Comprender la monitorizaci\u00f3n continua de la seguridad y el cumplimiento<\/h2>\n
Tu sitio web tiene un valor inmenso para determinados grupos. Los usuarios malintencionados no ven tus productos y servicios \u2014 ven datos y oportunidades de obtener beneficios. En 2022, SiteLock descubri\u00f3<\/a> que un sitio medio sufr\u00eda unos 100 ataques diarios.<\/p>\n Por ello, es vital monitorizar tu seguridad de forma continua, adem\u00e1s de comprobar tu nivel de cumplimiento. La intencionalidad maliciosa es din\u00e1mica, lo que significa que necesitas evaluar, rastrear y abordar tus disposiciones de seguridad sobre una base en constante evoluci\u00f3n. Por ejemplo, el Top 10 de OWASP<\/a> supervisa qu\u00e9 tipos de ataques maliciosos son los m\u00e1s populares, y esta lista cambia en cada encuesta.<\/p>\n Tambi\u00e9n hay muchas otras razones por las que te conviene implantar una monitorizaci\u00f3n continua de la seguridad:<\/p>\n Para los sitios web de WordPress, tu estrategia de monitorizaci\u00f3n y cumplimiento tiene una importancia y unos retos a\u00fan mayores:<\/p>\n La buena noticia es que puedes integrar f\u00e1cilmente la monitorizaci\u00f3n de la seguridad en tu flujo de trabajo actual y combinarla con las notificaciones de actualizaciones de WordPress. Mejor a\u00fan, puedes controlarlo a trav\u00e9s de la API de Kinsta<\/a>.<\/p>\n Para los clientes de Kinsta, la API<\/a> representa la mejor forma de automatizar y aprovechar muchos aspectos de tu servidor de alojamiento. Ofrecemos muchos endpoints para todo tipo de tareas. Por ejemplo, puedes gestionar sitios, usuarios y dependencias como temas de sitios y plugins. Adem\u00e1s, puedes obtener registros y acceder a las mismas m\u00e9tricas de la aplicaci\u00f3n desde el panel de control de MyKinsta<\/a>:<\/p>\n Por supuesto, integrar la API de Kinsta en tu flujo de trabajo de WordPress ser\u00e1 pan comido, teniendo en cuenta nuestro especial inter\u00e9s en el alojamiento de WordPress<\/a>. M\u00e1s adelante descubrir\u00e1s c\u00f3mo hacerlo. Ofrecemos una forma proactiva y program\u00e1tica de gestionar tu monitorizaci\u00f3n de seguridad para las principales funciones de WordPress. Esto incluye las actualizaciones de tu sitio, el registro y mucho m\u00e1s.<\/p>\n Gran parte de esto encaja con aquello en lo que debes centrarte cuando se trata de la seguridad de WordPress. Veamos esto a continuaci\u00f3n.<\/p>\n En esencia, WordPress es una plataforma s\u00f3lida y segura, gracias a su c\u00f3digo base maduro y a su estricto cumplimiento de las pr\u00e1cticas de seguridad. Para el propio sistema de gesti\u00f3n de contenidos (CMS), dispone de formas oficiales de informar sobre vulnerabilidades:<\/p>\n De hecho, tambi\u00e9n hay una forma de que los usuarios finales informen sobre los temas \u2014 un bot\u00f3n destacado en la p\u00e1gina del repositorio:<\/p>\n Est\u00e1 claro que WordPress est\u00e1 muy interesado en la seguridad, y hay algunas \u00e1reas clave en las que se centra el c\u00f3digo base:<\/p>\n Para ayudarte a supervisar algunas de estas facetas, puedes utilizar la pantalla Salud del Sitio dentro de tu panel de control de WordPress:<\/p>\n En lo que respecta al cumplimiento, WordPress ofrece una plantilla de pol\u00edtica de privacidad predeterminada para cada instalaci\u00f3n. La plataforma principal tambi\u00e9n fomenta el uso de formularios de divulgaci\u00f3n de vulnerabilidades<\/a>. Construir sobre todo esto con la API de Kinsta ofrece una s\u00f3lida provisi\u00f3n de seguridad \u2014 y a continuaci\u00f3n te mostraremos c\u00f3mo.<\/p>\n Probablemente, si quieres conseguir una configuraci\u00f3n que implique una monitorizaci\u00f3n continua de la seguridad, el mejor enfoque ser\u00e1 el program\u00e1tico. La API de Kinsta ofrece un mont\u00f3n de endpoints diferentes para ayudarte en el camino, aunque no es el \u00fanico enfoque (sobre el que hablaremos m\u00e1s adelante).<\/p>\n Veamos un enfoque t\u00edpico de la monitorizaci\u00f3n de la seguridad mediante la API. Empezaremos por obtener tus claves API y luego pasaremos a las dem\u00e1s \u00e1reas.<\/p>\n Sin tus claves API, no puedes acceder a ning\u00fan aspecto de tus sitios. Para generar una nueva clave API, dir\u00edgete al panel de MyKinsta y a la pantalla Configuraci\u00f3n de la empresa > Claves API<\/strong>. Si es la primera vez que entras aqu\u00ed, probablemente la pantalla estar\u00e1 en blanco:<\/p>\n Aqu\u00ed, haz clic en el bot\u00f3n Crear Clave API<\/strong> y rellena los campos para establecer una fecha de caducidad y un nombre para tu clave:<\/p>\n Una vez que hagas clic en el bot\u00f3n Generar<\/strong>, podr\u00e1s copiar tu clave API. Recuerda que no la volver\u00e1s a ver, as\u00ed que aseg\u00farate de mantenerla a salvo:<\/p>\n Con tu nueva clave API en la mano, puedes empezar a explorar la conexi\u00f3n a la API de Kinsta.<\/p>\n Te recomendamos que tengas a mano la documentaci\u00f3n de la API mientras navegas por los endpoints disponibles. No todos ellos ser\u00e1n adecuados para la monitorizaci\u00f3n de la seguridad, pero hay algunos en los que te apoyar\u00e1s m\u00e1s que en otros:<\/p>\n Presentaremos m\u00e1s endpoints en la siguiente secci\u00f3n, donde los utilizar\u00e1s para construir tu proceso.<\/p>\n Antes de tocar una l\u00ednea de c\u00f3digo, es una buena idea planificar con antelaci\u00f3n para solidificar tus objetivos. Mira qu\u00e9 endpoints est\u00e1n disponibles, comb\u00ednalos con c\u00f3mo quieres que sea tu proceso de monitorizaci\u00f3n de la seguridad, y luego intenta que todo encaje.<\/p>\n Por ejemplo, puede que quieras una forma de comprobar regularmente si el core de WordPress, los temas y los plugins est\u00e1n obsoletos<\/a>. El endpoint\u00a0 Aqu\u00ed tienes un r\u00e1pido script en Python para autenticar el acceso a la API y obtener un sitio. En primer lugar, establecemos algunas variables principales. Ten en cuenta que normalmente no incluir\u00edas tu clave API ni el ID de tu empresa en el c\u00f3digo. En este caso, lo hacemos por brevedad y claridad.<\/p>\n Una vez establecidas las variables, podemos establecer las cabeceras de autenticaci\u00f3n y, a continuaci\u00f3n, intentar validar el acceso. Con tres breves funciones, podemos validar el token, devolver una lista de sitios y obtener un sitio concreto:<\/p>\n Una funci\u00f3n Una vez completado el acceso a tus sitios, puedes buscar otros endpoints para casos de uso espec\u00edficos.<\/p>\n Hay muchas formas diferentes de utilizar los endpoints de la API de Kinsta para una monitorizaci\u00f3n continua y automatizada. Obtener tus registros de errores a intervalos regulares es una forma excelente de ser proactivo sobre la seguridad de tu sitio.<\/p>\n Podemos empezar con el mismo proceso de autenticaci\u00f3n y obtenci\u00f3n del sitio del paso anterior. Una vez que tengas el sitio que necesitas, una breve funci\u00f3n puede acceder a la API y devolver los registros de errores:<\/p>\n Si quieres automatizar esto, debes ser capaz de encontrar un paquete o biblioteca que te ayude. Por ejemplo, Python tiene el paquete Por supuesto, puedes extrapolar esto para trabajar con cualquier endpoint que desees, como El alojamiento de Kinsta integra la seguridad en el panel de control de MyKinsta y en su arquitectura m\u00e1s profunda. Por ello, los usuarios no podr\u00e1n instalar la mayor\u00eda de los plugins de seguridad<\/a>. Para habilitar el mismo nivel de funcionalidad, normalmente utilizar\u00edas las herramientas de Kinsta, como su bloqueo de IP.<\/p>\n Aunque la API de Kinsta ofrece una forma \u00abb\u00e1sica\u00bb de proporcionar puntos de contacto para la monitorizaci\u00f3n y automatizaci\u00f3n de la seguridad, existe<\/em> la posibilidad de combinarla con algunos plugins seleccionados. Por ejemplo, aunque no te permitimos activar su registro de tr\u00e1fico (ya que provoca una alta IOPS), el resto del plugin Wordfence<\/a> puede ser de utilidad.<\/p>\n De hecho, Wordfence ofrece un par de endpoints propios para la aprobaci\u00f3n de IP y la importaci\u00f3n de configuraciones<\/a>. Esto \u00faltimo podr\u00eda ser interesante si quieres replicar configuraciones \u00abbuenas\u00bb conocidas en muchos sitios diferentes. Sin embargo, la CLI de Wordfence<\/a> ofrece muchas m\u00e1s posibilidades de combinaci\u00f3n con nuestra API.<\/p>\n El uso conjunto de ambas va m\u00e1s all\u00e1 del alcance de este post, pero es concebible generar un proceso hijo utilizando Node.js<\/a> para ejecutar scripts de Python, por poner un ejemplo.<\/p>\n Esto significa que puedes tener una forma program\u00e1tica de ejecutar y automatizar la funcionalidad de Wordfence junto con la de Kinsta. El plugin Sucuri Security<\/a> tambi\u00e9n tiene una sencilla API<\/a> que te permite realizar un escaneo del sitio.<\/p>\n Puedes (por supuesto) utilizar plugins de una forma m\u00e1s directa. Por ejemplo, WP Activity Log<\/a> ampl\u00eda la funcionalidad de registro de Kinsta. Te permite registrar casi todas las acciones que ocurren en tu sitio, incluidas las de plugins de terceros.<\/p>\n Si quieres integrar la API de Kinsta con los plugins de tu sitio, normalmente necesitas acceso a la API del plugin. Sin embargo, no todos los plugins lo ofrecen, por lo que es posible que tengas algunas restricciones en tus plugins favoritos.<\/p>\n Como empresa que hace gala de sus controles, subprocesos y cumplimiento<\/a>, Kinsta sabe mucho del trabajo que conlleva. En lo que respecta a las normas de cumplimiento, cumplimos las de SOC 2 Tipo 2<\/a>, el GDPR y la CCPA.<\/p>\n Para mejorar la confianza de los usuarios, tu sitio web tambi\u00e9n debe cumplir estas normas. El GDPR<\/a> fue el primero en afectar a casi todos los sitios. Esta normativa de la Uni\u00f3n Europea (UE) establece directrices sobre c\u00f3mo recopilar, procesar y almacenar datos personales. La CCPA<\/a> es otra legislaci\u00f3n en una l\u00ednea similar. Para los sitios de WordPress, la p\u00e1gina de pol\u00edtica de privacidad incorporada y las herramientas de exportaci\u00f3n de datos pueden ayudar, junto con la implementaci\u00f3n de avisos sobre cookies.<\/p>\n Si trabajas en finanzas, sanidad u otros sectores similares, tendr\u00e1s otras leyes, normas, directrices y directivas que seguir:<\/p>\n La infraestructura de Kinsta puede ser una base s\u00f3lida para toda tu estrategia de cumplimiento, y la API de Kinsta tambi\u00e9n puede encajar con la de WordPress. Incluso podr\u00edas considerar facetas como la monitorizaci\u00f3n de la integridad de los archivos<\/a> mediante herramientas, servicios y plugins de terceros.<\/p>\n Para terminar el post, te daremos algunos consejos generales para utilizar la API de Kinsta junto con WordPress. Cuando se trata de la seguridad y el cumplimiento de tu sitio, es importante maximizar la eficacia de ambos, ya que obtendr\u00e1s el mayor beneficio.<\/p>\n Un enfoque sencillo es utilizar el endpoint \u00abautenticaci\u00f3n\u00bb<\/a>\u00a0para comprobar que tu clave API es v\u00e1lida:<\/p>\n Adem\u00e1s, deber\u00e1s mantener siempre la confidencialidad de tus credenciales de la API, especialmente si almacenas tu c\u00f3digo en un repositorio Git remoto<\/a>. La pr\u00e1ctica m\u00e1s recomendable es almacenar esas claves fuera del webroot y utilizar uno de los siguientes m\u00e9todos:<\/p>\n Sin embargo, aparte de proteger tus claves API, hay muchas otras cosas que puedes hacer para que el uso conjunto de la API de Kinsta y WordPress sea m\u00e1s seguro:<\/p>\n Sobre todo, mantente al d\u00eda de las pr\u00e1cticas de seguridad actuales y emplea las m\u00e1s s\u00f3lidas. Adem\u00e1s, inf\u00f3rmate sobre las vulnerabilidades recientes y los parches de software que las combaten para tus temas y plugins. Con un procedimiento de actualizaci\u00f3n peri\u00f3dico, combinado con la automatizaci\u00f3n de la monitorizaci\u00f3n de la seguridad y el cumplimiento de la API de Kinsta, dispondr\u00e1s de una configuraci\u00f3n resistente.<\/p>\n\n
\n
Breve introducci\u00f3n a la API de Kinsta<\/h2>\n
![\"Una](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/mykinsta-dashboard.png\")
Pr\u00e1cticas t\u00edpicas de WordPress para la seguridad y el cumplimiento<\/h2>\n
\n
![\"En](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/report-theme-button.png\")
\n
![\"Un](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/site-health.png\")
C\u00f3mo implementar la monitorizaci\u00f3n de la seguridad con la API Kinsta<\/h2>\n
1. Obtener tus claves API<\/h3>\n
![\"La](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/api-key-dashboard.png\")
![\"El](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/create-api-key-dialog.png\")
![\"El](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/copy-api-key.png\")
2. Explora los endpoints disponibles en la API de Kinsta<\/h3>\n
\n
sites<\/code>.<\/strong> Util\u00edzalo cuando necesites obtener una lista de sitios asociados a una empresa. Puedes devolver informaci\u00f3n b\u00e1sica, como su nombre, ID y estado.<\/li>\nbackups<\/code>.<\/strong> Puedes hacer y restaurar copias de seguridad de cualquiera de tus centros utilizando las peticiones GET<\/code> y POST<\/code>. Esto formar\u00e1 parte de tus respuestas de recuperaci\u00f3n ante desastres e incidentes de seguridad.<\/li>\nlogs<\/code>.<\/strong> Este endpoint puede utilizarse para simples registros de errores y accesos. Ser\u00e1 uno de tus endpoints para monitorizar y depurar.<\/li>\n<\/ul>\n3. Valida tu conexi\u00f3n y obt\u00e9n una lista de sitios<\/h3>\n
sites<\/code> es la forma de hacerlo. Sin embargo, no s\u00f3lo acceder\u00e1s a un \u00fanico endpoint o har\u00e1s una solicitud cada vez. Aqu\u00ed es donde la flexibilidad de la API Kinsta puede brillar.<\/p>\nimport requests\nimport os\n\n\n# Define the API key and company ID within the script\napi_token = 'API_KEY'\ncompany_id = 'COMPANY_ID'\n\n# Set the base URL for the Kinsta API\nbase_url = 'https:\/\/api.kinqsta.com\/v2'\n\n# Set the headers for authentication\nheaders = {\n 'Authorization': f'Bearer {api_token}'\n}\n\n\ndef validate_token():\n \"\"\"Checks and authenticates an API token.\"\"\" \n url = f'{base_url}\/validate'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n print('API token is valid')\n else:\n print('API token is invalid')\n exit(1)\n\n\ndef get_sites():\n \"\"\"Fetches a list of sites based on the Company ID.\"\"\"\n url = f'{base_url}\/sites?company={company_id}'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n data = response.json()\n company_data = data.get('company', {})\n sites = company_data.get('sites', [])\n return sites\n else:\n print(f'Failed to fetch sites. Status code: {response.status_code}')\n return None\n\n\ndef get_single_site(site_id):\n \"\"\"Takes a URL template and response, checks the status code, and returns JSON data if present.\"\"\"\n url = f'{base_url}\/sites\/{site_id}'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n site = response.json()\n return site\n else:\n print(f'Failed to fetch site. Status code: {response.status_code}')\n return None\n<\/code><\/pre>\nmain<\/code> llamar\u00e1 a cada uno de estos otros procesos, utilizando cierta l\u00f3gica para enviar la informaci\u00f3n del sitio a un conjunto de variables de entorno:<\/p>\ndef main():\n validate_token()\n sites = get_sites()\n\n if sites:\n print(f'Number of sites: {len(sites)}')\n if len(sites) > 0:\n for site in sites:\n print(f'Site ID: {site[\"id\"]}')\n print(f'Site Name: {site[\"name\"]}')\n print(f'Site Display Name: {site[\"display_name\"]}')\n print(f'Site Status: {site[\"status\"]}')\n print('Site Labels:', site[\"site_labels\"])\n print('---')\n\n\n # Store site details in environment variables\n os.environ[f'SITE_ID_{site[\"name\"]}'] = site[\"id\"]\n os.environ[f'SITE_NAME_{site[\"name\"]}'] = site[\"name\"]\n os.environ[f'SITE_DISPLAY_NAME_{site[\"name\"]}'] = site[\"display_name\"]\n os.environ[f'SITE_STATUS_{site[\"name\"]}'] = site[\"status\"]\n os.environ[f'SITE_LABELS_{site[\"name\"]}'] = str(site[\"site_labels\"])\n\n\n print('Site details stored in environment variables.')\n else:\n print('No sites found')\n else:\n print('Failed to fetch sites')\n<\/code><\/pre>\n4. Empieza a combinar endpoints para crear una monitorizaci\u00f3n continua de la seguridad<\/h3>\n
def get_error_logs():\n \"\"\"Fetches error logs up to 1,000 lines.\"\"\"\n url = f'{base_url}\/sites\/environments\/{company_id}\/logs?file_name=error&lines=1000'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n logs = response.json()\n return logs\n else:\n print(f'Failed to fetch error logs. Status code: {response.status_code}')\n return None\n<\/code><\/pre>\nschedule<\/code>, que ejecutar\u00e1 una tarea a intervalos fijos. Para implementar esto, podemos crear otra funci\u00f3n que imprima registros, y luego llamarla utilizando schedule<\/code> en main<\/code>:<\/p>\ndef fetch_and_print_logs():\n \"\"\"Checks for error logs, and if present, prints them to screen.\"\"\"\n logs = get_error_logs()\n\n if logs:\n print('Error Logs:')\n for log in logs:\n print(log)\n print('---')\n\n\n# Schedule the log fetching task to run once a day at a specific time\nschedule.every().day.at('09:00').do(fetch_and_print_logs)\n\n\n#main.py\n\u2026\n\n while True:\n schedule.run_pending()\n time.sleep(1)\n<\/code><\/pre>\nbackups<\/code>, por ejemplo. Con un poco de trabajo, tambi\u00e9n podr\u00edas construir un sistema completo para automatizar y bloquear continuamente las direcciones IP de tu sitio \u2014 \u00a1tienes muchas posibilidades!<\/p>\nUtilizar la API de Kinsta junto con otros plugins de WordPress<\/h2>\n
![\"Un](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/wordfence-plugin.png\")
![\"Una](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/wp-activity-log.png\")
Mantener los est\u00e1ndares de cumplimiento con WordPress y Kinsta<\/h2>\n
![\"Una](\"https:\/\/kinqsta.com\/wp-content\/uploads\/2024\/05\/trust-kinsta.png\")
\n
Consejos \u00f3ptimos para utilizar la API de Kinsta y WordPress para la seguridad y el cumplimiento normativo<\/h2>\n
const resp = await fetch(\n `https:\/\/api.kinqsta.com\/v2\/validate`,\n {\n method: 'GET',\n headers: {\n Authorization: 'Bearer <API_KEY>'\n }\n }\n);\n\n\nconst data = await resp.text();\nconsole.log(data);\n<\/code><\/pre>\n\n
git crypt<\/code>, git-remote-gcrypt<\/code>, o git secret<\/code>.<\/li>\n<\/ul>\n\n
Resumen<\/h2>\n