores prácticas de seguridad. Sin embargo, la compleja tarea de limpiar los sitios infectados que (todavía) no han dominado. En tales situaciones confío en profesionales. Î5. ¿Prefiere utilizar un servicio en línea de firewall de WordPress o instalar un complemento de WordPress de firewall en su sitio? Explicar por qué. Prefiero utilizar un servicio de firewall de aplicación web de WordPress (WAF) en línea. Todos los expertos dicen que WAF es una capa de seguridad mucho mejor contra los piratas informáticos y los ataques DDoS. Un WAF puede detectar y bloquear cualquier cosa maliciosa antes de llegar a su sitio. Desafortunadamente, los complementos de WordPress no pueden ofrecer esto, ya que está tratando de defender el sitio por dentro. En su opinión, ¿cuáles son las tres primeras causas para las cuales se rompen los sitios de WordPress? Comparto la misma opinión que muchos otros profesionales:

Hosting sitios web inseguros,
el uso de contraseñas débiles y fáciles de guarda
Núcleo, tema, complementos, PHP, PHP y otro software de WordPress.
Si no le importa agregar un consejo adicional, si le importa su sitio web y su negocio, no instale complementos y temas nulos. BC7: ¿Qué crees que puede hacer la industria/proveedores de seguridad de WordPress para ayudar a más profesionales como usted, a quienes la seguridad no es su taza de té, para comprender y proteger mejor sus sitios web de clientes?
En resumen, deben facilitarlos al usuario. Pueden hacer esto: creando más magos para una implementación más fácil y rápida del instrumento de seguridad,
Implementa automáticamente “mejores prácticas”, por lo que el usuario no tiene mucho que hacer,
Implemente un sistema de advertencia, por lo que cuando se instalan algunas herramientas de seguridad en el mismo sitio con funciones superpuestas, el usuario está informado sobre el problema.
Î8. Si pudiera elegir una función de seguridad para ser incluida en el Core Nore predeterminado, ¿cuál sería y por qué?
Me gustaría ver el servicio de firewall para aplicaciones web (WAF) incluidos en WordPress tener al menos un nivel básico de protección de seguridad, como tenemos en Windows con Windows Defender previamente. Q9. ¿Existe un tema o contenido en particular que le gustaría ver más de proveedores de seguridad y profesionales? Me gustaría ver más casos de uso de la vida real para principiantes, explicando lo que se hace en ciertas situaciones diarias cuando se viola la seguridad. Hay bastante, pero la mayoría de ellos son atacados por personas de seguridad avanzadas. Utilizan un lenguaje y herramientas complejas.
Q10. ¿Crees que puedes conocer las noticias de seguridad de WordPress o no? Si no, ¿cuál crees que es el problema? Sí, después de todos estos años, estoy bastante seguro de que entendí. Nos llevó mucho tiempo probar y construir cuidadosamente nuestra caja combinada con herramientas de seguridad y asegurarnos de que todos en nuestro equipo respeten las mejores prácticas de seguridad.