El proceso de seguridad de WordPress; Probar, endurecer, monitorear, mejorar

La seguridad de WordPress no es diferente a muchas otras áreas de seguridad de TI. No es una solución de una sola vez. Es algo que en realidad nunca se termina. Si bien hay varios pasos que puede seguir para mejorar la seguridad de WordPress, su sitio y los requisitos comerciales cambiarán. Por lo tanto, adoptar una evaluación de seguridad puntual solo le dará una falsa sensación de seguridad. En cambio, la estrategia ganadora es seguir un proceso continuo . Un proceso de prueba constante de sus defensas e iteraciones sobre eso para mejorar la postura de seguridad de su sitio web.

Este artículo tiene como objetivo ofrecer un proceso iterativo a largo plazo simple de seguir que puede implementar para garantizar que sus esfuerzos de seguridad de WordPress sean continuos y sigan siendo relevantes para el panorama de amenazas en el que usted y su empresa están operando.

1. Prueba la seguridad de WordPress

La mayoría de los viajes de seguridad de WordPress comienzan aquí; ha notado algo mal configurado en su instalación de WordPress, o ha leído sobre el uso de herramientas como WPScan o nmap para evaluar la seguridad de su sitio web de WordPress. Tal vez hayas sido víctima de un incidente de seguridad y te gustaría leer sobre cómo probar la seguridad de WordPress.

Las pruebas de seguridad son un paso vital en una estrategia de seguridad continua de WordPress. Al mirar su sitio web a través de la misma lente que la de un atacante, puede comprender mejor su postura de seguridad. Esto significa que sabrá qué se puede hacer para fortalecer sus defensas contra las debilidades que identificó. Vea el paso #2 para más detalles sobre esto.

Si no está seguro de por dónde empezar a probar su seguridad de WordPress, contrate a un profesional externo. Por supuesto, nada le impide acumular gradualmente su conocimiento para realizar una prueba de su sitio web de WordPress usted mismo.

2. Fortalecimiento de WordPress

Una vez que comprenda lo que han descubierto sus pruebas de seguridad, es hora de fortalecer su instalación de WordPress. Por defecto, WordPress es razonablemente seguro. Sin embargo, hay muchas opciones, optimizaciones y cambios que puede realizar en la configuración de WordPress y la infraestructura del servidor para dificultar la vida de un atacante. Muchas de estas optimizaciones , muchas de las cuales pueden depender de su caso de uso. Este proceso se suele denominar "fortalecimiento de la seguridad" o simplemente "fortalecimiento".

Fortalecer su instalación de WordPress ciertamente no es un asunto de una sola vez. Deberá instalar nuevos complementos y ampliar la funcionalidad de su sitio de WordPress para adaptarse a las cambiantes necesidades comerciales. Ciertamente, no hay escasez de recursos para comenzar a reforzar la seguridad de WordPress. Los siguientes son dos principios básicos que debe seguir al fortalecer su configuración de WordPress.

Ejecute menos software

Inicialmente, "ejecutar menos software" no suena muy útil. Sin embargo, lo más probable es que esté ejecutando más software del necesario. Esto también significa más espacio para que los atacantes aprovechen las debilidades potenciales dentro de ese software adicional .

Si no está seguro de por dónde empezar, comience por echar un vistazo a sus complementos de WordPress. Pregúntate qué puedes prescindir y eliminar. Aplique el mismo principio a las extensiones de PHP, la configuración del servidor web y las herramientas del sistema operativo y los servicios de red.

Para empezar, eliminar el software generalmente no es un proceso fácil. Sin embargo, cada vez que hagas este ejercicio se te hará más difícil. Aunque el resultado de ejecutar un sistema más eficiente vale la pena.

Además de asegurarse siempre de probar cualquier cambio en un entorno de prueba o ensayo, también debe asegurarse de no eliminar software como el firewall de WordPress, el registro de actividad de WordPress o los complementos del monitor de integridad de archivos de WordPress, que están ahí para mejora la seguridad de tu WordPress.

Esto también se aplica a complementos y temas desactivados. Los complementos desactivados deben eliminarse de inmediato, ya que, en algunos casos, su código aún puede explotarse si es vulnerable. Con respecto a los temas, su sitio web solo usa un tema. Tal vez dos si tiene una configuración de tema infantil. Elimine todos los temas adicionales en su sitio web, incluidos los predeterminados que se envían con WordPress.

Principio de privilegio mínimo

WordPress no necesita el usuario raíz de MySQL para ejecutarse. Del mismo modo, es una mala idea ejecutar la mayoría del software como root en servidores Linux (equivalente a Administrador en Microsoft Windows). Solo use las cuentas de administrador/raíz si hay una razón justificable para hacerlo.

Hasta tal punto, como regla general, siempre haga todo lo posible para otorgar a una aplicación o usuario los mínimos privilegios posibles para realizar el trabajo. Por supuesto, ejecutar todo como root o administrador significa que todo funcionará sin preocuparse por los privilegios. Sin embargo, es potencialmente muy peligroso. La ejecución de aplicaciones (incluidas tareas como trabajos cron) con privilegios administrativos puede permitir que un atacante o un complemento malicioso cause más daño en caso de una violación de la seguridad.

Si no está seguro por dónde empezar, comience por ver quién es un administrador dentro de WordPress y decida si necesita limitar eso de alguna manera; mientras lo hace, es posible que desee asegurarse de que está accediendo al administrador de WordPress a través de HTTPS (SSL), y que ha implementado la autenticación de dos factores (2FA) (o que al menos ha implementado la autenticación HTTP para su administrador de WordPress).

Por supuesto, hay varios otros consejos de refuerzo de seguridad de WordPress que puede implementar para mejorar la postura de seguridad de su sitio web de WordPress. Consulte nuestros tutoriales y consejos de seguridad de WordPress para obtener más información.

3. Supervisar WordPress

Los registros son absolutamente cruciales para mantener seguro cualquier sistema. Son lo más parecido que tenemos a una máquina del tiempo. Poder responder qué pasó y cuándo es una herramienta indispensable a la hora de investigar un incidente de seguridad. Tener acceso a los registros correctos podría marcar la diferencia entre darse cuenta de que un atacante se ha afianzado en su sitio web y dejar que un atraco pase desapercibido hasta que sea demasiado tarde.

Complementario al registro es el monitoreo. En su forma más básica, el monitoreo espera a que ocurra algún evento (generalmente mirando periódicamente algún registro), lo registra y generalmente se configura con algún tipo de sistema de alerta para alertar a un administrador del sistema que algo ocurrió (como un sistema de detección de intrusos de WordPress). ). Si bien muchos administradores de sistemas generalmente monitorean el uso de CPU y memoria, es posible que no estén monitoreando el acceso a WordPress.

Registros de actividad de WordPress

Ser capaz de mirar hacia atrás en un registro de actividad de WordPress para descubrir exactamente qué ha hecho un usuario dentro de un período de tiempo particular es una herramienta analítica crucial en una investigación. Además, le gustaría poder correlacionar esta información con el servidor web, el error de PHP y los registros de la base de datos. Aquí hay algunos consejos para asegurarse de que está cubriendo al menos el manejo básico de registros correctamente.

• Asegúrese de rotar correctamente sus registros para garantizar que no se quede sin espacio en disco
• Haga una copia de seguridad de sus registros periódicamente en una copia de seguridad fuera del sitio (por ejemplo, Amazon S3 o Digital Ocean Spaces)
• averigüe cuánto tiempo desea conservar los registros y configure las políticas de retención de registros de actividad. Se recomienda al menos 1 año de retención
• Asegúrese de tener una forma rápida de acceder a información importante en sus registros durante un incidente

Otros registros

Además de los registros de actividad de WordPress, como administrador del sitio, tiene acceso a muchos otros registros, como los registros del servidor web, los registros de PHP y muchos otros. Consulte la lista de archivos de registro para administradores de WordPress para obtener más información sobre todos los diferentes archivos de registro a los que tiene acceso. Las publicaciones también destacan cómo puede usar la información de todos los registros para rastrear un incidente o ataque.

4. Mejora la seguridad de tu WordPress

Una vez que haya terminado con el ciclo descrito anteriormente, el siguiente paso es tratar de analizar qué puede hacer mejor la próxima vez. Como se discutió al comienzo del artículo, tenga en cuenta que la seguridad es un proceso continuo: intente mantenerse actualizado con las noticias de seguridad de WordPress y, lo que es más importante, asegúrese de estar siempre al tanto de las actualizaciones de seguridad de WordPress.

Una vez que pase por este proceso varias veces, intente documentar detalles sobre su propio proceso. Haz que sea una rutina que sigas cada cierto tiempo. Además, cada vez que introduzca cambios en su sitio web de WordPress, tenga en cuenta la seguridad. Siga el proceso iterativo de seguridad de WordPress de probar , fortalecer , monitorear y mejorar la seguridad de su sitio web cada vez que realice un cambio en su sitio web.