Prevención de pérdida de datos y amenazas internas. Guía para sitios web de Big Media en WordPress

WordPress es uno de los sistemas de gestión de contenido más populares y por una buena razón. Es fácil de usar, se puede usar con miles de temas y complementos disponibles, y puede crear cualquier tipo de sitio web con él. No es de extrañar que WordPress admita el 40,5% de todos los sitios web en la Web.

Pero esta popularidad tiene un precio. WordPress es a menudo atacado por piratas informáticos y personas con información privilegiada. Por lo tanto, si un empleado, que recientemente solicitó su jubilación, comienza a copiar grandes cantidades de datos de la red de la empresa a su unidad USB, es posible que, de hecho, no haya malicia planificada. Tal vez esa persona solo necesite guardar algunos archivos de información útil necesarios para el próximo trabajo. Desafortunadamente, las situaciones en las que un empleado que renuncia comparte información confidencial de productos, datos legales importantes, datos personales de los empleados o secretos comerciales de la competencia también son bastante populares.

Algunas empresas pueden tener dificultades para detectar estos riesgos internos, y mucho menos para diferenciar entre el comportamiento rutinario de los empleados y las anomalías que amenazan la ventaja competitiva o la reputación de la empresa.

Hoy veremos cómo puede reducir significativamente la probabilidad de fugas de datos de su sitio de medios de WP y prevenir amenazas internas. Tenga en cuenta que algunos complementos como AI chatbots almacenan los datos fuera de su sitio de WP y no están en riesgo.

Descubra cómo publicar en segundos, no en horas

Regístrese ahora para obtener acceso exclusivo a Wordable y descubra cómo cargar, formatear y optimizar contenido en segundos, no en horas.

Empiece a publicar

Acerca de las amenazas internas

Probablemente haya escuchado sobre esa historia con el complemento WPML de WordPress cuando en 2019 un ex empleado usó una contraseña SSH antigua para obtener acceso a una dirección WPML genuina y envió un correo electrónico preocupante sobre "agujeros de seguridad" a todos los usuarios del complemento. Sin embargo, de hecho, no hubo "agujeros" ni ninguna vulnerabilidad. Eso no fue más que una típica amenaza interna de un empleado descontento.

Las amenazas internas ocurren con más frecuencia de lo que cree. Según una encuesta reciente, el 55% de los encuestados afirmó que su organización había sufrido un ataque interno en 2020. Los internos están involucrados en poco menos de un tercio de todos los delitos cibernéticos. La encuesta de PwC descubrió que los proveedores de servicios, los empleados habituales y los contratistas son responsables de una gran cantidad de violaciones de seguridad. Un tercio de los ejecutivos informó que los ataques web cometidos por personas de confianza (capacitadas) dieron como resultado enormes pérdidas (tanto financieras como de reputación) para su empresa.

Las amenazas internas son difíciles de proteger. Se necesita un cierto nivel de confianza para que los empleados hagan su trabajo. Si deciden hacer un mal uso de esa confianza, no hay mucho que el propietario pueda hacer hasta que el daño esté realmente hecho. Pero hay algunas formas que los dueños de negocios conscientes de la seguridad pueden tomar para reducir el riesgo de amenazas internas a sus sitios multimedia de WordPress.

¿Qué es la protección del sitio?

La protección del sitio es un proceso complejo, por lo tanto, debe aplicar tantos métodos de protección como sea posible. Diríamos que incluso necesitas ser un poco paranoico en este sentido. En otras palabras, si aplica 1 o 2 métodos, por supuesto, mejorará la situación, pero solo ligeramente. Más que eso, incluso si aplica absolutamente todos los métodos, no protegerá completamente su sitio de la piratería, aunque reducirá significativamente la probabilidad de un ataque de piratería. Que es lo que necesitas.

Aquí hay un buen ejemplo de truco que refleja toda la esencia de la protección. Hackear es cuando algo se piratea (duh) o se rompe, es decir, hay algo que romper. De lo contrario, es decir, cuando no hay nada que romper, ya no es un truco.

Si, por ejemplo, dejó la puerta de su apartamento abierta o dejó las llaves en ella y le robaron, entonces su apartamento no estaba realmente roto, simplemente entraron, tomaron lo que necesitaban y se fueron. Lo mismo ocurre con un sitio web: si no ha tomado ninguna medida para proteger su sitio, entonces, si algo sale mal, no será un truco. Por lo tanto, para que sea más difícil para los intrusos o personas con información privilegiada ingresar o robar sus datos, al menos debe "cerrar las puertas".

Educación de empleados e ingeniería social

Sus empleados deben ser reconocidos con respecto a su privacidad, es decir, deben conocer las reglas básicas de seguridad para evitar cualquier fuga de datos. Por lo tanto, debe al menos prohibirles que compartan sus contraseñas o cualquier credencial de autenticación, incluso si les parece conveniente.

Si bien las herramientas de búsqueda de correo electrónico, software antivirus y antimalware pueden ayudar a identificar dichos correos electrónicos maliciosos, la ingeniería social se aborda mejor a través de la educación de los empleados.

La ingeniería social , en el contexto de la seguridad de la información, es la manipulación psicológica de las personas para realizar determinadas acciones o revelar información confidencial.

Se debe educar a los empleados sobre cómo pueden ser abordados por intrusos externos y cómo deben responder a diversas solicitudes sospechosas. Es necesario comprender la ingeniería social para prevenirla. Los empleados también deben someterse a pruebas para identificar posibles debilidades entre su personal.

Los equipos de su empresa también deben evitar el uso de temas WP sospechosos y siempre tratar de minimizar la cantidad de complementos que usan.

Minimice sus complementos de WP

Por el momento, hay una gran cantidad de complementos de WP diferentes que resuelven casi cualquier problema.

Pero cuantos más complementos se instalen en su sitio de medios, mayor será su vulnerabilidad. ¿Por qué? Consulte las siguientes razones:

• Los complementos de WP pueden ser escritos por un desarrollador no calificado y contienen errores críticos que afectan la seguridad del sitio;
• Los complementos de WP pueden ser "abandonados" por el programador, es decir, dejarlos obsoletos durante mucho tiempo, lo que los hace menos seguros. Los complementos, así como el motor, deben actualizarse periódicamente para reducir el riesgo de vulnerabilidades;
• Los complementos de WP pueden entrar en conflicto entre sí y provocar errores.

Digamos que necesita un formulario de comentarios en su sitio; en lugar de colocar 2-3 complementos o algún ContactForm 7, puede crear el formulario "manualmente".

Por supuesto, hay complementos de los que simplemente no puede prescindir: el consejo es no abandonarlos por completo, sino elegir solo soluciones probadas en el tiempo y, si es posible, prescindir de ellas.

Evitar el intercambio de datos externos

Desafortunadamente, la educación de los empleados puede ser insuficiente. Compartir datos confidenciales de los empleados públicamente o con terceros fuera de la empresa puede ser desastroso. Esto suele suceder de forma inadvertida, por ejemplo, pueden utilizar el botón "Responder a todos" en lugar del habitual "Responder". Luego, la información se envía a las direcciones de correo electrónico incorrectas o algo se divulga públicamente de manera inadvertida.

No se puede prevenir este tipo de incidentes mediante la educación porque son solo errores humanos a los que todos estamos sujetos. El software personalizado, por ejemplo, las herramientas de prevención de pérdida de datos (DLP), puede ayudar a las organizaciones a realizar un seguimiento de los datos confidenciales y garantizar que su transmisión, ya sea por correo electrónico u otros servicios de Internet, esté restringida o bloqueada por completo.

Prevenir la amenaza de TI en la sombra

El software, las aplicaciones o los servicios web de terceros no autorizados suelen ser difíciles de rastrear para el departamento de TI, de ahí el término "TI en la sombra". Las razones de la prevalencia de la TI en la sombra son bastante simples: los empleados usan aplicaciones populares (como el seguimiento de correo electrónico) debido al hábito porque aumentan su eficiencia y reducen la carga de trabajo o son más fáciles de usar que las alternativas aprobadas por la empresa.

Esto puede volverse bastante problemático porque las empresas no lo saben la mayor parte del tiempo, lo que esencialmente crea un punto ciego en las estrategias de ciberseguridad. Otra amenaza es el bajo nivel de seguridad de estos servicios de terceros, lo que puede provocar fugas de datos.

La TI en la sombra suele ser el resultado de la incapacidad de una empresa para proporcionar a los empleados las herramientas que necesitan para hacer su trabajo. Las organizaciones deben tener un diálogo abierto con sus empleados para comprender sus necesidades tecnológicas y hacer lo que puedan para satisfacerlas. Las herramientas DLP de alta calidad también pueden ayudar a las empresas a evitar que los empleados carguen información confidencial en estos servicios no autorizados y, al monitorear estos intentos, comprender mejor la TI en la sombra en su organización.

A continuación, se incluye una lista de servicios y herramientas de DLP confiables que puede utilizar para proteger los datos de su empresa:

SecureTrust

McAfee

Protector de punto final

Symantec

Vientos solares

Punto de control

Trend Micro

Avanan

Zscaler

Utilice cuentas separadas para empleados

Sin cuentas compartidas. Cada miembro del personal de su equipo necesita su propia cuenta de usuario para todo. Si, por supuesto, los necesitan. El punto es que nadie puede usar sus antiguas contraseñas una vez que ya no está en el equipo.

En otras palabras, debe asegurarse de que ningún ex empleado pueda acceder a su cuenta anterior y robar los datos de su empresa.

Utilice contraseñas complejas

Ya hemos dado la analogía (debe haber un candado en sus puertas). Si su contraseña es simple, no hay candado en este caso, o, más precisamente, los intrusos tienen la llave. Por lo tanto, recomendamos encarecidamente utilizar contraseñas seguras e, idealmente, almacenarlas solo en su cabeza. No olvide cambiar periódicamente sus contraseñas en todas partes, especialmente si su sitio WP ya ha sido pirateado antes.

Se refiere a contraseñas complejas para acceder a su panel administrativo, control de hosting, cuenta personal, base de datos, etc. En otras palabras, sus contraseñas deben ser necesariamente complejas.

Una contraseña compleja tiene al menos 8 caracteres, que deben ser números, mayúsculas, letras regulares y, por supuesto, símbolos especiales.

Si ejecuta un blog de WordPress, o más bien un blog con varios autores, debe tratar con varias personas que acceden a su panel de administración. Esto puede hacer que su sitio sea más vulnerable a las amenazas de seguridad.

Puede utilizar complementos como WordPress protegido con contraseña (PPWP) si desea asegurarse de que todas las contraseñas que crean los usuarios sean seguras. Es solo una precaución, pero es mejor que tener varios usuarios con contraseñas débiles.

Recuerde, use siempre contraseñas complejas, tanto para el sitio como para cualquier otra cosa en la que se requiera una contraseña, ya que una contraseña simple, como una que consta de 3-4 dígitos, incluso se puede elegir manualmente en un par de minutos.

Utilice herramientas de cifrado y borrado remoto

Muchas políticas de protección de datos se centran en transferir datos fuera de la red corporativa a través de Internet, sin considerar otro método de uso común: los dispositivos portátiles. Las unidades USB, en particular, han sido durante mucho tiempo tóxicas para las estrategias de protección de datos. Son fáciles de perder o robar, pero muy fáciles de usar. Sin embargo, debe saber que las unidades USB provocaron graves violaciones de datos en muchas empresas.

La forma más sencilla de evitar estas infracciones es bloquear los puertos USB y periféricos al mismo tiempo. Sin embargo, no se puede negar la utilidad de USB en el lugar de trabajo. Para las empresas que aún desean utilizar unidades USB, existen medidas que pueden tomar para garantizar la seguridad. El cifrado es uno de los mejores entre ellos. Todos los archivos transferidos a unidades USB se cifrarán, es decir, se combinarán con una política de dispositivo confiable que permite que solo los dispositivos identificados como "confiables" se conecten a las computadoras de la empresa.

En el entorno de trabajo cada vez más móvil de la actualidad, los empleados suelen sacar sus ordenadores portátiles y dispositivos portátiles de la oficina. Ya sea trabajando de forma remota, visitando clientes o asistiendo a eventos de la industria, los dispositivos de trabajo a menudo escapan a la seguridad de las redes corporativas y se vuelven más vulnerables tanto al robo físico como a la interferencia no autorizada.

El cifrado es siempre una buena solución para protegerse contra el robo de datos. Ya sean computadoras portátiles, teléfonos inteligentes o unidades USB, el cifrado elimina la posibilidad de que cualquiera que las robe pueda acceder a los datos. Habilitar las opciones de borrado remoto también puede ayudar a las organizaciones a borrar todos los datos de los dispositivos robados a distancia.

Asignar roles y permisos de WP

Asegúrese de que cada uno de sus empleados tenga su propia función y permisos. Por lo tanto, tenga en cuenta que un administrador tendrá control total sobre todas las funciones de su sitio y bases de datos, un editor podrá publicar y administrar no solo sus propias publicaciones sino también las de otros escritores, y un autor solo tendrá la capacidad para gestionar sus propias publicaciones.

Así que asigne roles de WP sabiamente y recuerde: una vez que sus empleados se vayan, no olvide eliminar todas sus cuentas para bloquear el acceso.

Restringir la edición de archivos

Si los usuarios tienen acceso de administrador a su panel de control de WordPress, pueden editar cualquier archivo que forme parte de su instalación de WordPress. Esto también incluye todos los complementos y temas.

Si deshabilita la edición de archivos, nadie podrá cambiar ninguno de los archivos, incluso si un pirata informático obtiene acceso de administrador a su panel de control de WordPress. Para hacer esto, agregue lo siguiente a su archivo wp-config.php (al final):

define ('DISALLOW_FILE_EDIT', verdadero);

Mantenga su WordPress actualizado

En este punto hemos incluido todo lo que está relacionado con los scripts de su sitio, estos son los scripts del propio WordPress, y sus plantillas, y plugins (nuevamente), todos ellos inicialmente no deben contener scripts maliciosos y "agujeros", es decir todas las puertas deben estar cerradas. Si hay una vulnerabilidad en los scripts, un pirata informático puede usarla para ingresar a su sitio de medios, es decir, "entrar por la puerta".

Para cerrar las "puertas", o al menos hacerlo a tiempo, necesita actualizar constantemente su sitio de WordPress una vez que la actualización esté disponible. Esto también se aplica a plantillas y complementos.

Nuevamente, los scripts maliciosos no deberían estar allí inicialmente, así que descargue WordPress solo desde el sitio oficial, no use plantillas gratuitas, pueden contener vulnerabilidades, algunos enlaces en la sombra y cosas por el estilo.

Elimina los complementos innecesarios. Si no tiene un complemento en uso, desactívelo primero y luego elimínelo (los archivos de complementos que se acaban de desactivar aún permanecen en el servidor).

En otras palabras, debe tener un orden completo en sus scripts, es decir, tener solo lo que realmente necesita en las versiones actuales. Los scripts desordenados harán que su sitio sea más accesible para un pirata informático o información privilegiada.

Además, asegúrese de estar utilizando temas de WP de calidad, es decir, actualizados por sus creadores.

Bloqueo de sitios y prohibición de usuarios

Una función de bloqueo de sitios para intentos fallidos de inicio de sesión puede resolver un gran problema de intentos continuos de contraseña. Siempre que hay un intento de piratería con contraseñas incorrectas repetidas, el sitio se bloquea y se le notifica de esta actividad no autorizada.

El complemento iThemes Security es uno de los mejores complementos para esto. Lo hemos usado nosotros mismos durante bastante tiempo. El complemento tiene mucho que ofrecer a este respecto. Junto con más de otras 30 excelentes medidas de seguridad, puede especificar un cierto número de intentos fallidos de inicio de sesión antes de que el complemento bloquee la dirección IP del atacante.

Seguridad Sucuri

Sucuri es uno de los líderes reconocidos en la industria de la ciberseguridad. Actualmente tiene más de 400.000 usuarios activos, es gratuito y se actualiza periódicamente.

Sucuri Security no es un complemento de seguridad único para todos. Se centra en aspectos básicos como el escaneo y la supervisión de actividades maliciosas, pero hace su trabajo muy bien. El complemento viene con monitoreo de integridad de archivos para ver si alguno de los archivos principales está afectado o si hay alguna vulnerabilidad. Es una de las mejores soluciones para blogs y sitios de WP pequeños.

Sucuri también incluye escaneo de malware y monitoreo de listas negras. Sin embargo, la mejor característica del complemento son las acciones de seguridad posteriores al pirateo, que básicamente le brindan consejos sobre qué hacer si su sitio es pirateado o afectado por malware.

Pros de Sucuri

• Diseñado por una empresa confiable y actualizado periódicamente;
• Herramienta de escaneo de malware eficaz que detecta actividad inusual en el sitio;
• Las alertas de seguridad y la auditoría le notificarán sobre cualquier comportamiento inusual en el sitio;
• Capacidad para monitorear la integridad de los archivos.

Contras de Sucuri

• El firewall del sitio solo está incluido en el plan premium;
• La interfaz parece un poco desactualizada;
• No apto para principiantes.

Sistema Ekran

Ekran System está construyendo una plataforma de gestión de amenazas internas que es conocida por su sistema inteligente de alerta de incidentes y herramientas de monitoreo avanzadas para administradores de TI.

Una ventaja clave de Ekran es su versatilidad. Las soluciones del proveedor combinan tres herramientas de seguridad principales: monitoreo de actividad, control de acceso e identificación de usuario. La funcionalidad se proporciona en una única plataforma de software todo en uno que proporciona agentes "ligeros" para todo tipo de terminales.

El seguimiento y la grabación de las sesiones de los usuarios en el sistema Ekran se realiza con un módulo de grabación de pantalla avanzado. Esta información también se complementa con datos sobre nombres de aplicaciones, URL visitadas, archivos abiertos, comandos ingresados, pulsaciones del teclado, dispositivos conectados y otras actividades de los empleados.

Ekran System es una plataforma única que ayudará a las empresas a confiar en la seguridad de sus datos.

Conclusión

El ciberdelito está ganando impulso rápidamente y debido a la pandemia en curso, hay incluso más delincuentes en la Web en estos días que en el mundo real. Los delitos de fraude bancario y de tarjetas de crédito van en aumento, los piratas informáticos se están extendiendo y debemos proteger nuestros sitios con todas las opciones que podamos utilizar.

Aunque WordPress tiene algunas vulnerabilidades cuando se instala de forma predeterminada, puede resolver casi cualquier problema que tenga, incluidas las amenazas de seguridad mencionadas en este artículo. Al establecer un nombre de usuario único y una contraseña segura, instalar un complemento de seguridad, utilizar una herramienta DLP de alta calidad y educar a sus empleados, puede reducir en gran medida el riesgo de filtraciones de datos y de que su sitio se vea comprometido o infectado con malware.

Ahora, nos gustaría decir que para evitar la pérdida de contenido importante en su sitio de medios WP, aparte de todo lo anterior, nunca debe olvidarse de las copias de seguridad del sitio. Por lo tanto, si su sitio es pirateado, siempre puede restaurar rápidamente su funcionamiento normal y analizar los motivos de la piratería para eliminarlos y prevenir situaciones similares en el futuro. Por cierto, algunas empresas de hosting hacen copias de seguridad automáticamente.

Si tiene una copia de seguridad del sitio, puede restaurar su sitio web de WordPress para que funcione en cualquier momento. Hay varios complementos que pueden ayudarlo en este sentido.

Si está buscando una solución premium, le recomendamos VaultPress de Automattic (ahora con tecnología Jetpack). Lo hemos configurado para que se realice una copia de seguridad todas las semanas. Y si sucede algo malo, podemos restaurar fácilmente el sitio con un solo clic.

Sabemos que algunos sitios web grandes ejecutan copias de seguridad cada hora, pero eso es una exageración para la mayoría de las organizaciones. Sin mencionar que deberá asegurarse de que la mayoría de estas copias de seguridad se eliminen después de crear una nueva, ya que cada archivo de copia de seguridad ocupa espacio en el disco de su unidad. Aún así, recomendamos realizar copias de seguridad semanales o mensuales para la mayoría de las organizaciones.

Además de las copias de seguridad, VaultPress también comprueba los sitios web en busca de malware y le avisa si ocurre algo sospechoso.