BrightPlugins_Logo_Horizontal

¡El Viernes Negro ya está aquí! 30% de descuento en todos nuestros plugins Pro

cupón: black-friday-30off
Comprar ahora
wordpress-sop-security-protocols

Procedimiento operativo estándar (SOP) de los protocolos de seguridad de sitios web de WordPress

Contenido

Medidas de seguridad que debe tener en cuenta al gestionar un sitio web en WordPress

En su continuo compromiso por salvaguardar los activos digitales y mejorar la seguridad de los sitios web, estamos implementando protocolos de seguridad integrales para la gestión de sitios web WordPress. Estas medidas están diseñadas para proteger contra el acceso no autorizado y garantizar que su equipo se adhiere a las mejores prácticas en seguridad digital.

Introducción a la autenticación de dos factores (2FA)

La piedra angular del protocolo de seguridad es el uso obligatorio de la autenticación de dos factores (2FA). Esta capa adicional de seguridad garantiza que el acceso al backend de WordPress está estrictamente controlado y sólo es accesible para el personal autorizado. Exigir un segundo formulario de verificación puede reducir significativamente el riesgo de acceso no autorizado.

Se acabaron las contraseñas en los navegadores

Para proteger aún más su entorno digital, aplique una política que impida guardar las contraseñas del navegador. Esta práctica, aunque cómoda, supone un riesgo para la seguridad. Lo mejor sería fomentar el uso de gestores de contraseñas seguros para almacenar las contraseñas, mejorando la seguridad y la comodidad sin comprometer la seguridad.

Conexiones web seguras obligatorias

Reconociendo las vulnerabilidades asociadas a las conexiones públicas a Internet, deberías exigir a todos los miembros del equipo que utilicen conexiones web seguras cuando gestionen tus sitios WordPress. Esto significa utilizar VPNs y evitar las redes Wi-Fi públicas a toda costa. Cualquier desviación de esta política será objeto de estrictas medidas disciplinarias para mantener sus altos estándares de seguridad.

Documentación detallada del sitio web

Cada miembro del equipo mantendrá un documento detallado para cada sitio de WordPress que gestione. Este documento incluirá una lista completa de los plugins instalados, los usuarios actuales y un registro de los análisis manuales mensuales, entre otra información crítica. El objetivo de esta iniciativa es mantener la transparencia y facilitar una gestión eficaz de sus sitios web.

Instalación y gestión de plugins

En su compromiso por mantener un entorno WordPress seguro, la instalación de nuevos plugins o la eliminación de los existentes requerirá a partir de ahora un permiso expreso por escrito. Esta política evita cambios no autorizados que podrían introducir vulnerabilidades. Los plugins del gestor de archivos, conocidos por sus riesgos de seguridad, están estrictamente prohibidos.

Comprométase con la seguridad

Estas mejoras del protocolo de gestión de sitios web de WordPress reflejan su inquebrantable compromiso con la seguridad. Con la aplicación de estas medidas, puede aspirar a proteger sus activos digitales y la integridad de la información que se le confía a usted, a sus clientes o a los miembros de su equipo.

Comprenda que adaptarse a estos cambios puede requerir un periodo de adaptación. Sin embargo, los beneficios a largo plazo -mayor seguridad, mejor cumplimiento y una infraestructura digital más sólida- compensan con creces los inconvenientes iniciales.

Hemos elaborado un Procedimiento Operativo Estándar (SOP) para la Plantilla de Protocolos de Seguridad de Sitios Web WordPress para que lo descargue aquí como PDF.

También se enumeran a continuación si desea copiar y pegar.

Procedimiento operativo estándar (SOP) para los protocolos de seguridad de sitios web de WordPress

Control de documentos

  • Versión: 1.0
  • Fecha: 04/08/2024
  • Propietario del documento:
  • Aprobación:

Propósito

Este PNT describe los protocolos de seguridad para la gestión de sitios web de WordPress con el fin de protegerlos frente a accesos no autorizados y posibles amenazas a la seguridad. Se centra principalmente en habilitar la autenticación de dos factores (2FA) y evitar que las contraseñas se guarden en los navegadores.

Alcance

Este procedimiento se aplica a todos los miembros del personal que gestionen, mantengan o accedan al backend del sitio web de WordPress.

Responsabilidades

  • Administradores de sitios web: Responsables de hacer cumplir los protocolos de seguridad.
  • Equipo de seguridad informática: Presta apoyo y supervisa la aplicación de medidas de seguridad.
  • Todos los usuarios: Cumplir los protocolos de seguridad.

Procedimiento

  1. Autenticación de dos factores (2FA)
    • Implantación:
      1. Instale y active un plugin 2FA, como "Two Factor Authentication" o "Wordfence Security".
      2. Vaya a la configuración del plugin y active 2FA para todos los roles de usuario.
      3. Elija el método 2FA preferido (por ejemplo, correo electrónico, SMS, aplicación de autenticación) y configúrelo en consecuencia.
    • Inscripción de usuarios:
      1. Informar a todos los usuarios sobre el requisito 2FA a través de una comunicación oficial.
      2. Proporcione una guía paso a paso o una sesión de formación sobre la configuración de 2FA.
      3. Establezca un plazo para que todos los usuarios activen la 2FA en sus cuentas.
    • Control del cumplimiento:
      1. Revise periódicamente las cuentas de usuario para asegurarse de que la función 2FA está activada.
      2. Abordar con prontitud cualquier problema de cumplimiento o dificultad de los usuarios.
  2. No se guardan contraseñas en los navegadores
    • Directrices:
      1. Eduque a los usuarios sobre los riesgos de guardar contraseñas en los navegadores.
      2. Fomente el uso de un gestor de contraseñas seguro para almacenarlas.
      3. Aplique soluciones técnicas para bloquear el almacenamiento de contraseñas en los navegadores, si es posible.
    • Conformidad:
      1. Realizar auditorías periódicas para garantizar el cumplimiento de esta política.
      2. Proporcionar apoyo y alternativas a los usuarios para la gestión segura de contraseñas.

Buenas prácticas adicionales

  • Actualizaciones periódicas: Asegúrese de que el núcleo, los temas y los plugins de WordPress se actualizan con regularidad.
  • Contraseñas seguras: Imponga el uso de contraseñas seguras para todas las cuentas.
  • Limitar los intentos de inicio de sesión: Instala un plugin para limitar los intentos de inicio de sesión y bloquear direcciones IP tras repetidos intentos fallidos.
  • Gestión de roles de usuario: Asigna los permisos mínimos necesarios para que los usuarios realicen sus funciones.
  • Certificado SSL: Utilice un certificado SSL para cifrar los datos transmitidos desde y hacia su sitio web.
  • Copias de seguridad de sitios web: Programe copias de seguridad periódicas de su sitio web y almacénelas de forma segura.
  • Auditorías de seguridad: Realice auditorías de seguridad y pruebas de penetración periódicas para identificar y abordar las vulnerabilidades.

Requisitos de documentación del sitio web

  • Declaración política: Cada miembro del equipo debe mantener un documento detallado para cada sitio de WordPress que gestione. Este documento sirve como un registro exhaustivo que incluye, pero no se limita a, la siguiente información:
    • Plugins: Una lista de todos los plugins instalados, su finalidad y la fecha de la última actualización. En esta sección también se debe anotar cualquier personalización o configuración específica relevante para el funcionamiento del plugin.
    • Usuarios actuales: Una lista actualizada de todos los usuarios con acceso al backend de WordPress, incluyendo sus roles y la fecha en que fueron añadidos. Deben realizarse auditorías periódicas para garantizar que solo tienen acceso los usuarios autorizados.
    • Medidas de seguridad: Cualquier medida de seguridad específica implementada en el sitio, incluyendo configuraciones 2FA, certificados SSL y reglas de firewall personalizadas.
    • Análisis manuales mensuales: Un registro de los escaneos manuales mensuales realizados utilizando Immunify o una herramienta similar, incluyendo la fecha del escaneo y cualquier hallazgo o acción tomada como resultado.
    • Registro de cambios: Un registro de cambios detallado de cualquier actualización, modificación o acción significativa realizada en el sitio, incluyendo la fecha y la persona responsable.

Instalación y gestión de plugins

  • Declaración política: Bajo ninguna circunstancia ningún miembro del equipo instalará, actualizará o eliminará plugins sin el permiso expreso y por escrito de una autoridad designada dentro de la organización. Esta política se aplica para evitar cambios no autorizados que puedan comprometer la seguridad o la funcionalidad del sitio.
    • Proceso de excepciones: Las solicitudes de instalación o actualización de plugins deben presentarse por escrito a la autoridad designada, incluyendo una justificación de la solicitud y una evaluación de las posibles implicaciones de seguridad.
    • Plugins prohibidos: El uso de plugins de gestión de archivos o cualquier plugin conocido por plantear vulnerabilidades de seguridad está estrictamente prohibido. Esto incluye, pero no se limita a, plugins que permiten la manipulación directa de archivos dentro del panel de WordPress.

Cumplimiento y ejecución

  • Supervisión y auditorías: Las auditorías periódicas garantizarán el cumplimiento de este PNT. Esto incluye la revisión de la documentación del sitio web para comprobar que está completa, la verificación de la autorización de los plugins instalados y la realización de análisis manuales según sea necesario.
  • Incumplimiento: Cualquier desviación de este PNT se tratará inmediatamente. El incumplimiento puede dar lugar a medidas disciplinarias, incluida la revocación de los privilegios de acceso al sitio web y el posible despido.

Formación y sensibilización

  • Formación periódica: Todos los miembros del equipo recibirán formación periódica sobre este PNT, incluida la importancia de la seguridad en la gestión de sitios web, el proceso para las solicitudes de instalación de plugins y cómo realizar escaneos manuales eficaces.
  • Campañas de sensibilización: Las campañas de concienciación en curso reforzarán la importancia de seguir los protocolos de seguridad y mantener una documentación detallada de las actividades de gestión del sitio web.

Requisito de conexión web segura

Declaración política

Para garantizar el máximo nivel de seguridad y protegerse frente a accesos no autorizados y posibles violaciones de la seguridad, todos los miembros del equipo deben acceder al backend de WordPress o realizar cualquier actividad de gestión del sitio web a través de una conexión web segura. Las conexiones públicas a Internet, que son intrínsecamente inseguras y vulnerables a la interceptación, están estrictamente prohibidas.

Directrices de conexión segura

  • Uso de VPN: Al acceder al sitio web de forma remota, los usuarios deben utilizar una Red Privada Virtual (VPN) para garantizar que su conexión sea segura y cifrada. El departamento de TI puede proporcionar recomendaciones sobre servicios VPN aprobados.
  • Seguridad Wi-Fi: Para quienes accedan al sitio desde casa o desde redes privadas, asegúrese de que la red Wi-Fi está protegida con cifrado WPA2 o WPA3 y de que la contraseña de la red es segura y única.
  • Prohibición de redes públicas: Bajo ninguna circunstancia ningún miembro del equipo debe utilizar una red Wi-Fi pública (por ejemplo, cafeterías, bibliotecas, hoteles) para acceder al panel de WordPress, realizar actualizaciones o gestionar contenidos. Esto incluye el tethering a través de redes Wi-Fi públicas.

Cumplimiento y ejecución

  • Vigilancia y detección: El equipo de seguridad informática implementará soluciones de monitorización para detectar y alertar sobre cualquier intento de acceso a las herramientas de gestión del sitio web desde redes inseguras o públicas.
  • Medidas disciplinarias: Cualquier miembro del equipo que infrinja esta política se enfrentará a medidas disciplinarias inmediatas, incluido el despido. Este estricto cumplimiento es necesario para proteger la integridad y seguridad de nuestros activos digitales.

Responsabilidad de los usuarios e informes

  • Responsabilidad personal: Todos los usuarios son personalmente responsables de garantizar la seguridad de su conexión web mientras acceden al backend del sitio web. El desconocimiento de la política o los problemas técnicos no se considerarán excusas válidas para su incumplimiento.
  • Notificación de incidentes: Se anima a los usuarios a notificar los incidentes en los que los protocolos de conexión web segura puedan haber sido violados, intencionadamente o no. Una notificación rápida puede ayudar a mitigar posibles riesgos de seguridad.

Formación y sensibilización

  • Formación continua: La organización proporcionará formación continua y recursos a todos los miembros del equipo sobre cómo proteger su conexión a Internet, los riesgos asociados a las redes públicas y cómo utilizar las VPN de forma eficaz.
  • Campañas de concienciación sobre seguridad: Se llevarán a cabo campañas periódicas de concienciación para reforzar la importancia de esta política y mantener a todos los miembros del equipo actualizados sobre las mejores prácticas para mantener una conexión web segura.
¿Le gusta este artículo?
Compártelo en las redes sociales

¡Echa un vistazo a otra entrada del blog!

Guía para actualizar WordPress y correcciones clave en la versión 6.6.1
Comprender la importancia de las actualizaciones Las actualizaciones periódicas de WordPress son vitales para la seguridad, la funcionalidad y el rendimiento del sitio. Corrigen vulnerabilidades, mejoran funciones y garantizan la compatibilidad con los últimos estándares web. Preparación para la actualización Proceso de actualización manual Proceso de actualización automática Comprobaciones posteriores a la actualización Manejo de problemas de actualización Puntos esenciales Correcciones y mejoras clave en WordPress 6.6.1 Descripción general de [...]
Seguir leyendo
WordPress en 2024: Principales actualizaciones e innovaciones
Principales versiones y características En 2024, WordPress planea tres actualizaciones importantes: la versión 6.5 en marzo, la 6.6 en julio y la 6.7 en noviembre. Estas actualizaciones continuarán la Fase 3 del proyecto Gutenberg, centrándose en la mejora de la colaboración en tiempo real, la gestión de la tipografía y la mejora de los flujos de trabajo de publicación. Optimización de la búsqueda por voz Con la búsqueda por voz cada vez más popular, WordPress integrará la voz [...]
Seguir leyendo
Cómo mejorar la seguridad de su sitio web: Guía completa
Asegurar un sitio WordPress es crucial para protegerlo de diversas amenazas y vulnerabilidades. Estos son algunos pasos esenciales para mejorar la seguridad de su sitio WordPress basados en directrices de múltiples fuentes: Medidas de seguridad clave Consejos de seguridad adicionales Resumen de puntos clave Siguiendo estos pasos, puedes mejorar significativamente la seguridad de tu sitio WordPress, protegiendo [...]
Seguir leyendo
Cuáles son algunos de los problemas de seguridad más comunes de WordPress
WordPress es una plataforma potente y muy utilizada, pero su popularidad también la convierte en objetivo de ciberataques. Garantizar la seguridad de tu sitio WordPress es crucial para proteger tus datos, mantener tu reputación y ofrecer una experiencia segura a tus usuarios. Estos son algunos de los problemas de seguridad más comunes a los que se enfrentan los sitios de WordPress y prácticas [...]
Seguir leyendo
Wordpress-global-reach-estado-del-palabra-2024-en-tokyo
Alcance mundial de WordPress: State of the Word 2024 en Tokio
En un anuncio histórico, el cofundador de WordPress, Matt Mullenweg, ha revelado que el Estado de la Palabra 2024 se celebrará en Tokio (Japón) el 16 de diciembre. Se trata de la segunda vez que la conferencia anual se celebra fuera de Norteamérica, después de que el año pasado tuviera lugar en Madrid (España). La elección del lugar pone de relieve [...]
Seguir leyendo
por qué-puede-necesitar-el-plugin-de-woocommerce-marcas
,
Por qué necesitas el plugin WooCommerce Brands
El plugin WooCommerce Brands añade funcionalidad de marca a tu tienda WooCommerce, permitiéndote organizar y mostrar productos por sus fabricantes, diseñadores o marcas. Esta funcionalidad proporciona varios beneficios y difiere del simple uso de categorías de productos en algunos aspectos clave: Por qué puede necesitar el plugin WooCommerce Brands Reconocimiento de marca: Los clientes a menudo compran basándose [...]
Seguir leyendo
1 2 3 ... 6
Volver a todas las entradas del blog
BrightPlugins_Logo_Horizontal
Suscríbase a nuestro boletín

Suscríbase a

Este campo tiene fines de validación y no debe modificarse.
Visita nuestro FacebookVisite nuestro InstagramVisite nuestro TwitterVisite nuestro LinkedInVisite nuestro canal de YouTube
Copyright © 2024 Todos los derechos reservados a Bright Plugins
flecha-izquierdaflecha-derecha linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram