Seguridad de WordPress

Monitoreo de Malware, Verificación de Seguridad y Detección de Incidentes

Remove Blacklisting

WordPress es la plataforma más rápida de todas y uno de los Sistemas de Gerenciamento de Contenido (en inglés - Content Management Systems CMS) más reconocido que está disponible para los propietarios de sitios web. Wordpress abarca más del 23% del mercado y se usa tanto por empresas grandes, como por pequeñas. Juntamente con su popularidad, han venido muchos desafíos para los propietarios de sitios web, uno de ellos es la Seguridad.

Es fácil pasar por alto la importancia de la detección y monitoreo pasivos, pero ésta es una de las funciones esenciales que usted debe emplear para garantizar la seguridad de su sitio web. No hay defensas disponibles que proporcionen el 100% de seguridad que los controles que usted utiliza evitarán que los atacantes aprovechen las vulnerabilidades en su ambiente. Para solucionar este problema, los profesionales de seguridad utilizan una serie de herramientas, tales como el monitoreo de malware y no-malware para detectar incidentes potenciales lo más temprano posible y continuamente.

SEGURIDAD COMPLETA DE WORDPRESS

Seguridad de WordPress

Monitoreo de Malware y Verificación de Seguridad para Wordpress

No hay mayor catástrofe para el propietario de un sitio web que perder la lucha por la manutención de la seguridad de su sitio web. Es por eso que pasamos la mayor parte de nuestro tiempo de trabajo educando a propietarios de sitios web en todo el mundo para que ellos tomen conciencia de la gravedad del problema.

Si usted es un usuario de WordPress, entonces ha venido al lugar correcto. Esto se aplica más a los usuarios que utilizan la descarga gratuita de WordPress, que se encuentra en el WordPress.org . ésto probablemente significa que está utilizando uno de los muchos hosts dedicados que existen, pero no se preocupe por eso, porque trabajamos muy bien con todos ellos (es decir, GoDaddy, Site5, SiteGround, BlueHost, HostGator, etc). Usted también puede utilizar cualquier host administrado para WordPress, como WP Engine, Page.ly, Rainmaker o cualquier host que apareció en el mercado en los últimos meses / años .

Si piensa en el monitoreo de su sitio web, entonces ya está pensando en la manera correcta respecto a la seguridad de su sitio web, ya que el monitoreo es una parte muy importante del ciclo completo de Seguridad de la Información.

Cuando se trata del Monitoreo, nos referimos a la etapa de Detección en el ciclo de la seguridad. En esta sección, vamos a cubrir varios temas:

Cada una de esas acciones es muy distinta y es una parte importante de su administración diaria.

Si le interesa completar el ciclo de seguridad descrito, considere complementar su plugin de Seguridad de WordPress con la Plataforma de Seguridad de Sitios Web de Sucuri. Juntos, ellos le dan la seguridad de sitios web más completa que un propietário de sitios web pueda pedir, además de completar todo el ciclo de seguridad.

1. Monitoreo de seguridad de WordPress (Pago)- Monitorea Todos los Eventos Relacionados a Seguridad y a Malware

Verificación y Monitoreo Completo de Malware y de Seguridad para su Sitio Web WordPress

El monitoreo más completo para su sitio web WordPress es nuestro Plataforma de Seguridad de Sitios Web. A diferencia de nuestro Plugin de Seguridad de WordPress (mencionado anteriormente), nuestra Plataforma de Seguridad de Sitios Web tiene el poder del motor de detección de malware / seguridad y le permite programar sus verificaciones. Ofrecemos a los propietarios de sitios web dos métodos diferentes - Verificación Remota y del lado del Servidor, mientras aseguramos la tranquilidad de saber que si se produce un evento malicioso, le notificaremos inmediatamente.

Lo que nuestra Plataforma de Seguridad de Sitios Web ofrece a más que nuestro Plugin de Seguridad de WordPress Gratuito es la complitud de su proceso de análisis. A diferencia de nuestro plugin gratuito, nuestra Plataforma de Seguridad añade una detección de anomalías más completa, una identificación de firmas más agresiva, además de proporcionar un análisis de la página más completo, en la que todos los aspectos del proceso de exploración aumenta la detección de anomalías.

Sucuri - Website Security - Comprehensive Malware Monitoring

Sucuri - Seguridad de Sitios Web - Monitoreo de Malware Completo

Esto es el recurso más eficiente de todos, pero la capacidad de monitorear el back-end de su ambiente, buscando payloads no suelen aparecer en su navegador. Estos son los eventos más comunes, incluyendo las puertas traseras, las cargas útiles de phishing y los scripts de tipo mailer.

Sucuri - Website Security - Server Side Malware Monitoring

Sucuri - Seguridad de Sitos Web - Monitoreo de Malware del Lado del Servidor

La Plataforma de Seguridad de Sitios Web también incluye verificaciones que supervisan tanto la condición del estado de su DNS cuanto de su WHOIS. Se trata de dos exploraciones muy importantes que muchos se olvidan de configurar y de monitorear. Ellas son importantes porque, como propietario de un sitio web, usted querrá saber inmediatamente si su domínio pertenece a otra persona, diferente de la persona que usted había escogido.

Además, usted recibirá un informe semanal que le mostrará el estado general de la seguridad de su sitio web.

Sucuri - Website Security - Security Reporting

Sucuri - Seguridad de Sitios Web - Panel de Informe de Seguridad

2. Plugin de Seguridad de WordPress (Gratuito) - Inspección de Actividad y Verificación Remota de Malware

Plugin de Seguridad de WordPress - Desarrollado por Sucuri para Inspección y Verificación

Para mejorar su postura de seguridad y ayudar a enfrentar el reto de saber acerca de todas las actividades que están sucediendo a su instalación de WordPress, hemos desarrollado un plugin Gratuito.

Advertencia: Tenga en cuenta que este plugin fue creado para el usuario final que busca las piezas del rompecabezas de seguridad de que necesita para cuidar de su postura de seguridad en general. Sin embargo, el plugin no fue diseñado para el usuario de WordPress del tipo Hágalo usted mismo (en inglés Do It Yourself - DIY). Al usuario DIY le gusta manipular, configurar o actualizar la configuración de su sitio web, con el objetivo de aumentar su postura de seguridad. Para estos usuarios, los recomendamos que complementen esta herramienta con los plugins de servicios de seguridad utilitarios. Sucuri WordPress Security Plugin

Nuestro plugin es fácil de usar y elimina cualquier confusión que suele aparecer en muchos de los plugins de seguridad. él fue desarrollado para ayudar a complementar nuestros servicios de seguridad y le proporcionará más tranquilidad para gestionar su sitio web. Nosotros escribimos instrucciones sencillas para ayudarlo a instalar y a configurar su plugin. Además, esta herramienta es extremadamente eficiente después que su sitio web fue pirateado, pues puede ser utilizado para hacer el análisis forense del caso. Todos los eventos de auditoría se almacenan fuera de su sitio web, lo que significa que incluso después que un atacante entre en su sitio web, todos los registros se almacenan remotamente en el Centro de Operaciones de Seguridad de Sucuri (en inglés Sucuri Security Operation Center - SOC) haciéndolos inaccesibles para el atacante. ésto significa que el atacante no puede acceder a sus registros ni eliminar los rastros que pueden ser valiosos en el análisis forense.

Monitoreo de Actividad de WordPress

Esto es algo que nadie ha sido capaz de hacer muy bien. Creemos que este aspecto es tan importante, que lo hicimos la característica central en nuestro panel. El panel de control fue desarrollado para permitir que usted, el propietario de un sitio web, vea todo lo que está ocurriendo en su sitio web. ¿Quién está registrando?, ¿Qué están haciendo?, ¿Qué ha cambiado? éstas son preguntas importantes que todo propietario de un sitio web necesita hacer. Nadie debe saber más acerca de su sitio web y de sus operaciones que usted, así que hemos creado esta herramienta para ayudarlo a tomar sus decisiones.

Sucuri - WordPress Security Plugin - Auditing

Sucuri - Plugin de Seguridad para WordPress - Panel de Inspección

Verificación Remota de Malware para WordPress

Como el propio nombre sugiere, esta característica fue desarrollada para verificar su sitio web de forma remota. Se emula un número de agentes de usuario y referencias en un intento de desencadenar un evento del navegador. Si se activa un evento, el payload identificado se utiliza y se analiza en nuestra base de datos para identificar si es algo malicioso o benigno.

Sucuri - WordPress Security Plugin - Malware Scanner

Sucuri - Plugin de Seguridad para WordPress - Verificación Remota de Malware

Observe que se trata de un escáner remoto y no de un escáner a nivel de servidor (nivel de aplicación). ésto significa que las posibilidades de él no percibir un problema a nivel de servidor, como puertas traseras y phishing son muy altas, ya que generalmente estos eventos no son conectados a su sitio web, pero son discretamente inyectados durante la instalación del sitio web. Nuestro escáner es muy parecido a nuestro popular escáner de seguridad en línea gratis, SiteCheck. Lo recomendamos que eche un vistazo a cómo SiteCheck funciona para evitar malentendidos acerca de lo que él no puede detectar.

Para verificaciones más completos y más eficientes, sugerimos que visite nuestros Plataforma de Seguridad y Firewall.

Monitoreo de Integridad de Archivos de WordPress

La idea de Monitoreo de Integridad de Archivos no es nueva cuando se trata de seguridad. ésto también es algo que algunos de sus plugins de seguridad favoritos ya hacen por usted. éste es un proceso que utiliza un método de verificación para comparar el estado actual de un archivo a un estado pre-existente de ese mismo archivo. Hay muchas maneras de hacer esto, la más común de ellas es comparar la suma de verificación de dos archivos - el actual y lo conocido. Eso no debe confundirse con la verificación de malware, sin embargo, también es un método altamente eficaz para la identificación de cambios en los archivos.

Sucuri - Website Security - File Integrity Monitoring

Sucuri - Seguridad de Sitios Web - Monitoreo de Integridad de Archivos

Esta característica se extiende más allá de los cambios en los archivos, porque también identifica la adición de archivos. Ella es un poco diferente, pero muy eficaz para usted, el propietario del sitio web. Esta función también comprueba además del directorio core (es decir, wp-admin y wp-includes) y es responsable de todos los directorios root, es decir que el wp-content también será cubierto (como plugins y temas).

Hardening de Seguridad de WordPress

El hardening ofrecido por nuestro plugin es mínimo, pero muy eficaz. ésto es hecho de forma deliberada, porque el plugin no fue desarrollado para mejorar cada configuración de seguridad posible. Para eso, le sugerimos usar una caja de herramientas de utilidad, como aquella desarrollada por iThemes Security. En nuestro proceso de hardening, nos centramos en algunos conceptos de "seguridad por oscuridad", pero también nos centramos en la desactivación de ejecución de PHP y en la reducción de acceso local clave. Todo lo demás dejamos para los otros plugins de seguridad.

Acciones Pos-Hack

Esta es una característica que hemos construido en el plug-in para satisfacer una demanda de usuarios. Nuestro plugin fue creado para ayudarlo después de su sitio web haber sido puesto en peligro. Lo que hemos aprendido es que muchos propietarios de sitios web, una vez pirateados, siguen a infectarse con frecuencia y, a menudo, ésto ocurre como consecuencia de acciones pos-hack inadecuadas. Nos pareció que ése era un problema suficientemente grande y que los propietarios de sitios web necesitaban ayuda en este proceso.

Las tres características que incluye son:

  1. Restaurar sus Salts / Keys después de haber sido pirateado - esto asegura que cada usuario que esté conectado salga de su sitio web.
  2. Restaurar Contraseñas para todos usuarios - esto asegura que cada usuario sea obligado a crear nuevas contraseñas
  3. Restaurar el Plugin - a menudo, los plugin son corrompidos después de un hack, entonces, añadimos una forma rápida de reinstalar plugins para evitar cualquier problema.
Sucuri - WordPress Security - Post Hack Steps

Sucuri - Seguridad para WordPress - Acciones Pos-Hack

Firewall de Sitios Web para WordPress - Opcional
Esta función es opcional, ya que es una característica de uno de nuestros servicios pagos. Es un punto de integración para nuestro Firewall de Sitios Web. Nuestro Firewall de sitios web es un proxy inverso que filtra todo el tráfico a su sitio web a través de uno de nuestros varios puntos de presencia instalados en diversas partes del mundo. éso permite a Sucuri ver todo su tráfico entrante y defender su sitio web proactivamente contra los diversos ataques a sitios web como la Denegación Distribuida de Servicio (en inglés Distributed Denial of Service - DDoS), la Exploración de Vulnerabilidades de Software y los Ataques de Fuerza Bruta.

La integración lo permite ver rápidamente los diversos eventos y ataques contra su sitio web.

Sucuri - WordPress Security - Website Firewall Integration

Sucuri - Seguridad para WordPress - Integración del Firewall de Sitios Web

Esta característica le da mayor profundidad de análisis y presentación de informes a través de nuestro panel de control interno:

Sucuri - WordPress Security - Website Firewall Dashboard

Sucuri - Seguridad para WordPress - Panel de Control del Firewall de Sitios Web

Notificaciones de Seguridad de WordPress

Todos estos eventos de monitoreo de seguridad no estarían completos si no usted no supiera de su existencia, y si no hubiese dado cuenta de que es imposible ver todo lo que pasa, por eso enviamos todas las notificaciones a su correo electrónico. Estas notificaciones lo permiten configurar sus avisos para satisfacer mejor sus necesidades de seguridad. Usted puede optar por saber todo sobre la seguridad de su sitio web, o elegir conocer muy poco. De cualquier manera, usted elige su nivel de conforto.

Sucuri - WordPress Security - Email Notifications

Sucuri - Seguridad para WordPress - Notificaciones via Email


¡Seguridad Completa para WordPress!

Plataforma de Seguridad de Sitios Web de Sucuri

SEGURIDAD PROFESIONAL PARA WORDPRESS