Entrevista con Ivica Delic sobre WordPress profesionales y seguridad

Hasta ahora solo hemos entrevistado a personas que entienden y trabajan en seguridad de aplicaciones y WordPress. Siempre hemos escuchado la voz de los vendedores . Sin embargo, en esta entrevista tomamos un enfoque diferente. Entrevistamos a Ivica Delic, una profesional de WordPress sobre seguridad. El objetivo de esta entrevista es comprender mejor cómo los profesionales de WordPress, para quienes quizás la seguridad no es lo suyo, ven y entienden los productos y servicios de seguridad. Esta entrevista también nos ayuda a comprender dónde podemos mejorar y qué están haciendo estos profesionales para mantener seguros los sitios web de sus clientes.

Ivica Delic trabaja con WordPress desde 2011 y es cofundadora de FreelancersTools.com. Ha sido voluntario en la comunidad de WordPress y asistió y se presentó en numerosos encuentros de WP sobre cómo acelerar los sitios web de WordPress. Ivica inició varios grupos populares de Facebook sobre varios temas de WordPress. Es administrador en más de 25 grupos de Facebook, que juntos tienen más de 150.000 miembros. Ivica se graduó con una maestría en economía y, después de más de 20 años de administrar equipos en la industria bancaria, cofundó Confida, una empresa de mercado digital que se enfoca en ayudar a los clientes con la administración de sitios web de WordPress y necesidades de marketing digital.

La entrevista

P1: ¿Cuáles son las primeras 5 mejores prácticas de seguridad que implementa/sigue cuando configura un nuevo sitio web de WordPress?

La primera es elegir un buen y confiable alojamiento de WordPress. He trabajado con muchos servidores web y hay muchos buenos. Uso SiteGround para la mayor parte de mi trabajo.

La segunda mejor práctica es implementar una buena estrategia de copia de seguridad. Siempre uso un servicio en línea cuando es posible, como BlogVault. Esto hace posible almacenar las copias de seguridad fuera del sitio y en una ubicación segura.

Luego instalo una serie de complementos y herramientas de seguridad de WordPress. Siempre recomiendo MalCare y WP Activity Log como la última línea de defensa del sitio web para todos nuestros clientes.

Las dos mejores prácticas restantes son recomendaciones para nuestros usuarios; use contraseñas únicas y seguras de WordPress, y siempre mantenga actualizado su núcleo, tema, complementos, PHP y todo el software de su servidor web y computadora. Si es posible, utilice un software antivirus/antimalware.

Q2. ¿Considera que los complementos y servicios de seguridad de WordPress son fáciles de implementar y usar o no?

Hemos probado muchos complementos y herramientas de seguridad en los últimos años. Hay algunos que son muy fáciles de implementar y usar. Sin embargo, algunos otros son muy difíciles de usar y están haciendo más daño que bien. Dejan mucho para que el usuario decida, sin embargo, la mayoría de los usuarios y profesionales no son expertos en seguridad. Por lo tanto, encuentran que estos complementos son abrumadores y terminan sobreprotegiendo o subprotegiendo sus sitios web.

La mayoría de las veces, los usuarios configuran incorrectamente complementos de seguridad complejos. Por ejemplo, el complemento de seguridad los bloquea de su propio sitio web, o todas sus imágenes vinculadas ya no se cargan. O algunos complementos de seguridad con monitoreo de integridad de archivos informan que un cambio en un archivo de registro es posiblemente malicioso. Los usuarios entran en pánico por estas cosas porque no entienden que, por ejemplo, un cambio en un archivo de registro no es malicioso, o por qué las imágenes vinculadas no funcionan.

Q3. ¿Cuál fue el mayor desafío/dificultad que encontró al implementar o usar complementos/productos/servicios de seguridad?

En relación con la pregunta anterior, el mayor desafío que encontré personalmente es que tengo que probar y verificar las herramientas de seguridad utilizadas en el sitio web de un cliente, con las que quizás no esté familiarizado. A veces nos hacemos cargo de la gestión del sitio web de un cliente y tenemos que comprobar que todas las soluciones de seguridad funcionan correctamente juntas sin superposición de funciones. Tenemos que asegurarnos de que no haya problemas de compatibilidad entre ellos para evitar comportamientos no deseados, como bloquear a los administradores del sitio.

Q4. ¿Sigue algún sitio web de seguridad para aprender sobre la seguridad de WordPress, o se lo deja a los profesionales? ¿O es un poco de ambos?

Soy miembro y administrador de algunos grupos de Facebook de seguridad de WordPress donde publican muchos expertos en seguridad de WP. Sigo y leo todas las noticias de seguridad relevantes, así como consejos prácticos/mejores prácticas de seguridad. Sin embargo, la compleja tarea de limpiar los sitios infectados (todavía) no la dominaba. En tales situaciones confío en los profesionales.

P5. ¿Prefiere usar un servicio de firewall de WordPress en línea o instalar un complemento de firewall de WordPress en su sitio? Explicar por qué.

Prefiero usar un servicio de cortafuegos de aplicaciones web (WAF) de WordPress en línea. Todos los expertos dicen que WAF es una capa de seguridad mucho mejor contra piratas informáticos y ataques DDoS. Un WAF puede detectar y bloquear cualquier cosa maliciosa antes de que llegue a su sitio. Desafortunadamente, los complementos de WordPress no pueden proporcionar eso, ya que están tratando de defender el sitio web desde adentro .

P6. En su opinión, ¿cuáles son las tres causas principales por las que los sitios de WordPress son pirateados?

Comparto la misma opinión que muchos otros profesionales:

• alojamiento de sitios web inseguros,
• uso de contraseñas débiles y fáciles de adivinar,
• Núcleo, tema, complementos, PHP y otro software obsoletos de WordPress.

Si no le importa que agregue un consejo adicional, si le importa su sitio web y su negocio, no instale complementos y temas anulados.

P7: ¿Qué cree que pueden hacer los proveedores/la industria de la seguridad de WordPress para ayudar a más profesionales como usted, para quienes la seguridad no es su taza de té, a comprender mejor y proteger los sitios web de sus clientes?

En definitiva, necesitan ponérselo mucho más fácil al usuario. Pueden hacer esto por:

• crear más asistentes para una implementación más fácil y rápida de la herramienta de seguridad,
• implementar automáticamente "las mejores prácticas" para que el usuario no tenga mucho que hacer,
• implementar un sistema de advertencia para que cuando se instalen algunas herramientas de seguridad en el mismo sitio con funciones superpuestas, se informe al usuario sobre el problema.

P8. Si pudiera elegir una función de seguridad para incluirla en el núcleo de WordPress de forma predeterminada, ¿cuál sería y por qué?

Me gustaría ver el servicio de firewall de aplicaciones web (WAF) incluido en WordPress para tener al menos una capa básica de protección de seguridad, como tenemos en Windows con Windows Defender preinstalado.

P9. ¿Hay algún tema o contenido en particular que le gustaría ver más de proveedores y profesionales de seguridad?
Me gustaría ver más casos de uso de la vida real para principiantes que expliquen qué hacer en situaciones cotidianas particulares cuando se viola la seguridad. Hay bastantes por ahí, pero la mayoría de ellos están dirigidos a personas de seguridad avanzada. Usan una jerga y herramientas complejas.

P10. ¿Sientes que puedes mantenerte al día con las noticias de seguridad de WordPress o no? Si no, ¿cuál crees que es el problema?
Sí, después de todos estos años me siento bastante seguro de que lo he entendido bien. Nos tomó bastante tiempo probar y construir cuidadosamente nuestro cuadro combinado de herramientas de seguridad y asegurarnos de que todos en nuestro equipo sigan las mejores prácticas de seguridad.