Pesan los expertos en seguridad: WordPress Security Future

Cuando su carrera está completamente en línea, evaluar las amenazas de seguridad es una parte continua de la vida. Para los usuarios de WordPress, hay formas de atenuar significativamente los riesgos de seguridad, sin embargo, la realidad es que los usuarios deben comprender el espacio de las amenazas y permanecer atentos para mantener sus sitios seguros. A medida que el panorama digital continúa evolucionando, WordPress Security también debe evolucionar. Discutimos con tres expertos en seguridad sobre el estado de seguridad de WordPress y dónde van las cosas. ¿Cómo alcanzan los ataques de WordPress? WordPress se ha convertido en mucho más que un software de blogs. Se ha convertido en una plataforma con funciones completas, utilizadas para alimentar experiencias digitales increíbles. Sin embargo, con cada nueva característica, trae consigo una posible explotación. Entonces, ¿cómo obtienen exactamente acceso a los sitios web?
Según el líder de seguridad de Ithems, Chris Jean, “en su mayor parte, los tipos de vulnerabilidades y los métodos utilizados para explotarlos han sido estables durante años. Los grandes cambios provienen del flujo continuo de nuevos objetivos para explotar de los errores en las nuevas actualizaciones de software o software “. ¿Los usuarios de API de REST deberían estar preocupados? “El mayor cambio reciente en WordPress es la extensión de la API REST a WordPress 4.7”, dijo Jean. “Ya he visto que la API se ha convertido en un objetivo debido a las vulnerabilidades en la implementación de los puntos finales básicos de WordPress (felicitaciones al equipo básico por la acción rápida para resolver el problema); Sin embargo, creo que la API continuará siendo una fuente de nuevas hazañas en el futuro “.
Además, el Presidente de Sitelock Neill Feather también alcanzó los problemas que podrían surgir a través del resto, la que se refiere a que los piratas informáticos pueden centrar su atención en los cuadros que aceptan WordPress. “La aparición de los ataques de IoT es algo a lo que prestar atención, especialmente porque la API REST de WordPress madura y los desarrolladores están comenzando a usar WordPress como un marco de aplicación para dichos dispositivos”, dijo Feather. “Más personas realizan los beneficios de las aplicaciones de firewall web y se toman más en serio para amenazar la vulnerabilidad, ya que muchas son educadas”. Desde un punto de vista histórico, los complementos y los temas fueron un gran culpable de violaciones de seguridad. Parece que la tendencia continuará. “La mayoría de los complementos y temas disponibles solo se verificaron fácilmente para detectar defectos de seguridad. Sigue siendo responsabilidad de quien empujará el código a la producción para probar primero el código. Esto significa realizar un análisis estático antes de la implementación para encontrar vulnerabilidades y mitigar el riesgo asociado ”, dijo Feather. Ataques comerciales electrónicos y la ascensión de la malvertición
Tony Pérez de Juices ha notado un aumento en los “malos actores” que desarrollan sus tácticas para dirigirse a diferentes partes del sitio, especialmente en los comerciales.

“Continuaremos viendo ataques indirectos, ataques que no se centran en ingresar a su defensa, sino que usan servicios o sistemas en los que podría depender”, dijo. “Un buen ejemplo a este respecto es la publicidad incorrecta, en la que los atacantes se refieren a las redes publicitarias, incorporan sus cargas útiles en el anuncio y omiten sus controles de defensa”. Además de la publicidad incorrecta, noté un aumento reciente en los ataques de comercio electrónico en 2016. Estos ataques no solo afectan su sitio, sino que pueden perder su negocio si los clientes no confían en su sitio “. Vi ataques en los que intentaban Interrumpir la experiencia del cliente durante el proceso de compra interceptando la aplicación y, en lugar de empujar al usuario en la página de pago deseada, el atacante redirigiría a una página de pago que emulaba sitios web originales, pero se construyó. Para capturar y robar datos de clientes ”, dijo Pérez. Cambia tu pensamiento sobre la seguridad
Entonces, ¿cómo comenzamos a mitigar los problemas de seguridad? El primer paso es comprender el espacio de amenazas. Según Jean, “muchos usuarios de WordPress tienden a personificar las amenazas de seguridad. Podemos imaginar a una persona parada en un sótano oscuro, buscando objetivos y tratando de encontrar formas de penetrar “.
Esto puede hacer que los usuarios liden con la seguridad de la manera incorrecta.

“La personificación de los atacantes y considerar la responsabilidad de un administrador del sitio como un guardia siempre cuidadoso que identifica y cierra a los atacantes antes de poder lanzar su ataque es poca ayuda”, dijo. “La realidad es que, a menos que usted sea el administrador de un sitio web para una gran empresa pública, una organización gubernamental o un valioso secreto comercial, la mayor amenaza para su sitio es de robots, no de personas”. Jean explicó que, en lugar de pensar. Sobre las personas detrás de estos ataques, “Piense en estos atacantes en lugar de algunos hombres sabios que personas inteligentes”. Los ataques se crean para apuntar a una parte muy específica de su sitio y no preocuparse por nada más. “Estos ataques no tienen modelo para identificar y terminar en menos de un segundo, mucho más rápido de lo que cualquier hombre podría reaccionar”, dijo. “La mayoría de estas vulnerabilidades que usan los atacantes son las que se conocen públicamente y ya se remedian en las versiones más nuevas del software”.
Las personas detrás de estos ataques también necesitan menos habilidades y menos dinero para implementar que nunca. “Los ataques DDoS continúan siendo más disponibles para los oponentes con menos experiencia, hasta el punto de que cualquiera tenga acceso a una cuenta de correo electrónico puede usar un” DDOS-FO Hire “por menos de $ 50, y el punto final de soluciones de firewall no suele ser tan bien adecuado como las soluciones de firewall basadas en la nube para defenderse de los ataques DDoS “, dijo Feather. Cuanto más grande sea el CMS, más atractivo para los atacantes de todo el mundo “. En el campo de la seguridad hay este” propio, manténgalos todos “y le aseguren que, teniendo la propiedad del mercado más del 27% de la web, la motivación es Lo suficientemente alto como para que haya malos actores que buscan una manera de usar esto para su propia agenda “. dijo Pérez. Estar atentos

Por supuesto, todas estas noticias suenan bastante oscuras. Sin embargo, lo importante que debe recordar es que existen riesgos involucrados en el uso de todo el software, pero por medidas proactivas para mantener su sitio seguro, puede mitigar gran parte del riesgo. ¿Cuáles son algunos de los pasos que podemos tomar para mantener nuestros sitios seguros? Bueno, especialmente, podemos mantener el software actualizado activando automáticamente actualizaciones automáticas en los sitios de WordPress. Los tres expertos están de acuerdo en que el camino a seguir es la automatización de las actualizaciones.
“Esto significa una concentración continua en el desarrollo de WordPress y las funciones de complementos de seguridad que protegen los sitios sin requerir la intervención activa de un usuario. Además, se deben ofrecer tales protecciones sin pedirle al usuario que conozca detalles específicos sobre los tipos específicos de amenazas y cómo proteger mejor contra ellas ”, dijo Jean. “Por lo tanto, creo que veremos que la simplificación y la automatización de las características de seguridad son un gran énfasis en todos en 2017”. Pérez estuvo de acuerdo, señalando el modelo “predeterminado seguro”. “Lo vi con el gran impulso con las actualizaciones automáticas, las mejoras generales del proceso de creación de contraseñas e incluso el impulso continuo para el SSL de forma predeterminada”, dijo. “Además, observe respuestas más rápidas de la plataforma cuando se lanzan los problemas y desde los anfitriones mismos hasta los problemas de corrección. Todas estas cosas cambian todo el panorama de seguridad de WordPress, lo que lo hace mucho mejor para los propietarios de sitios “. Es importante no solo asegurarse de tener actualizaciones activadas automáticas, sino también verificar todos los complementos y temas para obtener actualizaciones. “Las tendencias que vemos con los complementos de seguridad más populares indican que la comunidad encuentra actualizaciones mensuales o semanales de las bases de datos de malware de los usuarios finales no ha sido lo suficientemente frecuente y ir a actualizaciones diarias”, dijo Feather. Al final del día, no importa qué tan rápido evolucionen los hacks, la mejor manera de combatirlos es, sin embargo, a través de actualizaciones regulares.