PORTAL DE CLIENTES
LineasDNS
el12/06/2024

Introducción de WP Toolkit V6.4: Protección de vulnerabilidad con PatchStack.

7 min de lectura


Como se prometió en el anuncio V6.3, WP Toolkit ha vuelto nuevamente con otro lanzamiento importante. ¡Con V6.4 te presentamos, protección de vulnerabilidad y más! Repasemos los cambios en detalle juntos.

Protección de vulnerabilidad: salvaguardar sus sitios de WordPress

Nuestra nueva oferta de WP Guardian finalmente llega a WP Toolkit, que brinda protección de vulnerabilidad para los sitios de WordPress. Este es un gran cambio para la seguridad de WordPress y hay mucho que desempacar aquí. ¿Qué es la protección de vulnerabilidad? ¿Cómo funciona? ¿Qué problemas pretenden resolver? ¿Por qué es importante?

Abordar los desafíos clave:

  1. Nuevas vulnerabilidades: Cuando las nuevas vulnerabilidades levantan sus cabezas, los dominios de WordPress son más frágiles, con correcciones a menudo rezagadas. La protección de vulnerabilidad garantiza la seguridad del sitio durante este período crítico.
  2. Sitios abandonados: Los dominios descuidados, dejados para languidecer o abandonados, presentan una amenaza para la integridad del servidor y el dominio. La protección de vulnerabilidad erige barreras contra tales dominios que se metamorfosis en posibles amenazas para todo el servidor.


¿Cómo funciona?

La protección es un servicio que trabaja continuamente en segundo plano, como un antivirus o un firewall. Habilitar la protección en un sitio instala un complemento de trabajadores pequeños dentro de su WordPress. Este complemento monitorea sus activos de WordPress (complementos, temas y núcleo de WordPress), verificando constantemente si tienen vulnerabilidades peligrosas. Cuando se encuentra dicha vulnerabilidad, el complemento descarga y aplica automáticamente reglas de protección especiales que evitan que esta vulnerabilidad sea explotada en el sitio. Después de actualizar el activo vulnerable y la actualización elimina la vulnerabilidad, las reglas de protección no están aplicadas automáticamente.

Este enfoque garantiza una sobrecarga de rendimiento mínima, ya que las reglas de protección (también conocidas como parches virtuales) son muy pequeños y se aplican quirúrgicamente, solo para aquellas vulnerabilidades que realmente están presentes en un sitio. Además, dado que estas reglas de protección funcionan de manera similar a las reglas del firewall, no modifican ni cambian el código del sitio en sí mismo, asegurando su integridad.


Para recapitular, la protección de vulnerabilidad es:

  • Automatizado: Protección funciona de forma continua y automática, protegiendo el sitio de las vulnerabilidades actuales y futuras sin participación del usuario.
  • No invasivo: Las reglas de protección funcionan como un firewall, por lo que nunca modifican el código del sitio.
  • Ligero: Las reglas de protección se aplican solo para vulnerabilidades específicas presentes en un sitio determinado, por lo que tienen un efecto mínimo en el rendimiento del sitio. (Función premium)


¿Funciona en todas las vulnerabilidades?

La protección de vulnerabilidad solo neutraliza las vulnerabilidades de riesgo medio y medio. Si ve una vulnerabilidad que aún no está neutralizada, significa uno de los siguientes:

  • Trabajo en progreso. Las reglas para las vulnerabilidades de alto riesgo generalmente se ponen a disposición a las pocas horas de la divulgación de vulnerabilidad. Las reglas para las vulnerabilidades de riesgo medio pueden tardar días en crearse debido al menor impacto.
  • Bajo riesgo. Algunas vulnerabilidades tienen un impacto mínimo en un sitio o carecen de métodos de exploits reales. Dado que no presentan una amenaza real para los sitios web, las reglas de protección para ellos no son necesarias (o, en algunos casos, simplemente imposibles de verificar).
  • Falta en la base de datos. La protección de vulnerabilidad está impulsada por la tecnología proporcionada por nuestros socios de seguridad de PatchStack, por lo que funciona con vulnerabilidades en la base de datos de PatchStack. Las vulnerabilidades que están presentes solo en la base de datos de Wordfence o no coinciden con las entradas correspondientes de la base de datos de PatchStack no reciben reglas de protección. Estamos trabajando para hacer coincidir todos los duplicados posibles entre dos bases de datos, pero nos llevará algún tiempo, ya que hay miles de entradas para que coincidan.


¿Cómo obtengo esta función?

La protección de vulnerabilidad (también conocida como parcheo virtual) es parte de la plataforma WP Guardian. Requiere comprar una licencia separada llamada WP Guardian (complemento de Cpanel).

¿Cómo controlo quién obtiene esta función?

Los paquetes en WHM ahora incluyen un límite separado para el número de sitios que pueden usar protección de vulnerabilidad. Este límite se establece en cero por defecto para asegurarse de que los revendedores y los clientes no puedan ver esta función a menos que el administrador del servidor desee que lo hagan. En otras palabras, solo los administradores del servidor pueden ver esta característica y sus indicaciones de compra fuera de la casilla. Si desea deshabilitar esta función por completo (para que incluso el administrador del servidor no pueda verla), o si desea configurar los enlaces de venta de ventas presentados en WHM parte de WP Toolkit, haga lo siguiente:

* Navegue a manage2.cpanel.net e inicie sesión,
* Seleccione actualizar la información de la empresa y desplácese hacia abajo a la sección de opciones de ventas
* Cambie la compra de WP Guardian (complemento Cpanel) a la tienda personalizada (que le pedirá que especifique su propia URL de la tienda) o no se venda (lo que ocultará completamente la función).

Esperamos que la característica de protección de vulnerabilidad haga que millones de sitios web de WordPress administrados por WP Toolkit Safer, contribuyendo a la salud general del ecosistema de WordPress.

Rango de riesgo y filtrado de vulnerabilidad: racionalización de la gestión de vulnerabilidades

Es posible que recuerde que WP Toolkit V6.3 ha introducido la integración con la base de datos de WordFence. ¡Ahora los administradores del sitio de todo el mundo podrían ver aún más vulnerabilidades en sus sitios web! ¿Pero sabes qué es mejor que ver más vulnerabilidades en tus sitios? Sintiendo la dicha mágica de no ver ninguna sin sentido:


La imagen de arriba es lo que los administradores del sitio verán en V6.4 después de instalar una nueva copia de WordPress.

La base de datos de WordFence ha introducido una serie de vulnerabilidades en WordPress Core que es poco probable que sea solucionado por el equipo de WordPress. Estas vulnerabilidades son de bajo riesgo, teórica, no probable que no sea explotada, etc. En otras palabras, no eran lo suficientemente importantes como para preocuparse realmente, y no obtuvieron una solución en el corto plazo, pero desde que estaban presentes, los administradores del sitio obtuvieron advertencias de vulnerabilidad en básicamente todos los sitios de WordPress sin poder hacer nada al respecto. Esto hizo que las alertas de vulnerabilidad no fueran inútiles, ya que las personas rápidamente recibían fatiga alerta. No había forma de diferenciar entre cosas que debía cuidar (vulnerabilidades peligrosas o explotadas) y cosas que simplemente podría ignorar (como estas vulnerabilidades centrales de WordPress de bajo riesgo), por lo que las personas comenzaron a ignorar todo. Esto necesitaba ser arreglado, cuanto antes mejor, e hicimos exactamente eso.

Entonces, ¿qué hicimos y cómo lo hicimos?

WP Toolkit V6.3 también ha introducido la función de filtrado de vulnerabilidad. Utilizó un umbral de puntaje CVSS proporcionado por el usuario para ocultar vulnerabilidades por debajo del puntaje especificado. El principal problema fue que la calificación CVSS utilizada para filtrar vulnerabilidades es difícil de entender para los usuarios que no son de tecnología («¿Qué número se supone que debo usar como umbral?«) Y, sin entrar en detalles, no siempre refleja con precisión la gravedad real de las vulnerabilidades específicas de WordPress. Nos hemos propuesto reemplazar CVS con nuestro propio rango de riesgo interno que se calcula en función de CVSS, EPSS, PatchStack Patch Priority y algunos otros marcadores.

Nuestro rango de riesgo hace un trabajo mucho mejor para reflejar la gravedad real de las vulnerabilidades de WordPress, por lo que hemos cambiado el filtrado de CVS a rango de riesgo. También hemos habilitado este filtrado por defecto, lo que significa que todas las vulnerabilidades con «bajoEl rango de riesgo se ocultará e ignorará después de la actualización a WP Toolkit V6.4. Así es como se ve ahora:

Esta solución ofrece una mejor experiencia lista para usar (no más advertencias de que su WordPress sea vulnerable en una nueva instalación), no molesta a los usuarios, conserva el valor de la base de datos de WordFence donde realmente es necesario (hay algunas vulnerabilidades genuinas solo presentadas en la base de datos de WordFence en este momento) y deja el control en las manos de los usuarios. Y sí, hemos verificado y confirmado que todas estas vulnerabilidades del núcleo de WordPress «molesto, bajo, no se solucionarán», las vulnerabilidades del núcleo de WordPress informadas por Wordfence se filtrarán correctamente, por lo que a menos que los usuarios finales desacten explícitamente el filtrado, debería ser una navegación sin problemas sin distracciones desde ese momento.

Preinstalación de WordPress y Conjuntos en CPanel: Simplificar el aprovisionamiento del sitio

Todos los paquetes de Cpanel ahora tienen una extensión de paquete con la opción WP Toolkit para preinstalar un sitio de WordPress cuando se crea la cuenta con este paquete. Otra opción permite elegir qué conjunto debe instalarse automáticamente junto con WordPress. Este conjunto se instalará cada vez que se instale un nuevo sitio de WordPress en la cuenta correspondiente.

Descargo de responsabilidad: esta característica funciona completamente cuando se usa a través de GUI, pero puede tener una disponibilidad limitada a través de API por ahora. Estamos trabajando para ponerlo a disposición a través de API lo antes posible.

Correcciones de errores y mejoras: garantizar una experiencia sin problemas

WP Toolkit Versión 6.4 también incluye numerosas correcciones de errores y mejoras con la retroalimentación de los usuarios, mejorando la estabilidad y el rendimiento del producto general.

El camino por delante

Nuestra próxima parada en el camino por delante es trabajar para mejorar el rendimiento de WP Toolkit, junto con varias correcciones de errores, características de larga data y mejoras adicionales para las próximas actualizaciones. Manténganse al tanto.



💸 ¡Servidores Cloud Económicos en Argentina! 🚀

En Full Tech Solutions, ofrecemos Servidores Cloud Económicos con alto rendimiento y seguridad avanzada, perfectos para emprendedores, empresas y desarrolladores que buscan potencia a un precio accesible.

💰 Precios Competitivos: Potencia y flexibilidad sin gastar de más.
Alto Rendimiento: Velocidad y estabilidad para tus aplicaciones.
🔒 Seguridad Avanzada: Protege tus datos con tecnología de vanguardia.
📞 Soporte 24/7: Expertos listos para asistirte en todo momento.

No sacrifiques calidad por precio. Elige Full Tech Solutions y obtén los mejores servidores cloud económicos de Argentina.

🌐 ¡Escala tu proyecto con rendimiento y ahorro!

Enlace de Origen

LineasDNS
el12/06/2024
Compartir
ESCRIBIR UN COMENTARIO

¿Qué está pensando?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Próximos

Copyright © 2010-2025 LineasDNS. All Rights Reserved