7 mitos de seguridad de WordPress: completamente desmentidos y desacreditados

Publicado: 2023-10-21

A pesar de ser el sistema de gestión de contenidos más popular del mundo, siguen circulando mitos sobre la seguridad de la plataforma WordPress. Debido a su naturaleza de código abierto, los usuarios inexpertos pueden considerarlo menos seguro que un producto comercial. Además, es posible que se sientan desconcertados por los informes sobre problemas de seguridad de WordPress en las noticias.

7 mitos de seguridad de WordPress: completamente desmentidos y desacreditados: titulares de seguridad de WordPress

Mito #1: La seguridad es el trabajo de su proveedor de hosting

Como principiante o propietario de un sitio web por primera vez, podría pensar que mantener su sitio web seguro es dominio de las personas a las que paga para mantenerlo en línea. Y eso es cierto en cierto modo; Su proveedor de alojamiento web es, de hecho, la primera línea de defensa. Su trabajo es asegurarse de que no sea fácil acceder a su servidor web y proteger la entidad física en la que reside su sitio. Si no lo hacen, simplemente son un mal anfitrión.

La seguridad del sitio web es principalmente su responsabilidad

Sin embargo, aparte de eso, el grado de implicación de su proveedor de alojamiento con la seguridad de su sitio web de WordPress realmente depende de su plan. En un host compartido, un host VPS o incluso un servidor dedicado, básicamente solo alquilas el espacio del servidor. Lo que hagas con eso, depende de ti.

7 mitos de seguridad de WordPress: completamente desmentidos y desacreditados: alojamiento web

Eso significa que el proveedor de alojamiento no le ayuda de ninguna manera a mantener seguro su sitio web de WordPress. Ese es tu trabajo.

Claro, algunos proveedores ofrecerán funciones de seguridad adicionales como un firewall o CDN. También monitorearán sus servidores en busca de malware, virus, etc., y tomarán medidas si detectan algo en su sitio. Sin embargo, muchas veces eso también significa que desactivan su sitio y le piden que lo arregle. No es una solución ideal, especialmente si eres principiante.

El alojamiento administrado puede ayudar

Si desea que su proveedor de alojamiento asuma un papel más activo en la seguridad de su sitio web de WordPress, debe optar por el alojamiento administrado. Se llama así porque, además de proporcionar espacio en el servidor, un proveedor de alojamiento administrado también se hace cargo de algunas de las tareas diarias que conlleva la ejecución de un sitio web. La seguridad es una de ellas, al igual que la optimización de la velocidad, las actualizaciones del sitio y el soporte de expertos.

7 mitos de seguridad de WordPress: completamente desmentidos y desacreditados: alojamiento de WordPress administrado desde WP Engine

Por supuesto, este tipo de servicio cuesta más, sin embargo, a menudo vale la pena dependiendo de su confianza en su propio nivel de habilidad para proteger su sitio. Puede proporcionar mucha tranquilidad.

Sin embargo, en general, disipemos este mito de seguridad de WordPress de una vez por todas: a menos que sea parte del servicio que haya reservado, su proveedor de alojamiento no es responsable de la seguridad de su sitio web ni de evitar que sea violado o pirateado. Esa responsabilidad es tuya.

Mito n.º 2: WordPress en sí mismo es un riesgo para la seguridad

Ahora bien, podría estar pensando: “Vale, si el proveedor de hosting no hace esto por mí, ¿no es arriesgado confiar en un software gratuito? ¿Qué tan bueno puede ser algo que un grupo de voluntarios hacen en su tiempo libre? Además, veo a gente de Wix decirme en la televisión que WordPress tampoco es seguro”.

Muy bien, abordemos esto a continuación.

Lo primero que tienes que entender es que nada conectado a Internet es completamente seguro. Miles de sitios web son pirateados cada día, desde los más grandes hasta los más pequeños. Es como en la vida, al final, solo hay diferentes niveles de inseguridad y hay que asegurarse de que sea lo más improbable posible que suceda algo malo.

WordPress tiene amplias medidas de seguridad

Aquí, a WordPress no le va peor que a otros. De hecho, a lo largo de los años, la plataforma ha implementado un sistema sólido para descubrir y abordar problemas de seguridad en el producto principal.

Hay un equipo de seguridad dedicado compuesto por unos 50 expertos, incluidos desarrolladores líderes, investigadores de seguridad y otros profesionales de la seguridad web. Muchos de ellos trabajan para WordPress.com, una empresa que tiene un gran interés en proteger el software en el que se basa todo su negocio.

Además, el equipo consulta con equipos de seguridad de otras empresas de alojamiento e incluso con sistemas de gestión de contenidos.

Su función es monitorear activamente WordPress en busca de vulnerabilidades y responder rápidamente a cualquier cosa que surja. Si algo informado es lo suficientemente grave, tienen la posibilidad de crear y enviar un parche inmediato. Esto se instalará automáticamente en cualquier sitio web de WordPress superior a la versión 3.7, a menos que desactive específicamente esta función.

7 mitos de seguridad de WordPress: completamente desmentidos y desacreditados; Medidas de seguridad de WordPress

Además de eso, WordPress generalmente recibe actualizaciones frecuentes, alrededor de dos o tres nuevas versiones principales por año con actualizaciones menores, de mantenimiento y de seguridad en el medio. Cada uno viene con soluciones para posibles problemas de seguridad y un extenso proceso de prueba.

Su comunidad es su principal activo

Además de lo anterior, es posible que tengas una imagen equivocada de cómo es realmente este “grupo de voluntarios”. Muchos de ellos son empleados de empresas millonarias que utilizan WordPress para sus negocios. Además, todos ellos tienen algo que ver con mantener seguro el software en el que basan su sustento.

En general, la naturaleza de código abierto de WordPress es parte de su fortaleza. El código fuente está disponible gratuitamente y está abierto para que cualquiera pueda inspeccionarlo, así como encontrar e informar sobre lagunas de seguridad. Y mucha gente lo hace. Quiero decir, basta con mirar la cantidad de contribuyentes para WordPress 6.3.

7 mitos de seguridad de WordPress: completamente desmentidos y desacreditados

Por último, existen muchos proveedores de alojamiento especializados y complementos de seguridad para mejorar aún más la seguridad de los sitios web de WordPress. Sin mencionar las miles de publicaciones de blogs y tutoriales que también ayudan a los usuarios a implementar medidas de seguridad.

Entonces, ¿qué decimos de este mito de seguridad de WordPress? No es verdad. Los sistemas implementados para garantizar la seguridad y la inexpugnabilidad del producto principal de WordPress son iguales o superiores a los de las entidades comerciales.

Mito nº 3: WordPress es la plataforma más pirateada

Algo que podría contribuir a su inquietud sobre el uso de WordPress son las estadísticas que dicen que es el CMS más pirateado que existe. Y es cierto, la plataforma ha aparecido en las noticias por algunos problemas de seguridad de alto perfil en el pasado. Quiero decir, solo mira este gráfico, ¿no te hace escéptico sobre el uso de WordPress para algo serio?

7 mitos de seguridad de WordPress: completamente desmentidos y desacreditados: distribución de plataformas de sitios web infectados en 2022

Considere el tamaño de WordPress

Llegados a este punto, tenemos que volver a referirnos a una de las primeras cosas que dijimos en la introducción. WordPress es el sistema de gestión de contenidos más popular que existe.

¿Qué tan popular es?
Según W3techs, impulsa más del 43% de todos los sitios web de Internet.

En números absolutos, eso equivale a más de 470 millones de sitios. Son muchos sitios web. Además, como puede ver en el gráfico anterior, ningún otro sistema se acerca siquiera a estas estadísticas.

Entonces, ¿por qué WordPress es la plataforma más pirateada? Porque hay muchos más sitios web de WordPress para hackear.

Piénselo, si fuera alguien que se gana la vida irrumpiendo en los sitios web de otras personas, ¿a qué sistema se dirigiría? ¿El que tiene un suministro interminable de víctimas potenciales y más posibilidades de que alguien deje una puerta lateral abierta, o aquel en el que los objetivos están lejos y entre sí? Probablemente sepas la respuesta.

El núcleo de WordPress no es el problema

Finalmente, si profundizas en las estadísticas, descubrirás rápidamente que sólo un porcentaje muy pequeño de los hacks exitosos de WordPress se deben al propio WordPress. E incluso en esos casos, muchas veces porque el sitio web ejecuta una versión desactualizada.

La gran mayoría de las vulnerabilidades provienen de las extensiones de WordPress, en particular de los complementos.

Entonces, sí, WordPress es de hecho la plataforma más vulnerada, y gran parte de este mito de seguridad es cierto. Sin embargo, la razón detrás de esto tiene muchos más matices.

Mito #4: Entonces los complementos de WordPress no son seguros

Un observador atento (que seguramente lo es) podría haber notado que simplemente tiramos todo nuestro argumento debajo del autobús allí arriba. Aparentemente, admitimos que los complementos de WordPress son un gran problema de seguridad.

Dado que son una parte central del ecosistema y la experiencia de WordPress (porque todo el mundo los usa para agregar más funciones a los sitios web), eso debe significar que no tiene más remedio que crear sitios web inseguros con WordPress.

Chandler Bing Friends GIF - Buscar y compartir en GIPHY

¡Oh no, reventado!

El problema con los complementos

Naturalmente, también en este caso hay que tener más matices.

Sí, obviamente hay un problema con los complementos de WordPress. Son un punto de entrada común a los sitios web.

Sin embargo, para poner esto en perspectiva, primero hay que observar la gran cantidad de complementos que existen. Sólo el repositorio de WordPress tiene alrededor de 60.000. Además, hay muchos más disponibles en otras tiendas de la web.

Sin embargo, lo que es un activo del ecosistema de WordPress también puede ser un pasivo. Los autores de estos complementos tienen diferentes niveles de habilidad y no todos los complementos se mantienen y actualizan activamente. Por tanto, pueden tener diferentes niveles de calidad y seguridad del código.

La comunidad de WordPress es consciente de ello y hace todo lo posible para responder a este problema. Ha habido casos en los que los complementos con problemas conocidos se eliminaron del directorio de complementos. Además, tenemos gente trabajando en un verificador de complementos similar al complemento de verificación de temas para aumentar la calidad general de los complementos de WordPress.

Por lo tanto, la primera regla para combatir este riesgo de seguridad es asegurarse de utilizar complementos que a) provengan de fuentes confiables y b) reciban soporte y mantenimiento activos.

No se trata solo de los complementos, sino de cómo los usas

Sin embargo, los complementos en sí son sólo una parte de la ecuación. En muchos casos, el problema radica también en la forma en que la gente los utiliza en sus sitios. En el mismo informe mencionado anteriormente, también dice que el 36% de los sitios pirateados tenían un complemento desactualizado.

Entonces, al igual que con el núcleo de WordPress, el problema no es necesariamente el software, porque los problemas de seguridad se están solucionando, sino que los usuarios no aplican esas correcciones.

Además, a menudo hay un problema con la cantidad de complementos. Como se desprende de lo anterior, las extensiones conllevan algunos riesgos. Por lo tanto, cuantas más tenga, más puertas laterales potenciales introducirá en su sitio.

La solución: instale sólo tantos complementos como necesite para realizar el trabajo. Si no estás utilizando activamente un complemento, elimínalo. No permita que permanezca en su sitio web, donde no hace más que envejecer y potencialmente ofrecer un riesgo de seguridad.

Mito n.º 5: su sitio no es un objetivo, a nadie le importa

Este es un clásico entre los mitos de seguridad de sitios web, incluso fuera de WordPress. Mucha gente, especialmente aquellos que dirigen sitios web pequeños o de pasatiempos, no creen que ofrezcan un objetivo lo suficientemente rentable como para que un hacker se interese en atacarlo. Quiero decir, si solo publicas fotografías de tu hámster, ¿qué podría ganar alguien al violar tu sitio web?

La piratería no es personal

Hay dos cosas que debes entender aquí. Por un lado, el hackeo de sitios web no se parece en nada a lo que se ve en las películas. No hay una persona con una sudadera con capucha sentada frente a una computadora portátil que seleccione cuidadosamente su sitio y luego dedique su tiempo a buscar manualmente formas de acceder a él.

No, la gran mayoría de los ataques ocurren automáticamente. Existe un ejército de robots automatizados que escanean constantemente la web en busca de vulnerabilidades conocidas en los sitios web y, si encuentran una, la aprovechan. La mayoría de las veces eres simplemente una víctima de la oportunidad.

Apoderarse de su sitio no es realmente el objetivo

En segundo lugar, hackear un sitio web a menudo no consiste en robar datos financieros u otra información confidencial. En la mayoría de los casos, los piratas informáticos simplemente intentan apoderarse de partes de su sitio para utilizarlas en su propio beneficio:

  • Reclutarlo como parte de una botnet para usarlo en cosas como ataques DDoS.
  • Envía spam desde tu servidor de correo
  • Propague malware a las computadoras de sus visitantes
  • Publique enlaces a sitios web fraudulentos en su sitio

Algunas personas también lo hacen simplemente para desfigurar su sitio y demostrar sus habilidades.

El mundo GIF - Buscar y compartir en GIPHY

Así que tenlo en mente. Esto no se trata de ti. Se trata simplemente de ser un objetivo que puede ser explotado y debes hacer todo lo posible para evitarlo.

Mito número 6: el uso de contraseñas seguras mantendrá su sitio seguro

El uso de información de inicio de sesión segura es definitivamente parte de la seguridad de WordPress, eso no es un mito. Hay muchas maneras en que las contraseñas y los nombres de usuario débiles pueden volver en su contra:

  • Ataques de fuerza bruta : significa que un programa prueba aleatoriamente diferentes combinaciones de nombre de usuario y contraseña hasta que algo funciona.
  • Relleno de credenciales : esto es similar a los ataques de fuerza bruta, aunque más dirigidos. En este caso, un hacker utiliza credenciales que ya han sido comprometidas, por ejemplo, reveladas en otro ciberataque. Este ataque se basa en que muchas personas reutilizan sus nombres de usuario y contraseñas.

Si no cree que esto pueda ser tan malo, aquí tiene una infografía que le muestra qué tan rápido, en promedio, los piratas informáticos pueden descifrar su contraseña en función de su complejidad.

Por lo tanto, las contraseñas seguras ayudan a proteger su sitio. Entonces, ¿por qué aparece este punto en una lista de mitos de seguridad de WordPress?

Porque las contraseñas seguras por sí solas no bastan. La seguridad de los sitios web es un rompecabezas del que son sólo una pieza. Si descuida el resto, seguirá dejando importantes vías abiertas para que los atacantes accedan a su sitio web.

Además, las contraseñas son sólo el comienzo. Para bloquear realmente su página de inicio de sesión, lo mejor sería limitar los intentos de inicio de sesión, utilizar la autenticación multifactor y considerar un firewall. Además, unas credenciales sólidas no sólo son importantes para el sitio en sí, sino también para todo lo relacionado con él, como su alojamiento y sus cuentas FTP.

Mito #7: Simplemente instale un complemento de seguridad y trabajo hecho

Muchos principiantes, que no saben mucho sobre la seguridad de WordPress, confían en complementos para mantener su sitio seguro. Y los complementos de seguridad de WordPress como WordFence, MalCare o Sucuri son una bendición para eso. Son muy útiles para ayudar a los usuarios sin experiencia a proteger su sitio contra atacantes con solo unos pocos clics.

Sin embargo, nuevamente, esta no es una forma segura de mantener su sitio seguro. El área de influencia de estos complementos tiene sus límites: en realidad sólo pueden bloquear el sitio en sí, pero no tienen poder sobre su entorno más amplio.

Si su sitio reside en un servidor no seguro o su cuenta de hosting es vulnerada mediante una contraseña débil, su complemento de seguridad no podrá defender su sitio contra ello. Entonces, nuevamente, los complementos de seguridad de WordPress en sí mismos no son un mito, es solo que no pueden hacer el trabajo por sí solos.

Mito final: la seguridad de WordPress es complicada

La idea de que mantener seguro su sitio web de WordPress es difícil es otro mito que impide que las personas inicien el suyo propio. Si bien este es un tema importante, tampoco es ciencia espacial. Al final, la mayor parte de la seguridad de un sitio web se reduce a seguir algunas prácticas recomendadas:

  • Utilice un proveedor de alojamiento adecuado, opte por alojamiento administrado si desea ayuda con la seguridad
  • Mantenga WordPress y todos los complementos y temas actualizados
  • Tenga solo el mínimo de extensiones en su sitio, deshabilite y elimine las que no esté usando activamente y asegúrese de que lo que tiene en el sitio esté bien mantenido.
  • Asegúrese de que sus credenciales de inicio de sesión sean sólidas y manténgalas seguras, mejore la seguridad limitando los intentos de inicio de sesión y mediante la autenticación multifactor
  • Haga una copia de seguridad de su sitio web periódicamente para poder volver a una versión anterior
  • Utilice los complementos de seguridad de WordPress para obtener ayuda, pero también considere las partes sobre las que no tienen control.

Con esto en su lugar, la probabilidad de que algo le suceda a su sitio debería reducirse considerablemente, incluso si nunca puede ser cero.

¿De qué mito de seguridad de WordPress escuchas regularmente o al que solías suscribirte? ¡Háganos saber en los comentarios!