Las estadísticas confirman que el 17% de los sitios web están ahora funcionando con el CMS de Wordpress.org, y este número sigue creciendo. Este software hace que la creación, actualizaciones y mantenimiento sean sencillos, sin limitar las prestaciones que puede darnos. Por estos motivos es el CMS más utilizado en estos días.
Pero si piensas que puedes utilizar Wordpress sin tener que preocuparte por la seguridad, es posible que tengas que evaluar tus puntos de vista al respecto.
Estadísticas de Seguridad en Wordpress
Lo cierto es que Wordpress está abierto a continuos ataques de seguridad. Una búsqueda rápida de todas las vulnerabilidades reportadas de National Vulnerability Database muestra que existen 509 vulnerabilidades relacionadas con este CMS.
Cerca de 30 de estas vulnerabilidades se enumeran en los últimos tres meses.
Hay que matizar que los datos que hemos visto anteriormente puede tener algunas limitaciones y no ser un indicador preciso de las debilidades de seguridad en Wordpress, pero puede ser un buen recordatorio para no tener problemas en el futuro.
Sin ir más lejos podemos ver más intentos de hacking en estos meses pasados. The Hacker News informó que millones de sitios con Wordpress fueron utilizados para llevar a cabo ataques de denegación de servicios. El informe detalla cómo se están utilizando los blogs legítimos de Wordpress para acabar con un sitio web de gran tamaño.
Hace menos de dos meses también se informó que un fuerte botnet estaba dirigido a 90.000 servidores de sitios de Wordpress. El botnet está tratando de entrar en estos sitios por la fuerza bruta. Citando cifras de Sucuri informan que el número de intentos de fuerza bruta se han triplicado en los meses pasados.
¿Qué hace que WordPress sea tan vulnerable?
Popularidad
WordPress es inmensamente popular. Según la estadística oficial de la organización, hay más de 66 millones de sitios web de WordPress en todo el mundo, con aproximadamente 100.000 nuevas instalaciones por día. Este CMS también es utilizado por muchos de los sitios web más visitados e importantes del mundo, como CNN, Mashable, The New York Times, UPS, NBC Sports, TechCrunch, Forbes, eBay, Reuters, Sony.
Al ser el CMS más popular hasta la fecha, si un hacker puede descubrir una manera de hackear un sitio con Wordpress, puede conseguir una mina de oro por tener muchos sitios donde entrar.
Las versiones antiguas.
Wordpress lanza de forma periodica una nueva versión con mejoras. Sin embargo la mayoría de los usuarios no actualizan la versión de Wordpress que utilizan. El problema de estas versiones antiguas tienen más vulnerabiidades que las últimas versiones, con todos sus parches y actualizaciones.
Temas y plugins problemáticos.
En ocasiones las vulnerabilidades no vienen de Wordpress en sí, la procedencia de ataques puede llegar por los plugins que se utilizan. Algunos complementos y plantillas están mal escritos y pueden ser un acceso fácil para hackers una vez que son instalados. Otros plugins incluso traen consigo contenido malicioso. Algunos themes pueden traer troyanos camuflados en una plantilla válida, pero una vez activada el virus ataca el sistema de Wordpress y la base de datos del sitio.
La pereza.
Una gran cantidad de usuarios de WordPress no se toman muy en serio la seguridad. Suelen utilizar contraseñas débiles y no toman medidas preventivas contra los ataques.
El fortalecimiento de la seguridad en Wordpress
Conociendo todas estas vulnerabilidades ¿qué podemos hacer para asegurarnos de que nuestro sitio es seguro?
1. Utiliza sólo la última versión de WordPress. Si tienes la antigua actualiza a la última versión de inmediato.
2. Oculta el archivo wp-config.php. De todos los archivos de una instalación de Wordpress el wp-config.php debería ser el más confidencial. El problema es que este archivo se encuentra en el directorio raiz por defecto, por lo que es más sencillo localizar por los hackers. La buena noticia es que las versiones actuales de Wordpress te perminten mover este archivo a otro lugar, para que solo se pueda acceder a este archivo por FTP o SSH.
3. Cambia el nombre de usuario «admin» que viene por defecto. Una de las muchas formas que los hackers obtienen acceso a nuestra instalación de Wordpress es por la fuerza bruta. Esto quiere decir que van a utilizar un programa para probar una larga lista de palabras para tu nombre de usuario y contraseña. Para no poner tan fácil el acceso utilizando el nombre por defecto «admin», es recomendable no utilizar un nombre tan genérico.
4. Puedes utilizar algunos de estos plugins para ayudar a la seguridad de tu sitio. Estos son algunos de los complementos:
- Secure WordPress. Es posible que no lo sepas, pero los hackers pueden encontrar vulnerabilidades en tu instalación de WordPress con sólo mirar la información que está disponible de libre acceso en tu sitio. Por ejemplo es posible ver la versión de WordPress que estás utilizando, o que tienes plugins por actualizar. Secure WordPress esconde esta información a los usuarios no autorizados además de otros aspectos para tener el sitio más seguro.
- Defender web. Este plugin permite hacer un control de seguridad del sitio. Si se encuentra con un problema, dicha aplicación proporciona recomendaciones sobre cómo solucionarlos.
5. Informar de los errores. Si descubres errores y agujeros de seguridad puedes informar de estos a security@wordpress.org. Si encuentra errores en un plugin repórtalo a plugins@wordpress.org. WordPress es un software de código abierto, lo que significa que existe una comunidad sólida detrás para ayudar. Este sistema de apoyo formidable puede solucionar estos errores o corregir estas vulnerabilidades.
6. No instales themes de Wordpress gratuitos provenientes de fuentes poco fiables. Es probable que los sitios de freeware o Warez incluyan plantillas gratuitas para la descarga, pero no tienen ninguna garantía de seguridad. Para estar seguro utiliza themes premium o los themes gratuitos de Wordpress.org.
Conclusión de la seguridad en Wordpress
Al igual que todo lo que hacemos por Internet, debemos tener un mínimo de sentido común con lo que hacemos. Utiliza contraseñas con caracteres especiales que son más difíciles de descifrar. No utilices la misma contraseña en todas partes. Usa sólo los plugins y themes que provienen de fuentes confiables.
Por último no te dejes seducir por una falsa sensación de seguridad. Un sitio con Wordpress puede ser muy difícil de entrar si no estamos autorizados, pero esto no significa que estamos fuera de peligro. Ahora que sabemos que nunca se está del todo seguro, realiza estos consejos para una mayor seguridad en nuestro sitio de Wordpress.
Los Mejores Plugins de MailChimp para WordPress Gratuitos
Como Crear un Widget Flotante en el Sidebar de Wordpress
6 plugins gratis y premium para migrar y hacer copias de seguridad en Wordpress
4 Plugins WordPress para Incluir Noticias de los Mercados Financieros
Las 5 Mejores Herramientas de Gestión de Proyectos para WordPress
Yo añadiría unos consejos de seguridad para Wordpress: Actualizar la web, no usar el usuario admin, usar un antivirus y cortafuegos como Wordfence, tener contraseñas seguras en todos los usuarios (WP, FTP, MYSQL, Hosting, Emails, etc…), securizar los ficheros y carpetas de Wordpress y muchos más. Os dejo estos 11 consejos de seguridad para Wordpress:
http://soluciono.com/wordpress-consejos-seguridad-top-10-tips-plugins/