Arxiu d'etiquetes per a: WordPress

Hi ha diverses maneres en què la Intel·ligència Artificial (com ChatGPT) pot aplicar-se a una botiga online. Algunes de les aplicacions més comunes són:

  1. Recomanacions de productes: Crear un sistema de recomanació de productes que es basa en les dades de comportament dels usuaris. Aquest sistema pot analitzar les cerques, les visualitzacions i les compres prèvies dels usuaris per fer recomanacions personalitzades de productes semblants o complementaris.
  2. Anàlisi de dades: Analitzar les dades de vendes i de trànsit dun lloc per identificar patrons i tendències. Aquestes anàlisis poden ajudar els propietaris de botigues en línia a prendre decisions informades sobre lestratègia de preus, la selecció de productes i loptimització del lloc.
  3. Chatbots: Proporcionen atenció al client en temps real als usuaris d'una botiga en línia. Aquests chatbots poden ajudar els usuaris a trobar productes, fer comandes i resoldre problemes de forma ràpida i eficient.
  4. Detecció de frau: La IA es pot utilitzar per detectar comportaments fraudulents. Aquest tipus de tecnologia pot analitzar les transaccions a temps real i identificar patrons sospitosos que indiquen activitat fraudulenta.

La IA es pot aplicar de moltes maneres una botiga en línia per millorar l'experiència dels usuaris, augmentar les vendes i optimitzar la gestió del lloc. No obstant això, és important tenir en compte que la IA requereix una quantitat significativa de dades per ser efectiva, per la qual cosa cal que els llocs web recopilin i emmagatzemin dades de manera ètica i responsable.

La tecnologia de CMS (Content Management System) més utilitzada a nivell de petites i mitjanes empreses actualment és WordPress. Fins i tot grans empreses i governs usen WordPress:

  • ROLLING STONES
  • WALT DISNEY
  • FACEBOOK NEWSROOM
  • MERCÈ-BENZ INTERNACIONAL
  • SONY MUSIC
  • REVISTA TIME
  • REVISTA WIRED
  • BBC AMERICA
  • DANONE
  • VOGUEU
  • NBA
  • NASA
  • EL BLOC DE LA CAIXA
  • ADOBE BLOGS
  • BLOG TED
  • P&G PROCTER & GAMBLE
  • MICROSOFT
  • CISCO
  • PRINCETON UNIVERSITY
  • BLOG SONY PLAYSTATION
  • GOVERN BRITÀNIC
  • GOVERN DE FINLÀNDIA

S'estima que més del 40% de tots els llocs web a Internet utilitzen WordPress, cosa que el converteix en el CMS més popular del món. A més, és programari lliure i de codi obert.

WordPress és lopció més popular per als propietaris de llocs web a causa de la seva facilitat dús, flexibilitat i àmplia gamma de plugins i temes disponibles. És compatible amb una àmplia varietat de hostings, és personalitzable i escalable.

Altres tecnologies de CMS populars inclouen Joomla, Drupal i Magento. Cadascuna daquestes tecnologies té les seves pròpies fortaleses i debilitats, i lelecció de la millor tecnologia de CMS per a un lloc web depèn de les necessitats específiques del lloc i del propietari del lloc.

El cas SoakSoak

El cas més important de atac organitzat a llocs de WordPress a través de plugins probablement sigui l'atac de 2014 conegut com a «SoakSoak». Aquest atac va aprofitar una vulnerabilitat al plugin Slider Revolution, que s'utilitza en molts llocs de WordPress per crear presentacions d'imatges i vídeos.

La vulnerabilitat va permetre als hackers inserir codi maliciós als llocs que utilitzaven el plugin, cosa que al mateix temps va permetre als hackers infectar els llocs amb malware i utilitzar-los per distribuir malware a altres llocs i usuaris. La volnerabilitat els va permetre instal·lar programari maliciós i robar informació confidencial. L'atac va afectar més de 100,000 llocs de WordPress a tot el món i va causar una gran quantitat de danys i pèrdues econòmiques.

El cas de Simple Social Buttons

Un atac organitzat recent a llocs de WordPress a través de plugins va tenir lloc l'agost de 2021. Aquest atac va aprofitar una vulnerabilitat al plugin «Simple Social Buttons», que permet als llocs de WordPress afegir botons de xarxes socials a les seves pàgines. La vulnerabilitat va permetre als hackers inserir codi maliciós als llocs que utilitzaven el plugin.

L'atac va afectar milers de llocs de WordPress a tot el món i es va utilitzar per instal·lar programari maliciós i robar informació confidencial, incloses contrasenyes i informació bancària. Igual que en el cas anterior, molts dels llocs afectats no havien actualitzat el plugin a la darrera versió, cosa que va permetre als hackers aprofitar la vulnerabilitat.

Canvi climàtic

Un cas curiós d'atac a WordPress va tenir lloc el desembre del 2019. Un grup de hackers van atacar diversos llocs de WordPress i els va modificar per mostrar un missatge d'advertència sobre el canvi climàtic. En lloc de robar informació o instal·lar codi maliciós (malware), els hackers simplement van modificar l'aparença dels llocs per mostrar el seu missatge.

L'atac va afectar diversos llocs a tot el món i va causar sorpresa i confusió entre els propietaris dels llocs i els visitants. Encara que els llocs no van patir danys permanents, latac va demostrar que els hackers poden utilitzar la vulnerabilitat dels llocs de WordPress per fer una declaració política o social en lloc de causar dany.

Aquests casos demostren una vegada més la importància de mantenir actualitzats els connectors i sistemes del vostre lloc i de realitzar còpies de seguretat regulars. En mantenir el teu lloc actualitzat i segur, podràs protegir les teves dades i les dels teus usuaris de possibles atacs i malware.

Seguretat Web (I)

Seguretat Web (II)

Seguretat Web (III)

 

Recomanacions:

– Compte amb els plugins homebrew perquè contenen comunment codi maliciós
– Instal·lar un plugin de control de comentaris spam (Akismet)
– Usar un sistema de doble autenticació (Latch, Google Authenticator, UNLOQ)
– Mai no crear posts amb l'usuari Administrador.
– Crear un usuari Author per crear-los.
– Mai contenir el nom d'usuari (login) a les dades d'usuari.
– Desinstal·lar plugins i temes inactius per evitar vulnerabilitats addicionals.

Durant els darrers anys hi ha hagut grans empreses les quals han vist compromeses dades sensibles dels seus usuaris, podent circular aquestes bases de dades per la xarxa. Per exemple, empreses conegudes són: Adobe, LinkedIn, Avast, Bitly, BitTorrent, uTorrent, Vodafone, Brazzers, CD Project RED, Comcast, Dropbox, Minecraft, MySpace, VK o Yahoo, entre moltes altres. Si utilitzeu la contrasenya en més d'un lloc, assegureu-vos que no la compartiu amb cap d'aquests llocs. Pots saber si les teves dades han estat mai compromeses amb aquesta eina (';–have i been pwned?).

I per acabar, volem posar èmfasi en forçar contrasenyes segures i recordables. Aquestes podrien ser una combinació de 12 caràcters (com a mínim) entre números, majúscules, minúscules i caràcters especials (#$&) compost de paraules que no apareguin al diccionari. I si a més la recordem, millor! Aquesta pàgina ens ajudarà a crear-la, alhora que ens indica quant de temps es triga a desencriptar-la segons els caràcters que fem servir.

 

Seguretat Web (I)

Seguretat Web (II)

Seguretat Web (III)

 

6.- Monitorització 24 hores. Convé monitoritzar la web tant via servidor com via programari (Manage WP) perquè, quan caigui o tingui alguna vulnerabilitat de seguretat, el sistema ens avisi per mail.

7.- Protegir els sospitosos habituals. Cal fortificar certs fitxers crítics, carpetes i paràmetres, especialment abans de pujar a producció i hi ha altres fitxers que cal bloquejar l'accés via .htaccess. (SAR One Click Security, WPHardening)

– Fitxers crítics: wp-config.php, .htaccess, xmlrpc.php
– Modificar permisos als arxius a 644 i en directoris a 755
– Modificar els prefixos de la base de dades de “wp_” per altres lletres, per exemple “cool_”
– Esborrar el fitxer domini.com/readme.html per evitar dir la nostra versió de WordPress
– De la mateixa manera, eliminar les capçaleres que indiquen les versions de Core i components
– Canviar l'usuari 'admin' o degradar-lo a rol Subscriptor
– Canviar ruta d'accés al tauler de control i inhabilitar l'antiga ruta

8.- Tenir un bon hosting actualitzat. Una tecnologia més avançada incrementa la seguretat alhora que la velocitat i ajuda a reduir el cost cononòmic. Per exemple, tenir al dia el PHP7, HHVM o cPanel important per prevenir vulnerabilitats. Un cop tenim una connexió xifrada SSL, lús HTTP/2 accelera significativament la càrrega de llocs web. Per cert, no dubtis entre discos amb o sense SSD per a webs en producció ja que estalvien temps en cada acció que fem.

9.- Usar 3 capes de seguretat. La primera consisteix en un servidor proxy o CDN: Per evitar pics, minimitzar els efectes d'atacs, etc. A més ens donarà un extra de velocitat pel seu escorcoll (CloudFlare).
La segona és el Firewall per prevenir directament l'hackeig o la força bruta (atacs DDoS). Molts CDN i plugins ja ofereixen aquesta opció integrada (CloudFlare, Sitelock, WordFence). I la tercera capa és un Plugin de seguretat: Aquests plugins són com navalles multiusos de prevenció i control però consumeixen molts recursos del servidor. Si la integritat de la nostra web no està afectada, és millor limitar aquest tipus de plugins. Serveixen per controlar fitxers Core modificats, veure logins no desitjats, escanejar el servidor o configuracions preventives d'atacs (All i One WP, Sucuri, WordFence, iThemes Security).

10.- Usar un certificat digital SSL. Tenir una web que comença per “https” és senyal de confiança. Un web amb un certificat digital encripta la comunicació entre el client i el servidor prevenint el pishing (suplantació d'identitat) i certifica que el nostre domini és segur. Especial atenció al SEO, ja que afegir https canvia els permalinks.

11.- DNSSEC afegeix una capa de seguretat addicional al protocol DNS que permet comprovar la integritat i l'autenticitat de les dades. Gràcies a aquestes extensions de seguretat es poden prevenir atacs de suplantació i falsificació.

 

Un dels desafiaments que ens trobem al nostre dia a dia és mantenir les nostres pàgines web segures. No ens imaginem un comerç electrònic “no segur” però cada pàgina web és única i està formada per molts components que evolucionen constantment, cadascun amb entitat pròpia. Sobre mantenir aquest ecosistema en bona forma i de com ens agrada fer-ho a ARCAPOLIS parlem en aquest article de Seguretat web dividit en tres parts:

Seguretat Web (I)

Seguretat Web (II)

Seguretat Web (III)

 

Hi ha dos tipus d'empreses: les infectades i les que no saben que estan infectades. El que pot ser segur avui demà no ho serà així que hem de tenir la web sempre actualitzada i estar informats per anticipar-se als problemes.

1.- Fer staging des de servidor. El staging permet replicar una web tantes vegades com vulguem i tenir aquests clons tancats al públic. Això ens permet tenir la mateixa web en diferents punts temporals, amb algun sempre actualitzat, sempre a l'última. Des d'aquest podrem fer proves o afegir-hi funcionalitats abans d'aplicar-les a la web final. Podem tenir el clon en un subdomini no indexable pels cercadors i amb el contingut privat, només accessible per contrasenya.

2.- Fer còpies de seguretat periòdiques via programari. Fer còpies via plugin per assegurar-nos fer una restauració total en minuts (Duplicator Pro). La idea és tenir per una banda diverses còpies de la base de dades i per altra banda de fitxers web per xifrar-los i guardar-los fora del servidor de producció. Per exemple, en un sistema d'emmagatzematge cloud que compleixi la RGPD i la Directiva de la Protecció de Dades de la UE (Google Drive, Dropbox).

3.- Fer còpies de seguretat periòdiques via servidor. Mai us refieu d'un sol sistema de còpies de seguretat. Al servidor hi ha d'haver un sistema de backup alternatiu per retrocedir a qualsevol punt de restauració de, almenys, els darrers 30 dies.

4.- Tenir un sol proveïdor de serveis web per simplificar processos i resoldre incidències amb un sol cop de telèfon o de correu. La programació, disseny, hosting, domini, gestió de DNSs i tot el referent a la web. Això elimina intermediaris, redueix els temps de reacció i ajuda a la presa de decisions. De vegades la comunicació entre proveïdors pot no fluir i el client, que té una visió global, no ha d'entendre totes les visicituds d'una incidència. Informació és poder!

5.- Tenir la teva rèplica web actualitzada. No cal actualitzar sempre, cal comprovar que la versió és estable. Primer cal actualitzar els connectors i després els components nucli de la web. D´aquesta manera ens assegurem la retrocompatibilitat dels components abans d´actualitzar el Core. A ARCAPOLIS tenim les webs en diferents punts d'actualització perquè les actualitzacions siguin graduals i segures.