Saltar al contenido

Bright Plugins está adquiriendo plugins de WordPress y WooCommerce. Vende tu negocio de plugins a un socio de Automattic y a un experto verificado en WooCommerce.

Conectémonos
protocolos-de-seguridad-wordpress
WordPress

Protocolos de seguridad del sitio web de WordPress Procedimiento operativo estándar (SOP)

Medidas de seguridad que debe tener en cuenta al administrar un sitio web de WordPress

En su compromiso continuo de salvaguardar los activos digitales y mejorar la seguridad del sitio web, estamos implementando protocolos de seguridad integrales para la administración del sitio web de WordPress. Estas medidas están diseñadas para proteger contra el acceso no autorizado y garantizar que su equipo se adhiera a las mejores prácticas en seguridad digital.

Introducción a la autenticación de dos factores (2FA)

El protocolo de seguridad fundamental es el uso obligatorio de la autenticación de dos factores (2FA). Esta capa adicional de seguridad garantiza que el acceso a tu backend de WordPress esté estrictamente controlado y accesible solo para el personal autorizado. Requerir un segundo formulario de verificación puede reducir significativamente el riesgo de acceso no autorizado.

No más contraseñas en los navegadores

Para proteger aún más su entorno digital, aplique una política contra el guardado de contraseñas de navegador. Si bien es conveniente, esta práctica representa un riesgo para la seguridad. Sería mejor fomentar el uso de administradores de contraseñas seguros para almacenar contraseñas, mejorando la seguridad y la conveniencia sin compromiso.

Conexiones web seguras obligatorias

Reconociendo las vulnerabilidades asociadas con las conexiones públicas a Internet, debe exigir a todos los miembros del equipo que utilicen conexiones web seguras al administrar sus sitios de WordPress. Esto significa utilizar VPN y evitar las redes Wi-Fi públicas a toda costa. Cualquier desviación de esta política se enfrentará con una estricta acción disciplinaria para mantener sus altos estándares de seguridad.

Documentación detallada del sitio web

Cada miembro del equipo mantendrá un documento detallado para cada sitio de WordPress que administre. Este documento incluirá una lista completa de complementos instalados, usuarios actuales y un registro de escaneos mensuales manuales, entre otra información crítica. Esta iniciativa tiene como objetivo mantener la transparencia y facilitar la gestión eficiente de sus sitios web.

Instalación y gestión de plugins

En su compromiso de mantener un entorno seguro de WordPress, la instalación de nuevos complementos o la eliminación de los existentes ahora requerirá un permiso expreso por escrito. Esta directiva evita cambios no autorizados que podrían introducir vulnerabilidades. Los complementos de administrador de archivos, conocidos por sus riesgos de seguridad, están estrictamente prohibidos.

Comprométete con la seguridad

Estas mejoras en el protocolo de administración de sitios web de WordPress reflejan su compromiso inquebrantable con la seguridad. Al implementar estas medidas, puede aspirar a proteger sus activos digitales y la integridad de la información que se le confía a usted, a sus clientes o a los miembros de su equipo.

Comprenda que adaptarse a estos cambios puede requerir un período de ajuste. Sin embargo, los beneficios a largo plazo (seguridad mejorada, cumplimiento mejorado y una infraestructura digital más sólida) superan con creces los inconvenientes iniciales.

Elaboramos un procedimiento operativo estándar (SOP) para la plantilla de protocolos de seguridad del sitio web de WordPress para que usted descargar aquí como PDF .

También enumeramos a continuación si desea copiar y pegar.

Procedimiento operativo estándar (SOP) para los protocolos de seguridad del sitio web de WordPress

Control de documentos

  • Versión: 1.0
  • Fecha: 04/08/2024
  • Propietario del documento:
  • Aprobación:

Propósito

Este SOP describe los protocolos de seguridad para administrar sitios web de WordPress para protegerse contra el acceso no autorizado y posibles amenazas de seguridad. El enfoque principal es habilitar la autenticación de dos factores (2FA) y evitar que las contraseñas se guarden en los navegadores.

Alcance

Este procedimiento se aplica a todos los miembros del personal que administran, mantienen o acceden al backend del sitio web de WordPress.

Responsabilidades

  • Administradores del sitio web: Responsable de hacer cumplir los protocolos de seguridad.
  • Equipo de seguridad informática: Proporciona apoyo y supervisión de la implementación de medidas de seguridad.
  • Todos los usuarios: Cumplir con los protocolos de seguridad.

Procedimiento

  1. Autenticación de dos factores (2FA)
    • Implementación:
      1. Instala y activa un plugin de 2FA, como "Autenticación en Dos Procesos" o "Seguridad Wordfence".
      2. Navegue a la configuración del complemento y habilite 2FA para todos los roles de usuario.
      3. Elija el método 2FA preferido (por ejemplo, correo electrónico, SMS, aplicación de autenticación) y configúrelo en consecuencia.
    • Inscripción de usuarios:
      1. Informar a todos los usuarios sobre el requisito de 2FA a través de una comunicación oficial.
      2. Proporcione una guía paso a paso o una sesión de capacitación sobre cómo configurar 2FA.
      3. Establezca una fecha límite para que todos los usuarios habiliten 2FA en sus cuentas.
    • Monitoreo de cumplimiento:
      1. Revise regularmente las cuentas de usuario para asegurarse de que 2FA esté habilitado.
      2. Aborde cualquier problema de cumplimiento o dificultad del usuario con prontitud.
  2. No hay contraseñas guardadas en los navegadores
    • Directrices:
      1. Eduque a los usuarios sobre los riesgos de guardar contraseñas en los navegadores.
      2. Fomente el uso de un administrador de contraseñas seguro para almacenar contraseñas.
      3. Implemente soluciones técnicas para bloquear el guardado de contraseñas en los navegadores, si es posible.
    • Conformidad:
      1. Realizar auditorías periódicas para garantizar el cumplimiento de esta política.
      2. Proporcionar soporte y alternativas a los usuarios para una gestión segura de contraseñas.

Mejores prácticas adicionales

  • Actualizaciones periódicas: Asegúrese de que el núcleo, los temas y los complementos de WordPress se actualicen regularmente.
  • Contraseñas seguras: Aplique el uso de contraseñas seguras para todas las cuentas.
  • Limitar los intentos de inicio de sesión: Instale un complemento para limitar los intentos de inicio de sesión y bloquear las direcciones IP después de repetidos intentos fallidos.
  • Gestión de roles de usuario: Asigne los permisos mínimos necesarios para que los usuarios realicen sus tareas.
  • Certificado SSL: Utilice un certificado SSL para cifrar los datos transmitidos hacia y desde su sitio web.
  • Copias de seguridad del sitio web: Programe copias de seguridad periódicas de su sitio web y guárdelas de forma segura.
  • Auditorías de seguridad: Realice auditorías de seguridad periódicas y pruebas de penetración para identificar y abordar las vulnerabilidades.

Requisito de documentación del sitio web

  • Declaración de política: Cada miembro del equipo debe mantener un documento detallado para cada sitio de WordPress que administra. Este documento sirve como un registro completo que incluye, entre otros, la siguiente información:
    • Complementos: Una lista de todos los complementos instalados, su propósito y la fecha de la última actualización. Esta sección también debe tener en cuenta cualquier personalización o configuración específica relevante para el funcionamiento del complemento.
    • Usuarios actuales: Una lista actual de todos los usuarios con acceso al backend de WordPress, incluidos sus roles y la fecha en que se agregaron. Se deben realizar auditorías periódicas para garantizar que solo los usuarios autorizados tengan acceso.
    • Medidas de seguridad: Cualquier medida de seguridad específica implementada en el sitio, incluidas las configuraciones de 2FA, los certificados SSL y las reglas de firewall personalizadas.
    • Escaneos mensuales manuales: Un registro de escaneos mensuales manuales realizados con Immunify o una herramienta similar, incluida la fecha del escaneo y cualquier hallazgo o acción tomada como resultado.
    • Registro de cambios: Un registro de cambios detallado de cualquier actualización, modificación o acción significativa realizada en el sitio, incluida la fecha y la persona responsable.

Instalación y gestión de plugins

  • Declaración de política: Bajo ninguna circunstancia ningún miembro del equipo instalará, actualizará o eliminará complementos sin el permiso expreso por escrito de una autoridad designada dentro de la organización. Esta política está vigente para evitar cambios no autorizados que podrían comprometer la seguridad o la funcionalidad del sitio.
    • Proceso de excepciones: Las solicitudes de instalación o actualización de complementos deben enviarse por escrito a la autoridad designada, incluida una justificación de la solicitud y una evaluación de las posibles implicaciones de seguridad.
    • Plugins prohibidos: El uso de complementos de administrador de archivos o cualquier complemento conocido por presentar vulnerabilidades de seguridad está estrictamente prohibido. Esto incluye, entre otros, complementos que permiten la manipulación directa de archivos dentro del panel de control de WordPress.

Cumplimiento y aplicación

  • Monitoreo y Auditorías: Las auditorías periódicas garantizarán el cumplimiento de este POE. Esto incluye revisar la documentación del sitio web para verificar que esté completa, verificar la autorización de los complementos instalados y garantizar que se realicen escaneos manuales según sea necesario.
  • Incumplimiento: Cualquier desviación de este SOP se abordará de inmediato. El incumplimiento puede resultar en medidas disciplinarias, incluida la revocación de los privilegios de acceso al sitio web y la posible terminación del empleo.

Capacitación y concientización

  • Entrenamiento regular: Todos los miembros del equipo recibirán capacitación periódica sobre este SOP, incluida la importancia de la seguridad en la administración del sitio web, el proceso para las solicitudes de instalación de complementos y cómo realizar escaneos manuales efectivos.
  • Campañas de concientización: Las campañas de sensibilización en curso reforzarán la importancia de seguir los protocolos de seguridad y mantener una documentación detallada de las actividades de gestión del sitio web.

Requisito de conexión web segura

Declaración de política

Para garantizar el más alto nivel de seguridad y protegerse contra el acceso no autorizado y posibles violaciones de seguridad, todos los miembros del equipo deben acceder al backend de WordPress o realizar cualquier actividad de administración del sitio web a través de una conexión web segura. Las conexiones públicas a Internet, que son intrínsecamente inseguras y vulnerables a la interceptación, están estrictamente prohibidas.

Pautas de conexión segura

  • Uso de VPN: Al acceder al sitio web de forma remota, los usuarios deben utilizar una red privada virtual (VPN) para garantizar que su conexión sea segura y esté encriptada. El departamento de TI puede proporcionar recomendaciones para los servicios VPN aprobados.
  • Seguridad Wi-Fi: Para aquellos que acceden al sitio desde redes domésticas o privadas, asegúrese de que la red Wi-Fi esté protegida con cifrado WPA2 o WPA3 y que la contraseña de la red sea segura y única.
  • Prohibición de la red pública: Bajo ninguna circunstancia ningún miembro del equipo debe usar una red Wi-Fi pública (por ejemplo, cafeterías, bibliotecas, hoteles) para acceder al panel de control de WordPress, realizar actualizaciones o administrar contenido. Esto incluye el anclaje a través de redes Wi-Fi públicas.

Cumplimiento y aplicación

  • Monitoreo y detección: El equipo de seguridad informática implementará soluciones de monitorización para detectar y alertar sobre cualquier intento de acceso a las herramientas de gestión del sitio web desde redes inseguras o públicas.
  • Acciones disciplinarias: Cualquier miembro del equipo que infrinja esta política se enfrentará a medidas disciplinarias inmediatas, que pueden incluir el despido. Esta estricta aplicación es necesaria para proteger la integridad y seguridad de nuestros activos digitales.

Responsabilidad del usuario e informes

  • Responsabilidad personal: Todos los usuarios son personalmente responsables de garantizar la seguridad de su conexión web mientras acceden al backend del sitio web. El desconocimiento de la política o los desafíos técnicos no se considerarán excusas válidas para el incumplimiento.
  • Reporte de incidentes: Se recomienda a los usuarios que informen de incidentes en los que se hayan infringido los protocolos de conexión web segura, de forma intencionada o no. Los informes rápidos pueden ayudar a mitigar los posibles riesgos de seguridad.

Capacitación y concientización

  • Educación continua: La organización proporcionará educación y recursos continuos a todos los miembros del equipo sobre cómo proteger su conexión a Internet, los riesgos asociados con las redes públicas y cómo usar las VPN de manera efectiva.
  • Campañas de concientización sobre seguridad: Se llevarán a cabo campañas regulares de concienciación para reforzar la importancia de esta política y mantener a todos los miembros del equipo informados sobre las mejores prácticas para mantener una conexión web segura.
¿Te ha gustado este artículo?
¡Compártelo en las redes sociales!

¡Echa un vistazo a otra publicación de blog!

Volver a todas las entradas del blog