Qué sacar del truco de GoDaddy de noviembre de 2021

El 6 de septiembre de 2021, actores aún desconocidos violaron y obtuvieron acceso a los datos de 1 200 000 clientes de GoDaddy. GoDaddy notó la brecha el 17 de noviembre, unos 36 días después. El incumplimiento se informó a la SEC unos cinco días después y 41 días después del hecho.

Si bien las investigaciones aún están en curso, sabemos que los correos electrónicos y los números de los clientes quedaron expuestos. Los clientes de Active Managed WordPress también han visto expuestas sus credenciales, incluidas las de las bases de datos sFTP y WordPress. Algunos clientes también han visto expuesta su clave privada SSL.

Antes de continuar, si sospecha que alguna de sus cuentas ha sido expuesta, asegúrese de cambiar todas sus contraseñas de inmediato.

Es posible que también deba informar a sus clientes sobre la infracción. Dado que se trata de un requisito reglamentario, deberá comprobar qué leyes y reglamentos de su jurisdicción le obligan a hacer.

Si GoDaddy tiene la culpa, aún no lo sabemos; las investigaciones aún están en curso. Esto, sin embargo, es un punto discutible por varias razones.

La seguridad de WordPress, como todas las demás formas de seguridad, se trata ante todo de gestionar el riesgo

Los piratas informáticos y los especialistas/software de seguridad están atrapados en un interminable tira y afloja. En su mayor parte, el nudo permanece en el medio. Sin embargo, las vulnerabilidades, las nuevas tecnologías y muchas otras cosas pueden alterar este delicado equilibrio en cualquier momento. Ese equilibrio generalmente se restablece con bastante rapidez. Sin embargo, esto todavía deja una ventana de oportunidad, por pequeña que sea, para causar daños, a veces irreparables.

Debido a esto, ningún sistema es completamente inmune a los ataques. Claro, los proveedores de servicios son responsables de garantizar que todo esté actualizado y protegido, y una parte de la responsabilidad recae en ellos. Esto no significa que estemos a su merced. Los administradores y propietarios de WordPress aún pueden tomar medidas para protegerse tanto como sea posible para minimizar los riesgos.

WordPress, en particular, depende de varios subsistemas para funcionar, cada uno de los cuales puede ser susceptible a vulnerabilidades y ataques. Una buena política de seguridad de WordPress adopta un enfoque de 360 ​​grados e igualmente garantiza un proceso de seguridad iterativo de WordPress que aborda los riesgos y las preocupaciones de seguridad a medida que surgen.

Las infracciones pueden tardar mucho tiempo en notarse

GoDaddy, una de las empresas de hosting más grandes del mundo, tardó 36 días en darse cuenta de que habían sido pirateados. Treinta y seis días pueden parecer mucho, pero un informe de IBM ha demostrado que, en promedio, las empresas tardan cerca de 200 días en notar una infracción. Esto hace que 36 días parezcan bastante razonables, pero aún así pueden pasar muchas cosas en 36 días.

La verdad del asunto es que los piratas informáticos han convertido el proceso de cubrir sus huellas en una forma de arte, lo que dificulta que incluso las empresas más grandes se den cuenta de que han sido violadas. Esto se ve agravado por el hecho de que muchos piratas informáticos cuentan con el respaldo de presupuestos sólidos, que en algunos casos son financiados por los estados.

Puede pensar que un estado dirigido por una dictadura podría no estar interesado en su sitio web de WordPress, pero esto podría no ser necesariamente cierto. Si bien es posible que no estén interesados ​​​​en su sitio web en particular, aún puede quedar atrapado en el fuego cruzado. El resultado final es igual de dañino.

Si bien cada vez es más difícil descubrir hacks, todo se reduce a administrar el riesgo, lo que incluye asegurarse de tener los sistemas necesarios para registrar el acceso a los recursos.

En WordPress, un complemento de registro de actividad puede marcar la diferencia. Cuanto más amplio sea el alcance del registro de actividad, más amplio será el campo de visión que tendrá en su sistema, lo que le ayudará a asegurarse de que nada escape al escrutinio.

Nuestro complemento WP Activity Log cubre una amplia gama de actividades del usuario y del sistema e incluye muchas extensiones de registro de actividad para el soporte de complementos de WordPress de terceros, como WooCommerce. Esto puede tranquilizar a los administradores de que cada faceta de su sitio web está siendo monitoreada, lo que reduce drásticamente el riesgo de actividades ilícitas que pasan desapercibidas.

Otro complemento esencial que vale la pena mencionar es el complemento Monitor de cambios de archivos del sitio web para WordPress. Este complemento esencialmente toma una huella digital de los archivos de su sitio web de WordPress cada vez que lo escanea y compara el resultado con escaneos anteriores para informar sobre los cambios más pequeños.

Las contraseñas son literalmente clave para toda su infraestructura

Las investigaciones iniciales han demostrado que todo el hackeo de GoDaddy fue posible gracias a una contraseña comprometida. Ver cómo una contraseña puede derrumbar toda la casa nos hace darnos cuenta de lo importante que es cada contraseña.

Por supuesto, no estamos especulando sobre el caso de GoDaddy, ya que aún no se han hecho públicos todos los detalles. Aún así, sabemos un par de cosas sobre las contraseñas de WordPress y cómo convertirlas de una responsabilidad potencial en su punto fuerte.

Una política sólida de seguridad de contraseñas de WordPress que incluya complejidad obligatoria y caducidad automática es un buen lugar para comenzar. También debe bloquear a los usuarios inactivos y bloquear las cuentas de usuario después de varios intentos fallidos de inicio de sesión. Todos estos son fácilmente configurables a través de WPassword, un complemento que agrega un gran impacto a sus contraseñas.

Por supuesto, la autenticación de dos factores en WordPress, que se está volviendo tan omnipresente como las propias contraseñas, es fundamental para garantizar la seguridad de la cuenta. WP 2FA ofrece un enfoque totalmente personalizable para la autenticación de dos factores de WordPress, lo que lo ayuda a proteger a sus usuarios y su WordPress sin tener que reinventar la rueda.

Avanzando

No se puede negar que los proveedores de alojamiento son responsables de la seguridad por su parte, y deben ser responsables de cualquier falla si se encuentran. Sin embargo, no hay garantía de que no se produzcan infracciones. Por ello, debemos considerar la seguridad como una responsabilidad compartida.

Hoy en día, los propietarios de WordPress tienen grandes recursos a su disposición, desde información hasta productos y servicios diseñados para ayudarlos a mantenerse seguros y protegidos. Cuando todo está dicho y hecho, se lo debemos a nuestros usuarios y clientes para mantenerlos seguros y debemos hacer todo lo posible para garantizar que sus datos estén seguros con nosotros.