3 formas de implementar el principio del privilegio más pequeño en su sitio web de WordPress

El principio del privilegio más bajo (POLP) establece que un sujeto debe recibir solo aquellos privilegios necesarios para que cumpla con su tarea. Debido a que las personas son propensas a errores y vulnerables a la manipulación, cuanto menos las personas tienen acceso, mejor. La mayoría de los hacks usan las vulnerabilidades de la naturaleza humana como bar en los sitios web. Ejemplos de estos escenarios:
Confianza: confianza en un esquema de ingeniería social por teléfono y divulgando credenciales o enamorarse de un correo electrónico de phishing dirigido y descargar el archivo adjunto que está infectado con malware
Buscador de ofertas: descargar un tema premium o complemento gratuito que se inyecte con malware para evitar pagar todo el precio.
LENEA: La gente busca el camino de la más mínima resistencia. Esto significa que está en contra de nuestra naturaleza crear contraseñas seguras, y una encuesta de PCMAG 2020 encontró que el 35% de las personas nunca cambian sus contraseñas.
Venganza: según el informe de Verizon sobre la violación de los datos en 2020 (VDB), el 30% de todas las violaciones de datos involucraron a actores internos y el 55% involucró el crimen organizado.
Hay tantas permutaciones posibles de riesgo y motivación que conducen a compromisos de seguridad. La forma más corta para un sitio seguro de WordPress es simplemente eliminando tantos usuarios como sea posible y eligiendo privilegios con los que mantiene.
Este artículo analizará tres formas de implementar el principio del privilegio mínimo en su sitio web de WordPress. ¿Entonces que puedes hacer? 1 – ¡Establezca el acceso a la escritura en los archivos de WordPress solo para usted! Según POLP, reduzca el acceso siempre que sea posible. Como dijo Napoleón Bonaparte una vez: “Si quieres hacer algo, hazlo solo”. Estamos de acuerdo. Limite el nivel de acceso del privilegio de escritura de archivos de WordPress solo para usted, el propietario del sitio. Aquí le mostramos cómo cambiar los archivos de WordPress: Navegue a través de CPANEL o FTP a un nivel raíz llamado public_html Haga clic en cada carpeta y archivo y seleccione Cambiar los permisos Vea tres tipos de identidades: usuario (usted), grupo (colegas de servicio en su sitio) y el mundo (acceso público) y 3 permisos, lectura, escritura y ejecución. A cada acción se le asigna un valor de punto. Read = 4 Write = 2 Execute = 1 Aquí hay un ejemplo de WordPress de un 755 y un 666:
En la interfaz FTP o Cpanel se verá un poco más así:

Tenga en cuenta que el número que se recopila para el acceso público completo es 777. No recomendamos dejar ningún archivo en un 777. De hecho, hay algunos archivos a los que el propietario no debe tener acceso a la escritura, además del momento en que necesita Hazlos un cambio, pero la configuración no debe permanecer abierta, y ni siquiera esa configuración nunca sería mayor que un 767. Es peligroso dejar carpetas en 777. Archivos críticos para prestar especial atención a WP -Centre, WP -Inclues, incluido, Wp -admin y htaccess.

Si intenta dar un 777 a una carpeta infantil, pero el padre está configurado en algo menor que 666, esto no funcionará. Deberá actualizar la carpeta principal primero a 777 para hacer el cambio en la carpeta infantil. Una vez que haya terminado con el cambio necesario, no olvide devolver el acceso de 777. Si un hacker puede acceder a sus archivos de WordPress a través de un servidor compartido, y sus permisos están configurados para el público o en todo el mundo, entonces no queda nada por hacer. ¡que ore para ser un sombrero blanco! 2 Des-Disable El editor de archivos El editor de archivos en el tablero WP-Admin es el lugar perfecto para saber lo suficiente como para ser peligroso. El editor es tan fuerte que puede ser un problema mantenerse activo. Aunque los desarrolladores pueden usar esto al crear personalizaciones del sitio, no es algo que los propietarios de sitios web tengan que mantenerse activos. Puede reiniciarlo en cualquier momento si hay una razón para usarlo, pero es fácil de superar y hacer cambios importantes en El código y los temas de un sitio web, que son difíciles de revertir. No solo puede romper su sitio accidentalmente, sino que si deja esta herramienta activa, es más fácil instalar malware en complementos y temas y arruinar su sitio. WordPress también intentará advertirle la primera vez que haga clic en él e incluso sugiere alternativas: para el editor de arado:
Para el editor de apariencia:

Cómo apagar el editor de archivos:

En primer lugar, asegúrese de tener un práctico editor de texto. Hay excelentes opciones gratuitas y de código abierto, como Visual Studio Code, Notepad ++, Atom, Bluefish y Brackets.

Navegue a la ubicación del archivo de descarga WP-Config.PhpSese para poder editar el archivo wp-config.php a nivel local con el editor de texto y, cuando haya terminado, recarga y reemplazar, o seleccionar el incorporado editor.
Busque en el archivo WP-Config para define (‘deseshow_file_edit’ y configúrelo en verdadero
Si no encuentra la línea, copie aquí Define (‘deseshow_file_edit’, true); y pegarlo en la parte inferior
Clic en Guardar
Verifique los resultados. Los enlaces del editor ya no deberían hacer clic en el punto y los complementos
3-Organizar sus niveles de acceso
Audite a los usuarios existentes comparando a los usuarios desde su cuenta WP con la agenda de la compañía o la aplicación de chat de la compañía, como Slack. Si el nombre aparece como inactivo, elimine la cuenta de inmediato.
Si el usuario ha publicado publicaciones en el pasado en su sitio, siempre puede crear un perfil “personal” genérico para restablecer sus publicaciones o trabajos.
Cree y mantenga una hoja de cálculo en el nivel de acceso para los empleados, donde puede ver fácilmente los nombres y títulos de las posiciones de los cuales tiene el nivel de acceso y a quién informa.
Esta acción lo ayudará a evitar el privilegio de Creep P Esto también puede suceder cuando un desarrollador o emprendedor ha completado un proyecto, pero aún tiene las credenciales para el sistema. Mantener una hoja de cálculo evita que los permisos de acceso innecesarios pasen sin observación.
Eliminar Eliminar Eliminar. Cuando un empleado se va, inmediatamente deshabilita sus cuentas. Esto debe incluirse en la lista de verificación de su empresa fuera del embarque dentro de las 24 horas posteriores a la terminación o renuncia. Conclusión El principio de privilegio más bajo. Hace que los empleados sean más productivos y enfocados, dándoles solo acceso a lo que necesitan para hacer su trabajo. Reduce la superficie de las amenazas para los ataques de seguridad cibernética y los trucos y el acceso a datos más fáciles de seguir en el caso de las auditorías. Comience con estos tres principios para su sitio web de WordPress, pero no permita que todo termine aquí. Piense en cómo expandir la filosofía POLP en otras áreas de las operaciones de su empresa para mejorar la seguridad y la integridad a nivel de organización.
Recuerda, ¡menos es siempre más! Estaríamos encantados de recibir noticias tuyas. ¿Cuáles son sus consejos principales para usar el principio de privilegio mínimo en WordPress o de otra manera?