Lista de malas prácticas de CISA que dañan la seguridad de WordPress

Publicado: 2022-08-24

CISA, que significa Agencia de Seguridad de Infraestructura y Seguridad Cibernética, es una agencia federal de EE. UU. que opera bajo el Departamento de Seguridad Nacional. Establecido en 2018, reemplaza al NPPD (Dirección de Programas y Protección Nacional) y tiene la tarea de mejorar la seguridad cibernética contra ataques provenientes de piratas informáticos privados y respaldados por el estado.

CISA lleva a cabo un gran trabajo para ayudar a garantizar la seguridad de las infraestructuras y los sistemas críticos. Con este fin, publica varias guías y listas para ayudar a las entidades gubernamentales y empresas privadas a mantener buenas prácticas de seguridad y mantenerse seguros en línea. Puede aplicar las guías de CISA con la misma facilidad a su sitio web de WordPress personal o comercial para obtener una seguridad que cumpla con los estándares de CISA.

Uno de esos recursos que el CISA está poniendo a disposición del público es su catálogo de malas prácticas. Si bien este catálogo es un trabajo en progreso, y siempre lo será debido a la naturaleza dinámica y evolutiva de las amenazas, nos brinda una perspectiva invaluable de lo que CISA considera prácticas realmente malas.

Seguridad CISA y WordPress

Las malas prácticas de CISA a menudo prevalecen en los entornos de WordPress, lo que hace que la lista sea aún más relevante para los administradores de WordPress y los propietarios de sitios web. Afortunadamente, eliminar estas malas prácticas es fácil y se puede hacer en muy poco tiempo.

Si está buscando llevar su seguridad al siguiente nivel, consulte la guía de seguridad de WordPress para obtener una lista completa y detallada de todo lo que puede hacer para garantizar que su sitio web sea seguro.
La agencia también ha abierto una página de GitHub donde los administradores y otros profesionales de TI pueden dar su opinión sobre las malas prácticas para incluirlas en el catálogo.

Riesgo 1: uso de software no compatible

Invariablemente, el software viene con errores, que es una de las razones por las que los desarrolladores publican actualizaciones. Las actualizaciones no solo corrigen errores y agujeros de seguridad, sino que también agregan nuevas funciones y mejoras. Instalar estas actualizaciones lo antes posible es muy importante para mantener segura su infraestructura.

El software no compatible, como las versiones antiguas, el software que ha llegado al final de su vida útil y los complementos anulados, no reciben actualizaciones, lo que los hace especialmente peligrosos, ya que pueden introducir vulnerabilidades conocidas en su entorno.
Los atacantes pueden explotar estas vulnerabilidades para obtener acceso no autorizado a su sistema. A su vez, esto les permite robar sus datos, eliminar su sitio web y realizar una serie de otras actividades maliciosas.

Solución

La instalación de actualizaciones tan pronto como sea posible puede minimizar significativamente el riesgo asociado con errores y fallas de seguridad. Del mismo modo, desea asegurarse de que los proveedores y desarrolladores que elija respondan y emitan actualizaciones con frecuencia (y no una vez al año).

Al elegir complementos, mire el historial de versiones para ver con qué frecuencia se lanzan las actualizaciones. Las actualizaciones diarias no son una buena señal; sin embargo, las actualizaciones anuales también pueden indicar que algo anda mal. También puede consultar los comentarios de los usuarios para ver qué tan receptivo es el desarrollador a las preguntas de los usuarios.

Riesgo 2: malas contraseñas

Las contraseñas incorrectas incluyen contraseñas predeterminadas, contraseñas recicladas, contraseñas que se han filtrado previamente y contraseñas débiles. Las malas contraseñas pueden ser muy fáciles de descifrar, proporcionando a los atacantes una ruta fácil a sus sistemas. Compartir contraseñas es otra mala práctica que ocurre a menudo en entornos de WordPress y más allá. Las contraseñas compartidas aumentan en gran medida el riesgo de que se filtren las contraseñas y dificultan el seguimiento de los problemas y la responsabilidad del equipo. Obra de Wpassword

Solución

Una política sólida de contraseñas de WordPress ayuda en gran medida a eliminar las contraseñas incorrectas. WPassword es un complemento de WordPress que ofrece a los administradores un control granular sobre cómo los usuarios configuran sus políticas de contraseñas, lo que garantiza que se utilicen contraseñas seguras y efectivas.

Riesgo 3: Autenticación de un solo factor

La autenticación de un solo factor es el tercer y último riesgo que llega al catálogo de malas prácticas de CISA. En las configuraciones de autenticación de un solo factor, los usuarios pueden iniciar sesión solo con su nombre de usuario y contraseña. En entornos de autenticación de dos factores (2FA) o MFA, los usuarios deben autenticarse a través de un segundo (o más) método.

La autenticación de un solo factor puede ser especialmente problemática si se filtran las contraseñas y, si bien una buena política de contraseñas contribuye en gran medida a minimizar el riesgo, un factor de autenticación secundario aumenta en gran medida la seguridad general de su sitio web de WordPress.

2FA se está convirtiendo rápidamente en el estándar de oro para la autenticación. Si bien su premisa es bastante simple, puede detener la mayoría de los ataques más comunes en su camino. Esto lo convierte en uno de los favoritos entre los gigantes de la industria, los aficionados y todos los demás.

Solución

WordPress no ofrece 2FA desde el primer momento. Sin embargo, implementar 2FA en su sitio web de WordPress es fácil gracias a WP 2FA. Este complemento de 2FA de WordPress viene con más opciones de las que puede agitar, lo que garantiza que todos sus usuarios puedan aprovechar 2FA para un WordPress más seguro.

Un plan de acción de seguridad de WordPress para acabar con las malas prácticas

Consejos de seguridad Las malas prácticas son como los malos hábitos. Deben mantenerse bajo control a lo largo del tiempo para garantizar que nada se escape. Es por eso que la seguridad de WordPress es un proceso iterativo; uno al que debemos atender cada cierto tiempo para asegurarnos de seguir las mejores prácticas en todo momento.

Aunque sin duda hay otras malas prácticas que no están en la lista de CISA, lo que ofrecen es un buen punto de partida. Recordar,

  1. Instale las actualizaciones tan pronto como estén disponibles. Si le preocupa que las actualizaciones rompan su sitio, instale un entorno de prueba para probar las actualizaciones antes de implementarlas en el entorno en vivo.
  2. Implemente una política segura de contraseñas de WordPress usando WPassword para eliminar las contraseñas débiles de su entorno. Anime a los usuarios a usar un administrador de contraseñas para mitigar las llamadas de soporte para contraseñas olvidadas que son demasiado complejas.
  3. Habilite y use políticas para requerir la autenticación de dos factores de WordPress en todos los usuarios. Use WP 2FA para aprovechar sus muchas características, que incluyen la integración de Authy, los períodos de gracia y el etiquetado en blanco, entre muchas otras.

Si bien la lista de CISA es un buen punto de partida, proteger su sitio web de WordPress requiere un enfoque más integral. Desde asegurar contraseñas seguras hasta fortalecer WordPress, hay mucho que puede hacer usted mismo siguiendo las guías de WP White Security para una excelente seguridad de WordPress.

PD Recomendamos configurar un entorno de prueba de WordPress si tiene experiencia limitada en la protección de sitios web de WordPress.