wordpress-sop-security-protocols

Procedimiento operativo estándar (SOP) de los protocolos de seguridad de sitios web de WordPress

Contenido

Medidas de seguridad que debe tener en cuenta al gestionar un sitio web en WordPress

En su continuo compromiso por salvaguardar los activos digitales y mejorar la seguridad de los sitios web, estamos implementando protocolos de seguridad integrales para la gestión de sitios web WordPress. Estas medidas están diseñadas para proteger contra el acceso no autorizado y garantizar que su equipo se adhiere a las mejores prácticas en seguridad digital.

Introducción a la autenticación de dos factores (2FA)

La piedra angular del protocolo de seguridad es el uso obligatorio de la autenticación de dos factores (2FA). Esta capa adicional de seguridad garantiza que el acceso al backend de WordPress está estrictamente controlado y sólo es accesible para el personal autorizado. Exigir un segundo formulario de verificación puede reducir significativamente el riesgo de acceso no autorizado.

Se acabaron las contraseñas en los navegadores

Para proteger aún más su entorno digital, aplique una política que impida guardar las contraseñas del navegador. Esta práctica, aunque cómoda, supone un riesgo para la seguridad. Lo mejor sería fomentar el uso de gestores de contraseñas seguros para almacenar las contraseñas, mejorando la seguridad y la comodidad sin comprometer la seguridad.

Conexiones web seguras obligatorias

Reconociendo las vulnerabilidades asociadas a las conexiones públicas a Internet, deberías exigir a todos los miembros del equipo que utilicen conexiones web seguras cuando gestionen tus sitios WordPress. Esto significa utilizar VPNs y evitar las redes Wi-Fi públicas a toda costa. Cualquier desviación de esta política será objeto de estrictas medidas disciplinarias para mantener sus altos estándares de seguridad.

Documentación detallada del sitio web

Cada miembro del equipo mantendrá un documento detallado para cada sitio de WordPress que gestione. Este documento incluirá una lista completa de los plugins instalados, los usuarios actuales y un registro de los análisis manuales mensuales, entre otra información crítica. El objetivo de esta iniciativa es mantener la transparencia y facilitar una gestión eficaz de sus sitios web.

Instalación y gestión de plugins

En su compromiso por mantener un entorno WordPress seguro, la instalación de nuevos plugins o la eliminación de los existentes requerirá a partir de ahora un permiso expreso por escrito. Esta política evita cambios no autorizados que podrían introducir vulnerabilidades. Los plugins del gestor de archivos, conocidos por sus riesgos de seguridad, están estrictamente prohibidos.

Comprométase con la seguridad

Estas mejoras del protocolo de gestión de sitios web de WordPress reflejan su inquebrantable compromiso con la seguridad. Con la aplicación de estas medidas, puede aspirar a proteger sus activos digitales y la integridad de la información que se le confía a usted, a sus clientes o a los miembros de su equipo.

Comprenda que adaptarse a estos cambios puede requerir un periodo de adaptación. Sin embargo, los beneficios a largo plazo -mayor seguridad, mejor cumplimiento y una infraestructura digital más sólida- compensan con creces los inconvenientes iniciales.

Hemos elaborado un Procedimiento Operativo Estándar (SOP) para la Plantilla de Protocolos de Seguridad de Sitios Web WordPress para que lo descargue aquí como PDF.

También se enumeran a continuación si desea copiar y pegar.


Procedimiento operativo estándar (SOP) para los protocolos de seguridad de sitios web de WordPress

Control de documentos

  • Versión: 1.0
  • Fecha: 04/08/2024
  • Propietario del documento:
  • Aprobación:

Propósito

Este PNT describe los protocolos de seguridad para la gestión de sitios web de WordPress con el fin de protegerlos frente a accesos no autorizados y posibles amenazas a la seguridad. Se centra principalmente en habilitar la autenticación de dos factores (2FA) y evitar que las contraseñas se guarden en los navegadores.

Alcance

Este procedimiento se aplica a todos los miembros del personal que gestionen, mantengan o accedan al backend del sitio web de WordPress.

Responsabilidades

  • Administradores de sitios web: Responsables de hacer cumplir los protocolos de seguridad.
  • Equipo de seguridad informática: Presta apoyo y supervisa la aplicación de medidas de seguridad.
  • Todos los usuarios: Cumplir los protocolos de seguridad.

Procedimiento

  1. Autenticación de dos factores (2FA)
    • Implantación:
      1. Instale y active un plugin 2FA, como "Two Factor Authentication" o "Wordfence Security".
      2. Vaya a la configuración del plugin y active 2FA para todos los roles de usuario.
      3. Elija el método 2FA preferido (por ejemplo, correo electrónico, SMS, aplicación de autenticación) y configúrelo en consecuencia.
    • Inscripción de usuarios:
      1. Informar a todos los usuarios sobre el requisito 2FA a través de una comunicación oficial.
      2. Proporcione una guía paso a paso o una sesión de formación sobre la configuración de 2FA.
      3. Establezca un plazo para que todos los usuarios activen la 2FA en sus cuentas.
    • Control del cumplimiento:
      1. Revise periódicamente las cuentas de usuario para asegurarse de que la función 2FA está activada.
      2. Abordar con prontitud cualquier problema de cumplimiento o dificultad de los usuarios.
  2. No se guardan contraseñas en los navegadores
    • Directrices:
      1. Eduque a los usuarios sobre los riesgos de guardar contraseñas en los navegadores.
      2. Fomente el uso de un gestor de contraseñas seguro para almacenarlas.
      3. Aplique soluciones técnicas para bloquear el almacenamiento de contraseñas en los navegadores, si es posible.
    • Conformidad:
      1. Realizar auditorías periódicas para garantizar el cumplimiento de esta política.
      2. Proporcionar apoyo y alternativas a los usuarios para la gestión segura de contraseñas.

Buenas prácticas adicionales

  • Actualizaciones periódicas: Asegúrese de que el núcleo, los temas y los plugins de WordPress se actualizan con regularidad.
  • Contraseñas seguras: Imponga el uso de contraseñas seguras para todas las cuentas.
  • Limitar los intentos de inicio de sesión: Instala un plugin para limitar los intentos de inicio de sesión y bloquear direcciones IP tras repetidos intentos fallidos.
  • Gestión de roles de usuario: Asigna los permisos mínimos necesarios para que los usuarios realicen sus funciones.
  • Certificado SSL: Utilice un certificado SSL para cifrar los datos transmitidos desde y hacia su sitio web.
  • Copias de seguridad de sitios web: Programe copias de seguridad periódicas de su sitio web y almacénelas de forma segura.
  • Auditorías de seguridad: Realice auditorías de seguridad y pruebas de penetración periódicas para identificar y abordar las vulnerabilidades.

Requisitos de documentación del sitio web

  • Declaración política: Cada miembro del equipo debe mantener un documento detallado para cada sitio de WordPress que gestione. Este documento sirve como un registro exhaustivo que incluye, pero no se limita a, la siguiente información:
    • Plugins: Una lista de todos los plugins instalados, su finalidad y la fecha de la última actualización. En esta sección también se debe anotar cualquier personalización o configuración específica relevante para el funcionamiento del plugin.
    • Usuarios actuales: Una lista actualizada de todos los usuarios con acceso al backend de WordPress, incluyendo sus roles y la fecha en que fueron añadidos. Deben realizarse auditorías periódicas para garantizar que solo tienen acceso los usuarios autorizados.
    • Medidas de seguridad: Cualquier medida de seguridad específica implementada en el sitio, incluyendo configuraciones 2FA, certificados SSL y reglas de firewall personalizadas.
    • Análisis manuales mensuales: Un registro de los escaneos manuales mensuales realizados utilizando Immunify o una herramienta similar, incluyendo la fecha del escaneo y cualquier hallazgo o acción tomada como resultado.
    • Registro de cambios: Un registro de cambios detallado de cualquier actualización, modificación o acción significativa realizada en el sitio, incluyendo la fecha y la persona responsable.

Instalación y gestión de plugins

  • Declaración política: Bajo ninguna circunstancia ningún miembro del equipo instalará, actualizará o eliminará plugins sin el permiso expreso y por escrito de una autoridad designada dentro de la organización. Esta política se aplica para evitar cambios no autorizados que puedan comprometer la seguridad o la funcionalidad del sitio.
    • Proceso de excepciones: Las solicitudes de instalación o actualización de plugins deben presentarse por escrito a la autoridad designada, incluyendo una justificación de la solicitud y una evaluación de las posibles implicaciones de seguridad.
    • Plugins prohibidos: El uso de plugins de gestión de archivos o cualquier plugin conocido por plantear vulnerabilidades de seguridad está estrictamente prohibido. Esto incluye, pero no se limita a, plugins que permiten la manipulación directa de archivos dentro del panel de WordPress.

Cumplimiento y ejecución

  • Supervisión y auditorías: Las auditorías periódicas garantizarán el cumplimiento de este PNT. Esto incluye la revisión de la documentación del sitio web para comprobar que está completa, la verificación de la autorización de los plugins instalados y la realización de análisis manuales según sea necesario.
  • Incumplimiento: Cualquier desviación de este PNT se tratará inmediatamente. El incumplimiento puede dar lugar a medidas disciplinarias, incluida la revocación de los privilegios de acceso al sitio web y el posible despido.

Formación y sensibilización

  • Formación periódica: Todos los miembros del equipo recibirán formación periódica sobre este PNT, incluida la importancia de la seguridad en la gestión de sitios web, el proceso para las solicitudes de instalación de plugins y cómo realizar escaneos manuales eficaces.
  • Campañas de sensibilización: Las campañas de concienciación en curso reforzarán la importancia de seguir los protocolos de seguridad y mantener una documentación detallada de las actividades de gestión del sitio web.

Requisito de conexión web segura

Declaración política

Para garantizar el máximo nivel de seguridad y protegerse frente a accesos no autorizados y posibles violaciones de la seguridad, todos los miembros del equipo deben acceder al backend de WordPress o realizar cualquier actividad de gestión del sitio web a través de una conexión web segura. Las conexiones públicas a Internet, que son intrínsecamente inseguras y vulnerables a la interceptación, están estrictamente prohibidas.

Directrices de conexión segura

  • Uso de VPN: Al acceder al sitio web de forma remota, los usuarios deben utilizar una Red Privada Virtual (VPN) para garantizar que su conexión sea segura y cifrada. El departamento de TI puede proporcionar recomendaciones sobre servicios VPN aprobados.
  • Seguridad Wi-Fi: Para quienes accedan al sitio desde casa o desde redes privadas, asegúrese de que la red Wi-Fi está protegida con cifrado WPA2 o WPA3 y de que la contraseña de la red es segura y única.
  • Prohibición de redes públicas: Bajo ninguna circunstancia ningún miembro del equipo debe utilizar una red Wi-Fi pública (por ejemplo, cafeterías, bibliotecas, hoteles) para acceder al panel de WordPress, realizar actualizaciones o gestionar contenidos. Esto incluye el tethering a través de redes Wi-Fi públicas.

Cumplimiento y ejecución

  • Vigilancia y detección: El equipo de seguridad informática implementará soluciones de monitorización para detectar y alertar sobre cualquier intento de acceso a las herramientas de gestión del sitio web desde redes inseguras o públicas.
  • Medidas disciplinarias: Cualquier miembro del equipo que infrinja esta política se enfrentará a medidas disciplinarias inmediatas, incluido el despido. Este estricto cumplimiento es necesario para proteger la integridad y seguridad de nuestros activos digitales.

Responsabilidad de los usuarios e informes

  • Responsabilidad personal: Todos los usuarios son personalmente responsables de garantizar la seguridad de su conexión web mientras acceden al backend del sitio web. El desconocimiento de la política o los problemas técnicos no se considerarán excusas válidas para su incumplimiento.
  • Notificación de incidentes: Se anima a los usuarios a notificar los incidentes en los que los protocolos de conexión web segura puedan haber sido violados, intencionadamente o no. Una notificación rápida puede ayudar a mitigar posibles riesgos de seguridad.

Formación y sensibilización

  • Formación continua: La organización proporcionará formación continua y recursos a todos los miembros del equipo sobre cómo proteger su conexión a Internet, los riesgos asociados a las redes públicas y cómo utilizar las VPN de forma eficaz.
  • Campañas de concienciación sobre seguridad: Se llevarán a cabo campañas periódicas de concienciación para reforzar la importancia de esta política y mantener a todos los miembros del equipo actualizados sobre las mejores prácticas para mantener una conexión web segura.

¿Le gusta este artículo?
Compártelo en las redes sociales

¡Echa un vistazo a otra entrada del blog!

Volver a todas las entradas del blog
Suscríbase a nuestro boletín
Copyright © 2024 Todos los derechos reservados a Bright Plugins
flecha-izquierdaflecha-derecha linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram