El jefe de seguridad de WordPress muestra los esfuerzos del equipo para mejorar la seguridad de casi un tercio de todos los sitios de Internet
- Jefe de seguridad de WordPress anuncia nuevas medidas de ciberseguridad
- Continuará el soporte a versiones anteriores, pero nuevo enfoque se centrará en poner al usuario sobre el software
- Demuestra nueva solución para demostrar limpieza de puntaje
La mayor batalla del equipo de seguridad de WordPress no es contra los hackers sino contra sus propios usuarios, millones de los cuales continúan administrando sitios web en versiones anteriores del famoso CMS (Sistema de Administrador de Contenidos por sus siglas en Inglés), y que regularmente no aplican las actualizaciones al núcleo del CMS, los plugins o plantillas.
Hablando en la conferencia de seguridad cibernética de DerbyCon a principios de este mes, el líder del Equipo de Seguridad de WordPress, Aaron Campbell, le dio al público una idea de cómo el equipo de WordPress ha estado abordando este problema durante los últimos años.
Describió este proceso como un cambio de enfoque. Él dice que el equipo de WordPress decidió hace unos años que, en lugar de mantener el software seguro parcheando errores, se centrarían en mantener a los usuarios seguros, tanto a través del software como de sus acciones.
Los usuarios son más importantes que el software
«La primera lección que aprendimos fue que los usuarios son más importantes que el software», dijo Campbell frente a una audiencia en vivo.
«Hubo un par de cosas pequeñas en las que enfocarse en los usuarios nos brindó cierta claridad y se simplificó un poco», agregó.
El problema principal fue que millones de usuarios todavía utilizan versiones anteriores de WordPress para administrar sus sitios. Esas versiones anteriores eran técnicamente seguras, pero los usuarios que ejecutaban esos sitios enfrentaban más riesgos que los usuarios que ejecutaban versiones más recientes.
Un problema difícil de responder
Después de largas discusiones internas, el equipo de WordPress decidió seguir soportando estas versiones anteriores sin especificar un término en la vida útil de dichas versiones. El motivo principal es porque muchos usuarios todavía las están usando.
Esta decisión vino con sus inconvenientes y la más grande fue la necesidad de respaldar los parches de seguridad recientes para versiones anteriores de WordPress, algunas de las cuales tienen ya cinco años.
Campbell se quejó del proceso de respaldo de parches. «¡Realmente apesta! Pero es absolutamente lo mejor para nuestros usuarios. Y dado que es ahí donde establecemos la medida de nuestro éxito, eso es lo que hacemos».
«Estamos trabajando en posibles formas de reducir esa brecha, pero no queremos hacerlo eliminando el soporte para versiones anteriores que la gente todavía está usando», agregó.
«En lugar de eso, estamos trabajando para descubrir formas de actualizar esas versiones automáticamente sin romper los sitios de los usuarios, y esencialmente estamos trabajando para intentar eliminar de la existencia esas versiones en Internet y hacer que la gente avance.»
«No es un problema fácil de resolver, pero estamos trabajando en ello», dijo Campbell.
Una de las formas en que el equipo de WordPress ha estado abordando el problema de las versiones anteriores de WordPress es a través de las actualizaciones automáticas, un mecanismo introducido con WordPress 3.7, lanzado en 2013.
Las actualizaciones automáticas están activadas de forma predeterminada para todas las instalaciones nuevas y han desempeñado el papel más importante en mantener la mayor parte de la base de sitio de WordPress en las versiones más recientes, aunque algunos percentiles permanecen en las versiones anteriores de 3.xy 2.x
Una Industria Colaborativa
Para el resto de los usuarios, Campbell dice que el equipo de WordPress se está enfocando en la educación del usuario y las colaboraciones con la industria de la tecnología en general.
Por ejemplo, el equipo de seguridad de WordPress ha estado trabajando con Google para mostrar materiales de capacitación dentro del panel de la Consola de Búsqueda de Google, para advertir y ayudar a los usuarios a migrar a versiones anteriores de sus sitios.
El equipo de WordPress también ha creado una alerta que se muestra dentro del propio panel de WordPress. Esta alerta aparece cuando los usuarios están utilizando una versión anterior de PHP para sus sitios. La idea es que al atraer a los usuarios para que actualicen su entorno de alojamiento PHP, los usuarios también buscarán actualizar WordPress.
Pero además de centrarse en los usuarios de WordPress a las versiones recientes, el equipo de WordPress también ha trabajado para aumentar la seguridad de todo el ecosistema en su conjunto.
Campbell dice que el equipo de WordPress ha estado colaborando con los autores de los complementos más populares en su repositorio de complementos. Ha estado ayudando a estos complementos a seguir las mejores prácticas de codificación.
Esto ha producido grandes resultados, dijo Campbell, ya que los plugins más pequeños ahora han comenzado a seguir (o robar) las técnicas de codificación utilizadas por estos proyectos más grandes, e indirectamente han aumentado la seguridad de sus propios plugins.
Además, el equipo de seguridad de WordPress también ha estado trabajando con Google, XWP y algunas otras compañías en un proyecto llamado Tide que mostraría una calificación de cinco estrellas en cada plugin.
Llamada «puntuación Tide», esta clasificación está destinada a brindar a los usuarios un indicador de la calidad y seguridad del código delplugin, y si ese código respeta las técnicas modernas de codificación.
Campbell dice que el nombre del proyecto proviene del concepto de que «elevar las aguas en todas partes levanta todos los barcos».
Pero además de un cambio en el enfoque del software a los usuarios, el líder de seguridad de WordPress también admitió que también se necesitaban mejoras dentro del propio equipo de seguridad, que en los últimos años ha pasado por un proceso de modernización.
Uno de los temas que abordaron fue el de sus herramientas internas. Campbell dijo que el uso de sistemas obsoletos como listas de correo y canales de IRC ha llevado a muchas situaciones en las que investigadores externos informaron fallas de seguridad, pero a medida que las discusiones sobre cómo corregir el error de seguridad avanzaban dentro de la lista de correo interna, el investigador externo se mantuvo al margen del bucle.
Estos incidentes provocaron que los investigadores de seguridad concluyeran que el equipo de WordPress no se preocupa por los errores de seguridad, una opinión que a veces terminó en informes de noticias o enojadas críticas en las redes sociales.
Campbell dijo que el equipo de WordPress ha mejorado mucho con el tiempo en el manejo de informes de errores al cambiarse a herramientas más modernas como Slack, Trac o HackerOne, y al incorporar nuevas personas que quizás no eran tan buenas para corregir fallas de seguridad, pero que eran mejores en Comunicándose con investigadores externos.
Aquí el video por si te interesa.
WordPress es el sistema de gestión de contenido de sitios web más grande de la actualidad, con una cuota de mercado de casi el 60 por ciento entre todos los CMS, y actualmente está instalado en más del 32 por ciento de todos los sitios de Internet, según W3Techs.
Referencia: https://www.zdnet.com/article/wordpress-team-working-on-wiping-older-versions-from-existence-on-the-internet/