7 consejos para proteger a los usuarios de WordPress en 2021

La mejor manera de proteger a sus usuarios de WordPress en 2021 es mediante el uso de una contraseña segura y autenticación de dos factores. Eso parece bastante sencillo, ¿verdad? La realidad es que la seguridad del usuario de WordPress tiene un poco más de matices.

Siempre que hablamos de seguridad del usuario, a menudo escuchamos preguntas como, ¿todos los usuarios de WordPress deberían tener los mismos requisitos de seguridad y cuánta seguridad es demasiada seguridad?

No te preocupes. Respondemos a todas estas preguntas. Pero primero, hablemos de los diferentes tipos de usuarios de WordPress.

¿Cuáles son los diferentes tipos de usuarios de WordPress?

Hay 5 usuarios de WordPress predeterminados diferentes.

1. Administrador
2. Editor
3. Autor
4. Contribuyente
5. Abonado

Cada usuario tiene diferentes capacidades. Las capacidades dictan lo que pueden hacer una vez que acceden al tablero. Lea más sobre los roles y permisos de usuario de WordPress.

El daño potencial de diferentes usuarios de WP pirateados

Antes de que podamos entender cómo proteger a nuestros usuarios de WordPress, primero debemos comprender el nivel de amenaza de cada tipo de usuario comprometido. El tipo y nivel de daño que un atacante puede infligir varía mucho según los roles y las capacidades del usuario al que piratea.

Administrador - Nivel de amenaza alto

Los usuarios administradores tienen las capacidades para lo que quieran.

• Cree, elimine y modifique usuarios.
• Instale, elimine y edite complementos y temas.
• Cree, elimine y edite todas las publicaciones y páginas.
• Publica y anula la publicación de publicaciones y páginas.
• Agregue y elimine medios.

Si un pirata informático puede poner sus manos en uno de los administradores de su sitio, podría retener su sitio web para pedir un rescate. El ransomware se refiere a cuando un pirata informático se apodera de su sitio web y no se lo devolverá a menos que le pague una tarifa considerable.

El tiempo medio de inactividad de un ataque de ransomware es de 9,5 días. ¿Cuánto le costarían 10 días sin ventas?

Editor - Nivel de amenaza alto

El editor gestiona todo el contenido del sitio web. Estos usuarios todavía tienen bastante poder.

• Cree, elimine y edite todas las publicaciones y páginas.
• Publique y anule la publicación de todas las publicaciones y páginas.
• Sube archivos multimedia.
• Administra todos los enlaces.
• Gestionar comentarios.
• Administrar categorías.

Si un atacante tomó el control de la cuenta de un editor, podría modificar una de sus páginas para usarla en un ataque de phishing. El phishing es un tipo de ataque que se utiliza para robar datos del usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito.

El phishing es una de las formas más seguras de hacer que tu sitio web sea incluido en la lista negra de Google. Cada día, 10,000 sitios ingresan a la lista de bloqueo de Google por varias razones.

Autor - Nivel de amenaza Medio

El autor fue diseñado para crear y administrar su propio contenido.

• Cree, elimine y edite sus propias publicaciones y páginas.
• Publicar y anular la publicación de sus propias publicaciones.
• Subir archivos multimedia

Si un atacante obtuviera el control de la cuenta de un autor, podría crear páginas y publicaciones que enviaran a los visitantes de su sitio a sitios web maliciosos.

Colaborador y suscriptor: nivel de amenaza bajo

El Colaborador es la versión básica del rol de usuario Autor. No tienen poder de publicación.

• Crea y edita sus propias publicaciones.
• Eliminar sus propias publicaciones no publicadas.

El suscriptor puede leer las cosas que publican los demás usuarios.

Si bien los piratas informáticos con un rol de Colaborador o Suscriptor no pueden realizar cambios maliciosos, pueden robar cualquier información confidencial almacenada en la cuenta o la página de perfil del usuario.

7 consejos para proteger a sus usuarios de WordPress

De acuerdo, esas son algunas cosas bastante desagradables que los piratas informáticos pueden hacer en nuestros sitios web. La buena noticia es que la mayoría de los ataques a sus cuentas de usuario de WordPress se pueden prevenir con un pequeño esfuerzo de su parte.

Echemos un vistazo a las cosas que puede hacer para proteger a sus usuarios de WordPress. La verdad es que estos métodos de seguridad ayudarán a proteger a todo tipo de usuario de WordPress. Pero, a medida que revisemos cada uno de los métodos, le haremos saber qué usuarios necesita para usar el método.

1. Solo brinde a las personas las capacidades que necesitan

La forma más fácil de proteger su sitio web es dándoles a sus usuarios las capacidades que necesitan y nada más. Si lo único que alguien va a hacer en su sitio web es crear y editar sus propias publicaciones de blog, no necesita la capacidad de editar las publicaciones de otras personas.

2. Limite los intentos de inicio de sesión

Los ataques de fuerza bruta se refieren a un método de prueba y error que se utiliza para descubrir combinaciones de nombre de usuario y contraseña para piratear un sitio web. De forma predeterminada, no hay nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede realizar.

Sin un límite en el número de intentos fallidos de inicio de sesión que un atacante puede realizar, puede seguir probando un sinfín de nombres de usuario y contraseñas hasta que tengan éxito.

La función iThemes Security Pro Local Brute Force Protection realiza un seguimiento de los intentos de inicio de sesión no válidos realizados por direcciones IP y nombres de usuario. Una vez que una IP o un nombre de usuario ha realizado demasiados intentos consecutivos de inicio de sesión no válidos, se bloqueará y no podrá realizar más intentos de inicio de sesión.

3. Proteja a los usuarios de WordPress con contraseñas seguras

Cuanto más fuerte sea la contraseña de su cuenta de usuario de WordPress, más difícil será adivinarla. Se necesitan 0,29 milisegundos para descifrar una contraseña de siete caracteres. ¡Pero un hacker necesita dos siglos para descifrar una contraseña de doce caracteres!

Idealmente, una contraseña segura es una cadena alfanumérica de doce caracteres. La contraseña debe contener letras mayúsculas y minúsculas, así como otros caracteres ASCII.

Si bien todos pueden beneficiarse del uso de una contraseña segura, es posible que solo desee obligar a las personas con capacidades de autor y superiores a tener contraseñas seguras.

La función Requisito de contraseñas de iThemes Security Pro le permite obligar a usuarios específicos a utilizar una contraseña segura .

4. Rechace las contraseñas comprometidas

Aunque el 91% de las personas saben que reutilizar contraseñas es una mala práctica, el 59% de las personas todavía reutilizan sus contraseñas en todas partes. Muchas de estas personas todavía usan contraseñas que saben que han aparecido en un volcado de bases de datos.

Los piratas informáticos utilizan una forma de ataque de fuerza bruta llamada ataque de diccionario. Un ataque de diccionario es un método para irrumpir en un sitio web de WordPress con contraseñas de uso común que han aparecido en volcados de bases de datos. La “Colección # 1? La filtración de datos alojada en MEGA incluyó 1,160,253,228 combinaciones únicas de direcciones de correo electrónico y contraseñas. Eso es mil millones con una b. Ese tipo de puntuación realmente ayudará a un ataque de diccionario a reducir las contraseñas de WordPress más utilizadas.

Es imprescindible evitar que los usuarios con capacidades de autor y superiores utilicen contraseñas comprometidas. También puede pensar en no permitir que sus usuarios de nivel inferior utilicen contraseñas comprometidas.

Es completamente comprensible y se recomienda hacer que la creación de una nueva cuenta de cliente sea lo más fácil posible. Sin embargo, es posible que su cliente no sepa que la contraseña que está utilizando se ha encontrado en un volcado de datos. Le estaría haciendo un gran servicio a su cliente al alertarlo del hecho de que la contraseña que está usando se ha visto comprometida. Si usan esa contraseña en todas partes, podría salvarlos de algunos dolores de cabeza importantes en el futuro.

La función de rechazo de contraseñas comprometidas de iThemes Security Pro obliga a los usuarios a utilizar contraseñas que no han aparecido en ninguna infracción de contraseña rastreada por Have I Been Pwned.

5. Proteja a los usuarios de WordPress con autenticación de dos factores

La autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados. Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques de bots automatizados. Realmente me gustan esas probabilidades.

Como mínimo, debe solicitar a sus administradores y editores que utilicen la autenticación de dos factores.

La función de autenticación de dos factores de iThemes Security Pro proporciona una gran flexibilidad al implementar 2fa en su sitio web. Puede habilitar dos factores para todos o algunos de sus usuarios, y puede obligar a sus usuarios de alto nivel a usar 2fa en cada inicio de sesión.

6. Limite el acceso del dispositivo al panel de WP

Limitar el acceso al panel de WordPress a un conjunto de dispositivos puede agregar una fuerte capa de seguridad a su sitio web. Si un pirata informático no está en el dispositivo correcto para un usuario, no podrá utilizar al usuario comprometido para infligir daños en su sitio web.

Solo debe limitar el acceso al dispositivo a sus administradores y editores.

La función de dispositivos de confianza de iThemes Security Pro identifica los dispositivos que usted y otros usuarios utilizan para iniciar sesión en su sitio de WordPress. Cuando un usuario ha iniciado sesión en un dispositivo no reconocido, Trusted Devices puede restringir sus capacidades de nivel de administrador. Esto significa que si un atacante pudiera ingresar al backend de su sitio de WordPress, no tendría la capacidad de realizar cambios maliciosos en su sitio web.

7. Proteger a los usuarios de WordPress del secuestro de sesiones

WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y digamos que tiene una extensión de navegador que el desarrollador ha abandonado y ya no publica actualizaciones de seguridad. Desafortunadamente para ti, la extensión del navegador desatendida tiene una vulnerabilidad. La vulnerabilidad permite a los delincuentes secuestrar las cookies de su navegador, incluida la cookie de sesión de WordPress mencionada anteriormente. Este tipo de pirateo se conoce como secuestro de sesión . Por lo tanto, un atacante puede aprovechar la vulnerabilidad de la extensión para aprovechar su inicio de sesión y comenzar a realizar cambios maliciosos con su usuario de WordPress.

Debe tener una protección contra el secuestro de sesiones para sus administradores y editores.

La función de dispositivos de confianza de iThemes Security Pro hace que el secuestro de sesiones sea cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, iThemes Security cerrará automáticamente la sesión del usuario para evitar cualquier actividad no autorizada en la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos.

Terminando

La popularidad de WordPress lo convierte en un objetivo para los piratas informáticos de todo el mundo. Como comentamos, un atacante puede causar daños pirateando incluso el nivel más bajo de usuario de WordPress. La buena noticia es que, si bien no hay forma de evitar los ataques a sus usuarios de WordPress, con un poco de esfuerzo de nuestra parte, podemos evitar que los ataques tengan éxito.

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.