Profesional de WordPress: Una entrevista con el CEO de WP White Security, Robert Abela

Robert Abela, ¿quién eres tú? ¡Por favor presentate!

He estado interesado en las computadoras desde que era un niño. Cuando tenía alrededor de 8 o 9 años, mi tío trajo a casa un Atari y solíamos jugar en él.

Desde entonces, mi interés creció y obtuve mi primera computadora (Amiga 500+) en la que solía escribir algunos programas básicos.

Luego vino la PC (tenía una 486 DX4), y luego internet. Después de romper mi computadora demasiadas veces, dejé la escuela de ingeniería electrónica y obtuve mi primer trabajo de TI como probador de software en una compañía de software internacional. 14 años después de obtener mi primer trabajo corporativo, fundé mi propia empresa, WP White Security.

¿Cómo empezaste a usar WordPress? ¿Cuándo fue y qué estabas haciendo con él?

Conocí WordPress durante mi último trabajo corporativo de tiempo completo como gerente de producto en Acunetix. Necesitábamos un blog para documentar los hallazgos de nuestra investigación y comenzamos a usar WordPress.

Una vez que empezamos a usar WordPress, nos dimos cuenta de que había muchas oportunidades en la industria de la seguridad de WordPress. Dado que éramos una empresa de software de seguridad de aplicaciones web, incluso construimos un servicio de seguridad de WordPress llamado Website Defender. Lamentablemente, el producto nunca despegó, pero lo consideré una buena oportunidad para aprender aún más sobre el ecosistema de WordPress.

Todo esto fue suficiente para engancharme y así nació la idea de WP White Security. Dado que mi experiencia anterior era en seguridad, comencé WP White Security como un blog de seguridad . También ofrecimos servicios de seguridad de WordPress, como limpieza de sitios web pirateados, auditoría del código fuente, fortalecimiento de la seguridad de los sitios web de WordPress y otros trabajos similares.

Más tarde, comencé a aprender a escribir código y tuve el caso de uso perfecto: un complemento de registros de actividad de WordPress. Siempre deseé que los propietarios de sitios web tuvieran un complemento de este tipo instalado antes de que su sitio web fuera pirateado. ¡Hubiera hecho la vida mucho más fácil en ese entonces!

Esa fue toda la motivación que necesitaba para comenzar a desarrollar la primera versión de WP Activity Log. Cuando el complemento comenzó a cobrar fuerza, dejamos de brindar servicios de seguridad y nos enfocamos completamente en desarrollar complementos de WordPress. El resto es historia.

Ha desarrollado varios complementos de seguridad. ¿Por qué has decidido centrarte en WordPress?

Todo sucedió de forma natural.

Dado que mi experiencia era en seguridad de aplicaciones, anteriormente siempre trabajé para empresas de software de seguridad. Cuando descubrí WordPress en Acunetix, vi una buena oportunidad para involucrarme y hacer algo en WordPress.

Realmente nunca miré otros proyectos de CMS (como Joomla, Drupal, etc.) principalmente porque se sentía bien hacer algo en WordPress, participar en la comunidad y potencialmente hacer nuevos amigos, que es exactamente lo que sucedió.

¿Cuáles son las fortalezas y debilidades de este CMS? ¿WordPress es seguro? ¿Por qué la gente debería invertir en un complemento de seguridad ?

En mi opinión, los puntos fuertes de WordPress son:

• Está muy bien respaldado y documentado.
• Está respaldado por una comunidad grande y sorprendente.
• El núcleo de WordPress es muy estable, se actualiza con frecuencia y está bien mantenido
• Gracias a la gran cantidad de complementos y temas, puede crear cualquier tipo de sitio web con WordPress

El núcleo de WordPress es muy seguro. Los problemas de seguridad más comunes con los sitios web de WordPress son causados ​​por los propietarios/administradores del sitio. Por ejemplo;

• Los sitios web están mal administrados y tienen instalados complementos innecesarios, software desactualizado, privilegios de usuario mal asignados, contraseñas débiles, etc.
• Los usuarios sin experiencia no saben qué es necesario para mantener seguro un sitio de WordPress.

Francamente, mantener un sitio seguro no es ciencia espacial. Principalmente se trata de seguir algunas de las mejores prácticas básicas de seguridad.

¿Podría compartir 5 consejos rápidos para fortalecer la seguridad de un sitio web de WordPress?

• Mantenga todo actualizado, incluidos complementos, temas y, por supuesto, la versión de WordPress. Esto también se aplica a su computadora, teléfono inteligente y cualquier otro dispositivo que posea.
• Asigne los privilegios correctos. Los roles de usuario de WordPress tienen un papel importante que desempeñar en la seguridad general de su sitio web. El simple acto de asignar demasiadas capacidades a la persona equivocada puede tener consecuencias potencialmente desastrosas.
• Investigue los complementos antes de instalarlos. Además, solo instale los complementos que necesite. Algunas cosas a tener en cuenta al elegir complementos para su sitio web de WordPress son: calificaciones de complementos, reseñas de usuarios, número de instalaciones activas del complemento, soporte, capacidad de respuesta del desarrollador y documentación.
• Endurecimiento: hay muchas cosas que se pueden hacer cuando se trata de endurecimiento de WordPress. Sin embargo, puede comenzar con algunos pasos simples, como implementar 2FA, mejorar la seguridad de la contraseña y deshabilitar lo que no necesita.
• La seguridad debe ser parte de sus tareas diarias. La seguridad de WordPress no es una solución única, sino un proceso de prueba constante de sus defensas e iteraciones sobre eso para mejorar la postura de seguridad de su sitio web.

Centrémonos en sus complementos: ¿Por qué creó el registro de actividad de WP?

Se me ocurrió la idea cuando limpiaba sitios web pirateados. Pensé que los registros son vitales para administrar un sitio web, pero también son útiles durante el trabajo forense, donde pueden ayudarlo a comprender qué sucedió y qué se explotó.

Dado que WordPress no tiene registros, comencé a desarrollar WP Activity Log. A partir de hoy, tenemos seis complementos, todos los cuales se enfocan en la seguridad y administración de usuarios de WordPress.

Registro de actividad de WP : un completo complemento de registro de actividad y monitoreo de usuarios en tiempo real que ayuda a miles de administradores de WordPress y profesionales de la seguridad a controlar lo que sucede en sus sitios web.

Administrador de políticas de contraseñas : este complemento le permite configurar políticas de contraseñas seguras para su sitio web de WordPress y su red multisitio.

WP 2FA : un complemento de autenticación de dos factores muy fácil de usar con el que puede fortalecer la seguridad de su inicio de sesión de usuario de WordPress en solo segundos.

Monitor de cambios de archivos del sitio web : un complemento de monitoreo de integridad de archivos con una tecnología inteligente exclusiva que reconoce los cambios en el núcleo, los complementos y los temas de WordPress, por lo que no genera falsas alarmas de cambios de archivos legítimos.

Registros de actividad para MainWP : esta es una extensión de MainWP que los administradores y agencias usan para estar al tanto de lo que sucede en los sitios secundarios desde un portal central: el panel de control de MainWP.

Admin Notices Manager : este complemento administra los avisos de administración en su panel de WordPress. La idea es simple, tener un tablero libre de distracciones y leer los avisos de administración a su conveniencia, y nunca perderse un mensaje importante del desarrollador o del núcleo de WordPress.

De vez en cuando, la gente nos pregunta por qué desarrollamos complementos de un solo propósito en lugar de un complemento de seguridad "genérico". Una de las razones es la facilidad de uso. Los complementos de seguridad genéricos pueden ser un poco abrumadores para los usuarios.

Cuando desarrolla un complemento de un solo propósito, puede especializarse en esa área y concentrarse en crear funciones más sólidas, lo que, por supuesto, es bueno para los usuarios con necesidades específicas. Esto es lo mismo con todo lo demás. Usemos la analogía de la cámara del teléfono inteligente frente a la DSLR como ejemplo; aunque hoy en día la mayoría de los teléfonos tienen buenas cámaras, no se puede comparar una cámara de este tipo con una DSLR, porque no importa cuán buena sea la cámara de su teléfono, nunca tendrá la versatilidad, las funciones y las opciones de una cámara digital.

¿Cómo ves la evolución de WordPress en el futuro?

WordPress comenzó como una humilde plataforma de blogs y hoy en día se usa para blogs, sitios web, soluciones de comercio electrónico y también como una solución de back-end para muchos proyectos web.

Su cuota de mercado también está creciendo rápidamente, por lo que el futuro es definitivamente interesante.

Cuanto más se adopta, más interés hay en él. Esto significa que más empresas invertirán en el ecosistema de WordPress, lo que generalmente conduce a más innovación , nuevos productos y nuevas formas de usarlo, más integraciones y, sobre todo, un WordPress más seguro.

¿Qué pasa con el registro de actividad de WP?

Este año nos estamos enfocando en refactorizar el núcleo del complemento y sus características. Además de eso, al ser una solución de registro de actividad, también nos estamos enfocando en las integraciones, algo que requieren las empresas más grandes.

Por ejemplo, escribir registros en soluciones de terceros, integraciones con soluciones como Splunk y sistemas de registro central.

Además de eso, también tenemos una hoja de ruta interesante para todos los demás complementos, especialmente WP 2FA. Este año agregaremos muchas características nuevas, ¡así que estad atentos!