Características destacadas de iThemes Security Pro: gestión de versiones

En las publicaciones de Feature Spotlight, destacamos una función en iThemes Security Pro y compartimos un poco sobre por qué desarrollamos la función, para quién es la función y cómo usarla.

Hoy vamos a cubrir la Gestión de versiones, una gran herramienta que facilita la gestión de actualizaciones de WordPress o temas y complementos.

Por qué desarrollamos la gestión de versiones

Mantener el software actualizado es una parte esencial de cualquier estrategia de seguridad. Las actualizaciones no son solo para corregir errores y nuevas funciones. Las actualizaciones también pueden incluir parches de seguridad críticos. Sin ese parche, deja su teléfono, computadora, servidor, enrutador o sitio web vulnerable a los ataques.

Parche martes

Patch Tuesday es el término no oficial para referirse a los errores habituales y las correcciones de seguridad que Microsoft publica el segundo martes de cada mes. Es fantástico que Microsoft publique correcciones de seguridad con una cadencia tan confiable. El martes de parches también es el día en que se divulgan públicamente las vulnerabilidades de seguridad que parchea Microsoft.

Consulte la sección Qué actualizar y cómo automatizar sus actualizaciones del libro electrónico La guía definitiva para la seguridad de WordPress en 2020 para aprender cómo aplicar las actualizaciones de Patch Tuesday automáticamente.

Explotar miércoles

El miércoles siguiente al martes de parches, es común ver a muchos atacantes explotar una vulnerabilidad previamente conocida en sistemas desactualizados y sin parches. Entonces, el miércoles siguiente a un Patch Tuesday se ha acuñado extraoficialmente como Exploit Wednesday.

¿Por qué los piratas informáticos se dirigen a vulnerabilidades parcheadas?

Los piratas informáticos apuntan a vulnerabilidades parcheadas porque saben que las personas no actualizan (incluidos complementos y temas en su sitio web). Es un estándar de la industria revelar públicamente las vulnerabilidades el día en que se reparan. Después de que una vulnerabilidad se divulga públicamente, la vulnerabilidad se convierte en una "vulnerabilidad conocida" para las versiones desactualizadas y sin parches del software. El software con vulnerabilidades conocidas es un objetivo fácil para los piratas informáticos.

A los piratas informáticos les gustan los objetivos fáciles, y tener software con vulnerabilidades conocidas es como darle a un pirata informático las instrucciones paso a paso para ingresar a su sitio web, servidor, computadora o cualquier otro dispositivo conectado a Internet de WordPress.

Divulgación responsable

Quizás se pregunte por qué se revelaría una vulnerabilidad si les da a los piratas informáticos un exploit para atacar. Bueno, es muy común que un investigador de seguridad encuentre e informe de forma privada la vulnerabilidad al desarrollador de software.

Con la divulgación responsable, el informe inicial del investigador se realiza de forma privada a los desarrolladores de la empresa propietaria del software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. En el caso de vulnerabilidades de seguridad importantes, puede haber un ligero retraso en la divulgación de la vulnerabilidad para que más personas tengan tiempo de parchear.

El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si no se cumple este plazo, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.

Revelar públicamente una vulnerabilidad y, aparentemente, introducir un Día Cero, un tipo de vulnerabilidad que no tiene parche y está siendo explotado en la naturaleza, puede parecer contraproducente. Pero es la única ventaja que tiene un investigador para presionar al desarrollador para que parchee la vulnerabilidad.

Si un pirata informático descubriera la vulnerabilidad, podría usar el Exploit silenciosamente y causar daño al usuario final (este es usted), mientras que el desarrollador de software sigue contento con dejar la vulnerabilidad sin parchear.

Project Zero de Google tiene pautas similares cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, independientemente de que se haya parcheado o no.

Los complementos y temas obsoletos son la vulnerabilidad # 1 de WP

Es difícil hacer un seguimiento de todas las vulnerabilidades de WordPress reveladas; las hacemos un seguimiento y las compartimos en nuestros Resumen de vulnerabilidades de WordPress, y comparamos esa lista con las versiones de complementos y temas que ha instalado en su sitio web. Sin embargo, esto no impide que los piratas informáticos de WordPress apunten a complementos y temas con vulnerabilidades conocidas. Tener software con vulnerabilidades conocidas instalado en su sitio les brinda a los piratas informáticos los planos que necesitan para hacerse cargo de su sitio web.

IThemes Security Pro Site Scan comprueba su sitio web en busca de vulnerabilidades conocidas de WordPress, plugins y temas y aplica un parche cuando hay uno disponible.

A fines de 2018, los piratas informáticos se aprovechaban activamente de un exploit en el complemento WP GDPR Compliance. El Exploit permitía a los usuarios no autorizados (personas que no habían iniciado sesión en un sitio web) modificar la configuración de registro de usuarios de WP y cambiar la nueva función de usuario predeterminada de suscriptor a administrador. Afortunadamente, los desarrolladores del complemento WP GDPR Compliance actuaron rápido y lanzaron un parche para la vulnerabilidad el día después de su divulgación pública.

Pero, al igual que con Exploit Wednesday, los piratas informáticos atacaron la vulnerabilidad a pesar de que se había lanzado un parche. En los días y semanas posteriores al divulgador de vulnerabilidades de WP GDPR Compliance, recibimos una serie de informes de que los sitios web de WordPress fueron pirateados por atacantes que explotaban la vulnerabilidad.

Tener un complemento o tema vulnerable para el que hay un parche disponible pero no se aplica es el principal culpable de los sitios web de WordPress pirateados. ESTO ES TAN FRUSTRANTE !!!!! Esto significa que la mayoría de los hackeos de WP podrían haberse evitado.

Es molesto pensar en todas las personas que gastaron toneladas de dinero para limpiar su sitio web, los ingresos que perdieron mientras sus sitios estaban inactivos y los ingresos futuros que perdieron al perder la confianza de sus clientes. Lo hace aún más molesto cuando sabes que toda esa angustia podría haberse evitado con una simple actualización.

Con Version Management, queríamos facilitar a las personas la administración de actualizaciones y ayudar a evitar que usen versiones de software con vulnerabilidades conocidas.

¿Qué es la gestión de versiones?

Más allá de eso, Version Management también tiene opciones para fortalecer su sitio web cuando está ejecutando software obsoleto y busca sitios web antiguos.

Actualizaciones automáticas de WP frente a la gestión de versiones

Sé lo que estás pensando: "¿WordPress no tiene una opción de actualización automática?" Sí, gracias a la adición de actualizaciones automáticas en WordPress 5.5, esto ahora es cierto, pero las funciones de actualización automática en iThemes Security Pro son mucho más sólidas. Tomemos un minuto para comparar las actualizaciones automáticas de WP e iThemes Security Pro.

Permítanme comenzar diciendo que creo que WordPress agregar actualizaciones automáticas es excelente para el futuro de WordPress. La comunidad de WordPress que adopta actualizaciones automáticas significa que se piratearán menos sitios web. Si piratean menos sitios web, menos personas tendrán la falsa percepción de que WordPress es una plataforma insegura.

Las actualizaciones automáticas también llevarán a los desarrolladores de complementos y temas a impulsar mejores lanzamientos. Si sabemos que nuestros clientes confían en las actualizaciones automáticas, nos aseguraremos de que nuestros lanzamientos no necesiten una serie de lanzamientos de seguimiento para corregir los errores que se introdujeron con el lanzamiento inicial. Esto ayudará a cambiar la percepción de que WordPress requiere más mantenimiento manual en comparación con otras plataformas.

Estas son las tres formas en que iThemes Security Pro Version Management ofrece más flexibilidad en comparación con las actualizaciones automáticas predeterminadas de WordPress.

• Gestión simplificada de complementos y temas : gestione todas las actualizaciones de complementos y temas desde la configuración de administración de versiones.
• Agregue períodos de retraso personalizados para las actualizaciones de complementos y temas: las actualizaciones automáticas de WordPress solo ofrecen la opción de aplicar actualizaciones de inmediato. El programador de actualizaciones le permite crear un retraso personalizado. Retrasar puede ser una buena opción para complementos o temas que tienden a necesitar algunas versiones de seguimiento para solucionar problemas después de una versión importante.
• Aplicar solo actualizaciones que corrijan vulnerabilidades conocidas : solo aplique actualizaciones que corrijan vulnerabilidades conocidas. Esta opción es perfecta si desea ejecutar manualmente todas sus actualizaciones pero desea recibir parches de seguridad de inmediato.

Actualizaciones automáticas de WordPress

WordPress ofrece dos opciones para las actualizaciones automáticas de complementos y temas, Activado o Desactivado. Habilitará las actualizaciones automáticas de complementos en la página Complementos de WordPress.

La opción de actualización automática del tema está un poco oculta en la página de detalles del tema.

Actualizaciones automáticas de gestión de versiones

El programador de actualizaciones de Gestión de versiones tiene opciones para deshabilitar las actualizaciones automáticas, actualizar inmediatamente o retrasar las actualizaciones todo el tiempo que desee. Además, puede configurar programas de actualización de complementos y temas en la configuración de Administración de versiones.

Muy bien, entremos en la configuración y echemos un vistazo más de cerca a las diferentes opciones de administración de versiones.

Cómo utilizar la gestión de versiones en iThemes Security Pro

Para comenzar a usar la Administración de versiones, habilite el módulo en la página principal de la configuración de seguridad.

Ahora haga clic en el botón Configurar configuración para ver más de cerca la configuración.

• Actualizaciones de WordPress : instale automáticamente la última versión de WordPress.
• Actualizaciones de complementos : instale automáticamente las últimas actualizaciones de complementos. Habilitar esta configuración deshabilitará la función de complementos de actualización automática de WordPress para evitar conflictos.
• Actualizaciones de temas : instale automáticamente las últimas actualizaciones de temas. Habilitar esta configuración deshabilitará la función de tema de actualización automática de WordPress para evitar conflictos.
• Fortalezca el sitio cuando se ejecute software desactualizado : agregue automáticamente protecciones adicionales al sitio cuando no se haya instalado una actualización disponible durante un mes.
  • Obligue a todos los usuarios que no tienen dos factores habilitados a proporcionar un código de inicio de sesión enviado a su dirección de correo electrónico antes de volver a iniciar sesión.
  • Deshabilite el editor de archivos WP (que impide que las personas editen el código del complemento o del tema).
  • Deshabilite los pingbacks XML-RPC y bloquee múltiples intentos de autenticación por solicitud XML-RPC (ambos harán que XML-RPC sea más fuerte contra ataques sin tener que apagarlo por completo).

• Buscar sitios antiguos de WordPress : ejecute un análisis diario de la cuenta de alojamiento en busca de sitios antiguos de WordPress que podrían permitir que un atacante comprometa el servidor. Un solo sitio de WordPress desactualizado con una vulnerabilidad podría permitir a los atacantes comprometer todos los demás sitios en la misma cuenta de alojamiento.
• Actualización automática si soluciona la vulnerabilidad : esta opción funciona en conjunto con iThemes Security Pro Site Scan para verificar si su sitio web tiene vulnerabilidades conocidas de WordPress, complementos y temas, y aplicar un parche cuando haya uno disponible.

Actualizaciones de complementos y temas

Ahora echemos un vistazo más de cerca a la configuración de complementos y actualizaciones de temas. Antes de comenzar, quería recordarle rápidamente que habilitar la configuración de actualización del complemento y el tema deshabilitará la función de actualización automática de WordPress para evitar conflictos.

Tanto la configuración de actualización del complemento como la del tema tienen tres opciones.

1. En blanco / Ninguno : dejar la configuración en blanco permitirá que WordPress administre las actualizaciones de complementos y temas.
2. Personalizado : la opción Personalizado le permite personalizar las actualizaciones precisamente a su gusto. Cubriremos esto más en un momento.
3. Todos : todos actualizarán todos sus complementos o temas tan pronto como haya una actualización disponible.

Ahora echemos un vistazo más de cerca a la opción Personalizada .

Al seleccionar la opción Personalizado, se ofrecen tres opciones diferentes para las actualizaciones de su complemento y tema.

1. Habilitar : elija qué complementos desea actualizar inmediatamente después de una nueva versión.
2. Desactivar : use esta opción para los complementos que desee actualizar manualmente.
3. Retraso : la opción de retraso le permite establecer la cantidad de días que desea retrasar la actualización de una versión. Esta puede ser una buena opción para los desarrolladores que tienden a necesitar algunas versiones de seguimiento para solucionar problemas después de una versión importante.

Como podemos ver, la configuración de actualizaciones automáticas personalizadas ofrece mucha más flexibilidad que la opción de actualización automática activada o desactivada de WordPress.

Terminando

Tener un complemento o tema vulnerable para el que hay un parche disponible pero no se aplica es el principal culpable de los sitios web de WordPress pirateados. Eso significa que la mayoría de los hacks de WordPress se pueden prevenir simplemente actualizando.

La función de administración de versiones de iThemes Security Pro le permite administrar sus actualizaciones automáticas según su horario. iThemes Security Pro lo tiene cubierto si desea instalar todas las actualizaciones nuevas tan pronto como se publiquen o solo si la actualización corrige una vulnerabilidad.

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.