Portem anys sentint constantment notícies sobre webs WordPress hackejades. Hi ha una raó, i no és la primera que ens ve en ment: “WordPress és insegur” Però que no ens entri el pànic!
Table of Contents
- És WordPress realment insegur?
- Dues regles per a simplificar la seguretat de WordPress
És WordPress realment insegur?
WordPress és el CMS més popular que puguem trobar ara mateix. Si ho mirem en termes generals,
amb WordPress se serveixen el 33.5% dels websites que hi ha a Internet
Pots consultar les últimes xifres d’ús de WordPress a w3techs
Amb una penetració de mercat com aquesta, WordPress es converteix en un focus d’atenció per als hackers.
Ser el focus d’atenció no significa ser insegur
Quan apareix una vulnerabilitat, la comunitat WordPress es bolca immediatament per a posar-hi solució. Aquesta força, fa que el temps d’exposició a vulnerabilitats sigui molt curt. Tot gràcies a un dels punts més forts de WordPress, la seva gran comunitat de contribuïdors. Quelcom insòlit i molt costós de reproduir en productes comercials o en gestors de contingut menys reconeguts.
Si en obrir el panell admin del teu WordPress, tens actualitzacions pendents, … continua llegint!
Per a avançar cap a una major seguretat, WordPress 3.7 va introduir les actualitzacions automàtiques. Per defecte, aquest sistema d’actualitzacions va incorporant, sense la nostra intervenció, totes les versions menors de WordPress core. Suficient, perquè en les revisions menors viatgen les correccions de seguretat i errors.
Però compte! es tracta d’actualitzacions automàtiques de WordPres core. WordPress el complementem amb extensions i temes i per tant és necessari també actualitzar aquests complements. No podem oblidar-nos de les actualitzacions de plugins i temes.
No dur a terme les actualitzacions, és en gran part el que converteix WordPress en una eina insegura.
Per la teva seguretat, has de mantenir actualitzat WordPress, les teves extensions i tots els Temes.
Dues regles per a simplificar la seguretat de WordPress
1 Elimina la por a actualitzar
Arribats a aquest punt, tenim clara la nostra responsabilitat:
Hem d’actualitzar WordPress, Plugins i Temes. OK!
No hi ha alternativa. OK!
A més a més siguem sincers, molts no ho ho hem descobert per primera vegada amb aquest article.
Aleshores …
Per què continuem arrossegant actualitzacions pendents,
Per què veiem aquest número ressaltat en vermell i no Actualitzem? …
… perquè tenim por.
A qui no se li ha trencat la web durant una actualització? Son moltes les coses que ens poden passar:
- Primer la possibilitat que l’actualització introdueixi algun error o problema en si.
- Però el més perillós són les combinacions “explosives” entre Extensions i Temes. Un canvi en una extensió pot ser incompatible amb el nostre tema o amb alguna de les altres Extensions.
- A més, si alguna cosa passa, el treball de tornar enrere, recuperar còpies de seguretat, … és temps, molt de temps.
Per a evitar pors i mantenir les actualitzacions a ratlla necessites un entorn de proves.
El teu objectiu és aconseguir:
1.VERIFICAR
les actualitzacions de WordPress
A tots ens agrada “Provar abans de comprar”.
2. DE FORMA SEGURA
en una còpia exacta del nostre WordPress producció.
En un staging on puguem verificar i comparar canvis “cara a cara” amb producció.
3. i RÀPID
Que el procés, crear un staging, sigui senzill, instantani, que no hàgim de perdre temps en manuals ni configuracions.
Si no ens ho posen fàcil, acabarem per posposar la tasca per a un altre millor moment (que mai sol arribar).
Amb una cosa així…, ok! portarem al dia les actualitzacions.
Comprova que el teu proveïdor d’allotjament et proporciona una forma simple de poder treballar amb entorns staging.
Gaudeix de staging simple i ràpid allotjant en wetopi:
- 1 clic per a crear el teu entorn staging/playground: amb 1 clic i 0 configs, tindràs una còpia sencera del teu servidor on treballar sense trencar producció.
- 1 clic per a passar els canvis a producció. No perdis el temps, si el treball en staging el vols passar a producció; simplement un clic i en pocs segons el tindràs en producció.
- 1 click i 0 configs per a crear o restaurar una Còpia de seguretat. Quan per algun motiu t’enfrontes a un desastre, p.ex un White Screen of Death, o pitjor, una intrusió, és llavors quan apareix la pressió. Davant una situació de pressió no és fàcil remenar manuals, configuracions o prendre decisions tècniques. És ideal comptar amb un sistema de restauració senzill tal com un clic.
- Staging sempre Inclòs a qualsevol tipus de subscripció, fins i tot pels teus servidors de desenvolupament GRATUÏTS.
2 Procura’t una infraestructura robusta
Probablement tenim clar que la seguretat no acaba on acaba la nostra aplicació WordPress. I és que l’stack de serveis contínua per sota del nostre web gestionat amb WordPress.
Són molts els components i serveis que contribueixen a enxamplar l’angle de l’anomenat Vector d’Atac!
El vector d’atac és el camí i mitjans que un hacker (o cracker) utilitza per a aconseguir accedir al nostre ordinador o servidor.
https://searchsecurity.techtarget.com/definition/attack-vector.
Una infraestructura robusta ens ajudarà a reduir l’angle d’aquest vector d’atac. Però, …
Que fa que una infraestructura sigui robusta?
Si això fos un assaig tècnic, podríem estendre’ns diversos capítols, però breument podem resumir-ho en dos punts:
- Actualitzacions continuades per a tots i cada un dels components de programari del nostre server i xarxa.
- Prevenció activa. No ens quedem en “configuracions de serveis segures” i en “tallafocs de xarxa”. Necessitem afegir tallafocs dinàmics, capaços d’aprendre d’atacs reportats per fonts externes i a més disposar de Tallafocs de Aplicacions (Web Application Firewalls) capaços de defensar concretament a WordPress i d’aprendre sobre la marxa.
Un exemple d’infraestructura robusta la podeu trobar en wetopi:
- WAF (Web Application Firewalls) redundants i externs. La redundància és important perquè el teu web depèn d’ells i és important que sempre estiguin funcionant. El que siguin externs allibera al teu WordPress d’aquestes extensions “firewall” que alenteixen el teu web i consumeixen gran quantitat de recursos del teu servidor.
- Real-time blacklisting. El sistema de filtrat de trafic manté permanentment actualitzades llistes de bloqueig de trànsit, en la seva majoria relacionades amb atacs, serveis on-line abusius, malwares, xarxes de zombis, intrusió de servers i altres activitats relacionades amb el crim-cibernètic. Aquesta és una d’aquestes funcionalitats que trobaràs només en Extensions Premium, però que a wetopi trobaràs inclosa a tots els plans.
- Aprenentatge compartit: els “Web Application Firewalls” van aprenent del trànsit de tots els WordPress allotjats a wetopi. Si es produeix un intent d’atac en una web, aquest coneixement és compartit automàticament per tots i cadascun dels servidors WordPress.
- Xarxa dual. Si es produeix un problema amb una de les teves adreces IP d’accés, per exemple un atac de tipus flood o un Denial-of-Service i s’interromp el trànsit, el teu web continuarà veient-se perquè disposa d’una segona adreça alternativa.
Fes clic aquí per a llegir més sobre com funciona l’alta disponibilitat dels serveis a wetopi.
- Gaudeix de més temps delegant completament la gestió d’actualitzacions de servidor. Wetopi s’ocupa dels teus servidors.
- Actualitzacions de servidor amb “rollback” en segons. En actualitzar el teu servidor sempre s’utilitzen imatges docker. Si en canviar a una nova versió d’imatge de servidor el teu WordPress deixa de funcionar, el propi sistema, en segons, restaura la teva anterior versió perquè no et quedis sense servei.
- Si tinguessis un problema de seguretat. wetopi es responsabilitza i s’encarrega de solucionar-ho.
disfruta de la seguretat d’estar recolzat per una infraestructura robusta com la de wetopi
Llegir més sobre la tecnologia de wetopi.
Resumidament, som uns techies apassionats per WordPress que hem creat Wetopi, un Allotjament WordPress Gestionat, per minimitzar la fricció a la que tot professional s’enfronta en treballar i allotjar projectes WordPress.
Inclou servidors de desenvolupament Gratis.
No cal tarjeta de crèdit.
