Lo que aprendí entrevistando a 10 expertos en seguridad de WordPress

Pasé los últimos tres meses en las malas malezas de seguridad de WordPress. Como sabrán los lectores comunes, esto se debe al hecho de que hemos lanzado un nuevo curso: Seguridad de WordPress con confianza. Parte de esta investigación implicó discutir con muchos expertos en seguridad de WordPress. Algunos de estos expertos se centran en la imagen general, mientras que algunos se centran en aspectos extremadamente específicos. En general, ofrecen un conocimiento increíble de cómo funciona la seguridad de WordPress, qué es importante y en qué debemos concentrarnos. Esperamos que encuentre algo interesante en esta diversa mezcla de perspectivas. Hablamos con personas de marcas como jugos, SiteGround, Sitelock y Surcupress. (Prefiero las marcas cuyas primeras letras se encuentran en la segunda mitad del alfabeto. No debe tener un nombre de usuario y contraseña y la forma en que el propio WordPress se ocupa de las soluciones de seguridad.
La seguridad de WordPress con confianza incluye horas de capturas de pantalla que hablan sobre conceptos de seguridad y le muestran cómo implementarlos en WordPress (y si es un desarrollador, su código PHP). Tanto las ediciones de desarrollo y desarrollador también incluyen las diez entrevistas increíblemente perspicaces con algunas de las mejores mentes de seguridad. Puede ver el curso aquí, pero para despertar su interés, hemos reunido algunos de los comentarios más interesantes, perspicaces e intrigantes sobre la seguridad de WordPress en las entrevistas. Antes de comenzar, ¿puedo enseñarte más sobre la seguridad de WordPress? Entraremos en perspectiva desde las personas, incluidos Aaron Campbell, Tony Pérez y Chris Wiegman, en una época. ¡Antes de hacerlo, quiero preguntarle si puedo enseñarle más sobre la seguridad de WordPress! Tengo tres excelentes videos de mi nuevo curso para compartir, mostrándole cómo ocurren tres tipos diferentes de compromisos de los sitios de WordPress (y cómo protegerlos). He reunido los videos en una serie ordenada, en la que puede registrarse a continuación: Los videos se toman directamente del curso (pagado), por lo que esta es una gran oportunidad para obtener más información y obtener algunos materiales premium gratuitos. Por supuesto, siempre respetaré su casilla de correo electrónico y me uniré a miles de otros usuarios, implementadores y desarrolladores de WordPress en nuestra lista 1. Aaron Campbell me habló de WordPress Core Security
Aaron Campbell es el líder del equipo de seguridad básico de WordPress. O cómo pienso en él el “zar de la seguridad”. “Czar” generalmente se usa en inglés para significar alguien que le ha dado mucho poder informal y control para tener en cuenta algo. Por lo tanto, es raro que una organización otorgue oficialmente el título de “zar”, pero cuando lo hace, significa que esa persona es la persona principal responsable de ese tema. Es por eso que estaba tan feliz de tener la oportunidad de hablar con Aaron. Aaron tenía prisa por enfatizar que él no es el único responsable de la seguridad de WordPress. Realmente hay un gran equipo, y todos los que se comprometen básicos están pensando en la seguridad cada vez que examinan o contratan cualquier código en el proyecto. Dicho esto, Aaron y el equipo de seguridad son los responsables de cuando hay un problema de seguridad en el proyecto básico de WordPress. El equipo de seguridad se basa cada vez más en Hackerone. Una de las cosas más importantes que fue interesante de escuchar de Aaron es cómo cambia el proceso del equipo de seguridad. Durante algún tiempo, ha habido una versión separada del THRAC (la interfaz en la que el proyecto básico de WordPress habla sobre problemas y correcciones de código) que es privada y mantenida solo para el equipo de seguridad. ¿La razón por la que existe? Es mucho mejor (incluso en un proyecto de código abierto) solucionar problemas de seguridad sin que se den cuenta del público. Esto evita que los atacantes intenten explotar una vulnerabilidad explicada, pero sin corrección de software.

Lo que fue interesante de escuchar es que el equipo de seguridad se basa cada vez más en Hackerone. Hackerone es un sitio que permite el pago de las recompensas de errores a cambio de responsables (es decir: privado) de problemas de seguridad. Hace solo unos meses, el equipo principal creó una cuenta allí, pero ahora la uso regularmente tanto para recibir informes como para mantenerme en contacto con el reportero. Fue claramente un buen cambio para el proyecto en su conjunto. 2. Con Tony Pérez, hablé sobre el valor predeterminado seguro, Pérez, fue el gerente general de jugos en su mayor parte (¿tal vez todos …), la compañía fue privada antes de ser comprada por GoDaddy en abril de este año. Ahora está dentro de la compañía más grande y ve su rol extendido. Entonces, una de las cosas de las que hablamos fue la forma en que GoDaddy puede tomar medidas para hacer que WordPress sea la experiencia predeterminada.
Aunque ciertamente no fue una promesa de cambios futuros de productos, Tony considera claramente las posibles cosas que GoDaddy podría hacer para dar a las personas que organizan una experiencia mejor y más segura. Esto significa cosas como asegurarse de que el host actualice automáticamente no solo WordPress, sino también los complementos que el sitio está ejecutando. O hacer la autenticación con dos factores como predeterminado. Si pueden hacer estas cosas, sus sitios de WordPress sin duda serían más seguros para ello. Tony claramente considera las cosas que GoDaddy puede hacer para darles a quienes albergan una experiencia mejor y más segura con ellos.
También hablé, algo en general, sobre el conjunto de jugos (que permanecen disponibles para todos, GoDaddy o no).Cubrí un poco sobre lo que hace el complemento, que diferencia el firewall de la aplicación web (o WAF) y más.Pero tendrá que ver la entrevista completa para esto … 3. Chris Wiegman me dijo que no usó su complemento de seguridad Wiegman por primera vez que estaba haciendo que el complemento fuera mejor seguridad de WP.Este complemento ha cambiado su nombre desde entonces: se llama Ithemes Security.Chris ha pasado de su papel en hacer, mantener y vender este complemento.Ahora es desarrollador web en la Universidad de Florida.

Había muchas cosas interesantes que aprendí de Chris. Algo sorprendente fue que Chris dice que no ejecuta ningún complemento explícito de seguridad de WordPress, incluido el comienzo. Como dijo, un buen administrador del sitio puede lidiar con la mayoría de las cosas que hace un complemento. Pero el hecho de que él sea el fundador de tal complemento hace que la decisión sea un poco más interesante. Chris no tiene una página de conexión en su sitio web de WordPress. El otro consejo no convencional de Chris, y tal vez parte de la razón por la que no ejecuta un enchufe de seguridad, es que no tiene una página de conexión en su sitio web de WordPress. Lo que ha hecho, por otro lado, es utilizar la conexión única de JetPack a través de la función WordPress.com. Entonces se conecta a sus sitios de WordPress con su cuenta de WordPress.com, así como probablemente inició sesión en un servicio en línea con su cuenta de Facebook o Google. Chris da un paso más y solo lleva su página de autenticación de WordPress a la página de inicio de sesión de WordPress.com. ¡Inicie sesión de conexión de ataques para desaparecer! 4. Meher Bala explicó cómo las historias convencen a los clientes de que piensen en la seguridad
Meher Bala es un desarrollador web en India y tengo que agradecer a @womenwhow por la recomendación de hablar con ella. Principalmente hace la construcción de sitios de clientes, como muchos otros profesionales de WordPress de todo el mundo. Lo que diferencia a Meher es que tenía una perspectiva muy interesante sobre cómo convencer al cliente de que se preocupe por ellos. (Este es un problema que he escuchado de muchas personas diferentes en los servicios al cliente). Las historias son el secreto para convencer a las personas de la importancia de la seguridad en los sitios de WordPress. Muchos de sus clientes vienen a Meher sin tener una idea clara de lo que WordPress es, simplemente sienten la necesidad de un sitio web. (¿Suena familiar?) Además de obtener un sitio, Meher se asegura de que el sitio se mantenga seguro. Para hacer esto, debe convencerla de que la seguridad es importante. Y la técnica más interesante y útil que encontró para esto es contar una historia personal de una persona que conoce, que se hizo cargo de su sitio y comenzó a perder en la clasificación de Google. Las personas pueden conectarse con historias mucho más que con figuras, por lo que estoy seguro de que es una técnica terriblemente efectiva para convencer a los clientes.
5. Hristo Pandjarov me dijo cómo se asegura el sitio del sitio

Hristo es el experto de WordPress en SiteGround. Mantiene su complemento de caché y habla regularmente en WordCamps sobre todo tipo de temas en el ecosistema de WordPress. Mi motivación en la conversación con Cristo fue obtener la perspectiva del anfitrión sobre mantener a WordPress a salvo.
Hristo ofreció la perspectiva del anfitrión sobre mantener a WordPress a salvo.Lo más interesante que discutí fue una de las cosas que diferencia el sitio de la mayoría de los otros hosts que ofrece alojamiento de WordPress de bajo costo: MemCaked para usuarios de sombra.Esta es otra capa de almacenamiento en caché que un sitio de WordPress podría usar, a menudo se llama “almacenamiento en caché de objetos”.Pero Memcahe realmente no tiene una política de seguridad que sea fácil de ofrecer a la sombra.Si un host proporcionara cuidadosamente Memcache, sus usuarios podrían enfrentarse a los datos del otro o tener la capacidad de leer los datos de los demás.Ambos son malos, y SiteGround ha resuelto el problema de una manera simple y elegante: le da a cada cuenta de alojamiento el propio proceso de laminación de Memcache.6. Ben Gillbanks me contó sobre Timthumb
Ben Gillbanks gana su existencia con su tienda de desarrollo temática de diseño profesional de diseño. También lidera, junto con nuestro buen amigo Alex Denning, el excelente boletín de información MasterWP. Pero estaba muy interesado en hablar con Ben por una razón específica, su conocimiento de primera mano de Timthumb, que es una de las causas más notorias del compromiso del sitio en la historia de WordPress. Aprecio mucho la disponibilidad de Ben para discutir el tema. Timthumb era una herramienta para cambiar el tamaño de las imágenes antes de que WordPress incluía esta funcionalidad. También fue al comienzo de la era de los temas premium y muchos temas incorporaron la biblioteca en su código. Y aquí viene el problema. Si todos hubieran actualizado rápidamente el remedio para Timthumb, algunos de los sitios que se veían comprometidos al usarlo habrían sido afectados. Una de las mayores ganancias en el campo de la seguridad es simplemente estar al tanto de sus adicciones. Cuando el problema se encontró en Timthumb, se resolvió rápidamente y si todos hubieran recibido una actualización rápidamente, no habría sucedido nada. Pero los usuarios finales de WordPress no han podido actualizar las soluciones de los temas ofrecidos. Y también hubo una serie de temas que no pudieron actualizar su versión de Timthumb, por lo que un usuario que no es un desarrollador no podría hacer nada. Como resultado de esta falla de doble actualización, muchos sitios de WordPress han seguido ejecutando un código con una vulnerabilidad revelada. Y este es un gran error en seguridad.

Por lo tanto, esta es una de las principales causas del compromiso del sitio. No porque Ben y el equipo estuvieran equivocados (los errores de código son comunes y todos deberían esperarlos), sino porque los usuarios de su código no se han actualizado. 7. Consejos para remediar hacks de Michele Butcher-Jonesimichele Butcher-Jones ha estado trabajando en WordPress durante algún tiempo y ha estado limpiando los sitios web de WordPress durante casi cinco años. Aunque no lo hace como una tarea diurna, todavía disfrutan del desafío de tomar un sitio que se ha comprometido (con comerciales no deseados, que ofrecen malware, cualquier cosa) y para corregirlo. Al reparar un sitio, reemplace casi todos los archivos PHP que pueda con uno bien conocido. Lo más importante que aprendí de Michele es la importancia de simplemente reemplazar casi todos los archivos de PHP que puede de un sitio web con uno bien conocido, en un caso que sospecha que ha sido un compromiso. Este consejo tiene sentido, pero es mucho más rápido y más fácil de lo que puedo imaginar tratar de hacer: encontrar el código pirateado y eliminarlo con meticulidad. Hay un cierto beneficio de diagnóstico en esto, lo cual es por eso que Michele siempre guarda una copia local de todo el sitio en su estado pre-limpio, pero puede perderse otro lugar donde han puesto su código si no tiene cuidado. 8. Adam Warner de Sitelock me contó sobre WAFS
Adam y yo nos conocimos en el stand Simislock de WordCamp Denver a principios de este año. Además de ser un chico lindo, Adam me explicó que Sitelock contiene un firewall para aplicaciones web (o WAF), y la forma en que son diferentes de los firewalls de punto final que ve en un complemento como Wordfency. Los ataques de denegación de servicio son aquellos en los que un atacante simplemente intenta inundar su sitio con tanto tráfico que ya no está disponible públicamente. Una de las cosas que hace que una nube de WAF, como Sitelock, sea más efectiva que un punto final es que tiene la capacidad de absorber gran parte de un ataque (distribuido). Los ataques de denegación de servicio son aquellos en los que un atacante simplemente intenta inundar su sitio con tanto tráfico que ya no está disponible públicamente. El WAF Sitelock proporciona protección permanente contra esto. Pero quieres un WAF por otras razones. Los más grandes son el bloqueo automático de la IP-Someone compartida que Sitelock ve para atacar se detendrá para atacar el suyo y detenerse en el nivel de las solicitudes web maliciosas. Ambas cosas son los beneficios de seguridad más importantes de un WAF. 9. Julio Potier me dijo por qué quieres un complemento de seguridad
Julio lidera la SSES -SSECRESS. SSECRESS fue inicialmente un producto de WP-Media, que puede conocer como los fabricantes del complemento de caché WP-Rocket. Recientemente, Surcupress salió de la empresa matriz con Julio para recibir un poco más de atención. Una de las cosas que Julio enfatizó cuando me contó sobre Surcupress fue la importancia de los buenos valores implícitos en un enchufe de seguridad. (Y como alguien que ha revisado un buen número para este curso, no podría estar de acuerdo con su importancia). Julio enfatizó la importancia de los buenos incumplimientos en un enchufe de seguridad … No podría estar de acuerdo. Una de las cosas que no apreciaba completamente, lo cual fue interesante para mí como desarrollador, es el punto de que Julio contó sobre el hecho de que un escáner de malware es, en principio, solo muchas expresiones regulares. Para aquellos que no son programadores, las expresiones regulares (o regex) son solo una búsqueda fantástica de cadenas de texto. Siempre he luchado con ellos, por lo que los aprecio mucho por todos los trabajadores de los trabajadores que los escriben para su malware, para que no hay necesidad. 10. Joe Howard describió por qué la seguridad es importante

Joe dirige la compañía de soporte de WordPress y el CTO virtual, WP Buffs. Hacen todo tipo de cosas, desde el asesoramiento técnico hasta la optimización del sitio y la seguridad. Y todo se hace en una suscripción mensual, por lo que siempre sabe que tiene a alguien a quien ir cuando necesite ayuda. Joe también dirige WPMRR, un curso de video sólido que enseña a los profesionales de WordPress cómo implementar, vender y ejecutar planes de atención continua para los suyos. clientes y aumentar sus ingresos cada mes. Además, el podcast WPMRR WordPress se ha centrado completamente en el crecimiento de WordPress exitoso y los ingresos mensuales recurrentes, sin tomarse demasiado en serio. Las personas van a comprar ayuda de seguridad solo cuando tenían un compromiso de seguridad. Es demasiado tarde. Una de las cosas que fue interesante para aprender de Joe (aunque tiene sentido en retrospectiva) es la frecuencia con la que las personas van a comprar este tipo de ayuda solo cuando tenían un compromiso de seguridad, como su sitio “pirata” o similar. Es comprensible hacer eso. Pero Joe comparte mi objetivo de asegurarme de que la gente piense en la seguridad antes de algo drástico y malo como esto. El momento más simple para reparar un sitio pirateado de WordPress es siempre antes de que se rompa. Muchas partes diferentes de la seguridad de WordPress son tantas facetas de seguridad de WordPress diferentes que puede llevar algún tiempo comprender su cabeza. La seguridad incluye opciones como simples, como las que obtiene Web, de quienes comparte sus contraseñas y cuáles son esas contraseñas.