Como el sistema de gestión de contenido más popular del planeta, WordPress también se ha convertido en la plataforma CMS dirigida más grande para piratas informáticos.
Sucuri informa que el 94% de los sitios infectados que limpiaron ejecutaban WordPress, mientras que el 2,5% ejecutaba Joomla y el 1,28% ejecutaba Drupal.
Esto lleva a muchos a creer falsamente que WordPress es una plataforma insegura en comparación con sus competidores.
En verdad, el núcleo de WordPress es más seguro que las plataformas de la competencia. Desde que se lanzaron por primera vez las vulnerabilidades que han tenido cada uno son:
- Drupal 333 Vulnerabilidades.
- Joomla 382 Vulnerabilidades.
- y WordPress solo tiene 294 vulnerabilidades.
Podría decirse que de los tres, WordPress es el más seguro.
¿Por qué WordPress se considera inseguro?
Una de las cosas por la que WordPress se ha vuelto tan popular, es por su versatilidad a la hora de añadirle funcionalidades adicionales, instalando unos plugins.
El equipo central de WordPress no comprueba periódicamente si existen vulnerabilidades en estos plugins. Esto, junto con el hecho de que WordPress es el CMS más popular, significa que está bajo un ataque constante de bots que investigan vulnerabilidades conocidas.
Con demasiada frecuencia, el usuario final elige WordPress por su facilidad de uso, con un conocimiento mínimo sobre cómo mantener saludable una web a largo plazo.
WordPress puede ser muy seguro si se mantiene correctamente
Sucuri determinó que el 56% de las webs infectadas no contaban con las últimas actualizaciones de su CMS, y más aún si nos fijamos en las versiones de PHP obsoletas, menos del 50% apenas y estaba actualizado a versiones con soporte. Recordemos que php 7.0 se volvió obsoleta en Enero de 2019.
Esto demuestra que básicamente las webs son vulnerables principalmente por la falta de mantenimiento y no por la plataforma con la que se realizan.
WordPress, se utiliza en sitios como: Microsoft News, La Casa Blanca y RolingStones, lo que demuestra que estas organizaciones confían en la plataforma para mantener segura su información.
¿Y cómo lo hacen? Pues siguiendo un conjunto de principios de desarrollo y mantenimiento que, cuando se cumplen, minimizan el riesgo.
Buenas Prácticas para mantener seguro WordPress
Siguiendo los pasos a continuación, puedes mantener tu WordPress tan seguro y protegido como cualquier plataforma de la competencia.
1. Minimizar el riesgo al utilizar los Plugins
Con demasiada frecuencia, se suele recurrir a instalar plugins para resolver cualquier problema o necesidad en WordPress.
Como resultado tenemos una instalación inflada con muchos plugins, que en algunos casos suelen ser de baja reputación y que pueden generar riesgos de vulnerabilidad.
Yo recomiendo tomar en cuenta 3 cosas:
- Utilizar plugins que tengan una buena valoración en el repositorio y que estén frecuentemente actualizados.
- Plugins que no vayas a utilizar bórralos, ya que aun estando desactivados pueden ser usados para explotar vulnerabilidades.
- Y finalmente si algo se puede resolver sin instalar un plugins, házlo en lugar de confiar en un tercero.
Recuerda que una alternativa al uso de plugins son los Snippets, que te permiten añadir funcionalidades sin recurrir a los Plugins.
Si no sabes que es un Snippet, visita esta página para que veas la explicación detallada. Los snippets son muy utilizados en WordPress y sería genial que aprendas a utilizarlos.
2. Actualiza WordPress con frecuencia
Dado que la causa más común de infecciones se debe a un sitio web con un mantenimiento inadecuado, este se puede resolver fácilmente manteniendo actualizados tanto el núcleo de WordPress como los plugins y las plantillas.
Las actualizaciones son una de las formas más sencillas de proteger wordpress. Revisa con frecuencia, si los plugins que utilizas reciben actualizaciones frecuentes o han quedado abandonados, en este caso reemplaza su funcionalidad o elimínalo lo antes posible.
Los plugins sin mantenimiento son una receta para el desastre.
3. Usa plugins de Seguridad de WordPress
Existen varios plugins de seguridad, como WordFence o Sucuri que monitorearán y protegerán tu instalación de WordPress de ataques de vulnerabilidad de día cero.
Si es posible, utiliza uno de estos plugins para mantener tu sitio seguro, ya que monitorean los cambios en los archivos, vulnerabilidades conocidas, y también proporcionan firewalls para los problemas más comunes.
4. Aplica Reglas de Firewall y/o Autenticación de 2 pasos
Algo muy importante es proteger el acceso a nuestro WordPress, para ello puedes habilitar la autenticación de 2 pasos (si usas WordFence, este ya lo incluye), evitar la enumeración de los usuarios y de ser posible utilizar reglas de firewall.
Si no tienes un VPS o no eres experto en sistemas linux la manera mas practica y rápida de aplicar reglas de firewall es utilizando CloudFlare. Estas reglas te permiten proteger wordpress de ataques de fuerza bruta en la página de login. Aquí te dejo un video que explica cómo se hace, es super facil.
La autenticación de dos factores es mejor cuando tienes varios usuarios capaces de editar el contenido. Esto minimizará el riesgo de ser infectados por una contraseña débil o que los usuarios han sido hackeados.
5. Evalúa un Hosting de WordPress Administrado
Los hosting de WordPress Administrado se han vuelto muy populares, ya que hacen que el mantenimiento de WordPress sea significativamente más fácil.
Esto se debe a que este tipo de hosting bloquea la escritura de los archivos del núcleo de wordpress, para evitar que una vulnerabilidad alteren el comportamiento predeterminado a nivel de servidor.
Los hosts administrados con frecuencia brindan copias de seguridad periódicas, firewalls de aplicaciones web, protección DDoS y CDN, excelentes herramientas para mejorar el rendimiento y minimizar el riesgo para los sitios vulnerables.
Esta es la principal ventaja, mas es recomendable evaluar según el tipo de proyecto si te conviene o no ya que también tiene sus contras.
Te dejo unos enlaces de 3 empresas de Hosting WordPress Administrado que ofrecen esto servicios:
- Hosting WordPress con Godaddy (a partir de 1,00€ /mes)
- Hosting WordPress con Namecheap (te dan 30 días gratis y tiene planes desde 3,88$ /mes)
- Hosting WordPress con Hostinger (buenas prestaciones desde 1,99€ /mes)
Conclusión
WordPress es una plataforma poderosa y segura para ejecutar casi cualquier tipo de sitio web siempre y cuando haya un compromiso con de mantenimiento a largo plazo.
Como beneficio adicional, WordPress tiene la interfaz de back-end más intuitiva y fácil de usar, un potente soporte de SEO y una personalización extrema.
Espero que este artículo te sea de utilidad y cualquier duda puedes dejarla en los comentarios.
