Estadísticas de seguridad de WordPress: ¿Qué tan seguro es realmente WordPress?

¿Es WordPress realmente seguro? Probablemente esa sea una pregunta en la mente de muchos usuarios nuevos, especialmente cuando escuchan que es un proyecto de código abierto. Entonces, ¿hay alguna estadística sobre la seguridad de WordPress que pueda dar una respuesta?

De hecho, los hay, y en esta publicación hemos intentado recopilar tantas cifras significativas sobre este tema como sea posible. A continuación, examinaremos informes y estadísticas de la industria sobre la seguridad del núcleo, los temas y complementos de WordPress, la información de inicio de sesión y los entornos de alojamiento.

Al final, queremos que no sólo tengas una buena idea sobre la situación de seguridad de WordPress, sino que también sepas exactamente dónde se encuentran los riesgos para que puedas abordarlos.

Estadísticamente, WordPress es el objetivo más popular para los piratas informáticos

El primer dato que importa cuando se habla de seguridad de WordPress es el 43%. Según W3Techs, esa es la proporción mundial de sitios web que se ejecutan en WordPress. Tenga en cuenta que no se trata de su cuota de mercado en sistemas de gestión de contenidos (que es mayor) sino del total de sitios web en Internet.

Ese es un número bastante grande. Y es importante porque, si bien como fanáticos de WordPress esto es algo de lo que estar orgullosos, también tiene una desventaja: la exposición.

La gran cantidad de sitios web que se ejecutan en WordPress significa que la plataforma es un objetivo principal para los piratas informáticos. De hecho, en el informe de investigación de amenazas de 2022 de Sucuri, los sitios de WordPress representaron el 96,2% de todos los sitios web infectados.

Realmente no suena seguro, ¿verdad?

Cuando ve estadísticas como esa de forma aislada, su primer pensamiento podría ser que WordPress efectivamente tiene un problema de seguridad. ¿Por qué si no representaría una mayoría tan grande de hacks exitosos?

Por eso comenzamos con el primer número. WordPress es simplemente un objetivo mucho más destacado y lucrativo. Optar por un sistema que le permita intentar atacar literalmente cientos de millones de sitios web en lugar de uno con una base de usuarios mucho más pequeña es mucho más económico y eficiente. Al parecer, eso también es lo que piensan los hackers.

La mala noticia es que a menudo lo consiguen. Cada año, cientos de miles de sitios web de WordPress son pirateados con éxito. La buena noticia es que, como verá a continuación, eso no se debe a que WordPress sea inherentemente inseguro. De hecho, muchos de estos hacks exitosos son completamente evitables. Sólo necesitas saber cómo protegerte.

Estadísticas de vulnerabilidad central de WordPress

En la búsqueda de responder si WordPress es seguro o no, comencemos con estadísticas sobre la seguridad del software principal de WordPress.

La mayoría de los sitios web pirateados no se han actualizado

Según el informe de Sucuri, la mayoría de los sitios web de WordPress pirateados están desactualizados. En 2022, más de la mitad de los infectados con malware no ejecutaban la última versión de WordPress.

Esto no es una sorpresa, algunas versiones anteriores del CMS tienen problemas de seguridad bien conocidos que se han divulgado públicamente. Entonces, si continúas ejecutando tu sitio web en uno de ellos, simplemente estás invitando a alguien a aprovechar eso.

De hecho, las ediciones de WordPress con más problemas de seguridad son todas hasta la versión 4.0. Desde entonces, el número de vulnerabilidades ha disminuido constantemente.

El informe Sucuri también lo refleja. En comparación con cifras anteriores, la proporción de sitios de WordPress pirateados por no estar actualizados ha disminuido.

De hecho, WordPress tuvo la proporción más baja de infecciones debido a versiones obsoletas entre todos los CMS que encontraron.

Este ha sido el caso durante dos años seguidos y la participación de WordPress ha caído ligeramente durante ese tiempo. Aquí está 2021 para comparar.

Este es un problema del usuario, no un problema de WordPress

Entonces, ¿cómo mantienen actualizados sus sitios web los usuarios de WordPress? Bueno, muchos no lo hacen. Aquí están las versiones de WordPress que se ejecutan en sitios web en la naturaleza según el seguimiento de WordPress.org.

Como puede ver, sólo alrededor del 60%% tiene la última versión. Sin embargo, la buena noticia es que al menos la gran mayoría está en WordPress 4.0 o superior, donde la situación de vulnerabilidad mejora mucho. Además, tres cuartas partes se han actualizado a la última versión principal, lo que supone una mejora con respecto a antes. En 2016, esa proporción era solo de alrededor del 50%.

Una de las razones probablemente sean las actualizaciones automáticas que se introdujeron en la versión 5.6. Ya no tendrá que depender de que los usuarios hagan clic manualmente en el botón Actualizar . En cambio, los sitios web pueden instalar automáticamente nuevas versiones de WordPress, lo que aparentemente ha contribuido a esta tendencia positiva.

La infraestructura de seguridad de WordPress funciona

A pesar de la reticencia de los usuarios a actualizar sus sitios web, el sistema de seguridad del núcleo de WordPress hace muy bien su trabajo. El equipo de seguridad de WordPress encuentra y soluciona rápidamente problemas en cada nueva versión de WordPress.

En 2023, ya teníamos tres versiones de seguridad que parcheaban entre 20 y 30 vulnerabilidades potenciales. Solo WordPress 6.0.3 contenía 16 correcciones de seguridad. También hubo cuatro versiones de seguridad en el proyecto en 2022, que solucionaron 26 errores de seguridad en total.

Además, esta vigilancia se extiende a otras partes del ecosistema. Elementor encontró una vulnerabilidad crítica que se solucionó rápidamente, Ninja Forms recibió una actualización forzada de WordPress.org y BackupBuddy también corrigió una falla de seguridad de alta gravedad y envió la versión actualizada a sus usuarios.

Entonces, si bien WordPress tiene problemas de seguridad como cualquier otro software, cuenta con mecanismos de seguridad que responden rápidamente a ellos. Uno de los mayores obstáculos que quedan es lograr que los usuarios apliquen las soluciones.

Estadísticas sobre seguridad de temas y complementos de WordPress

Como el CMS más popular, WordPress viene con una gran cantidad de extensiones, muchas de ellas gratuitas. En el momento de escribir este artículo, hay casi 60.000 complementos sólo en el directorio de WordPress, así como más de 11.000 temas.

Eso sin contar los miles de otros complementos que están disponibles en otras partes de la web, a menudo como soluciones premium. Eso es lo bueno de WordPress: busques lo que busques, lo más probable es que ya exista una solución.

Al mismo tiempo, cada extensión que instala en su sitio es un punto de entrada potencial para un atacante. Los temas y complementos son responsabilidad de los desarrolladores individuales. No se prueban tan rigurosamente como el núcleo de WordPress y, por lo tanto, es más probable que contengan fallas de seguridad. Además, a veces los desarrolladores simplemente dejan de respaldar su trabajo y éste queda obsoleto.

Por lo tanto, no sorprende que desempeñen un papel importante en las estadísticas de seguridad de WordPress, especialmente los complementos. De hecho, según WPScan.com, contienen la gran mayoría de las vulnerabilidades de WordPress.

Patchstack llegó a cifras similares.

Al parecer, los complementos gratuitos son un problema. Sucuri informa que los temas y complementos premium representan el 8,62% de todas las vulnerabilidades de terceros, mientras que las extensiones gratuitas representan el 91,38%.

También en este caso un problema común es que los propietarios de sitios web utilicen versiones obsoletas con problemas de seguridad conocidos. Sucuri informa además que el 36% de todos los sitios web comprometidos tenían al menos un complemento o tema vulnerable presente mientras se reparaban.

Las extensiones populares representan la mayoría de los hacks

También es interesante la distribución de qué complementos y temas causan problemas. Según Sucuri, los componentes vulnerables detectados con mayor frecuencia incluyeron versiones desactualizadas de Contact Form 7 (27,44%), Freemius Library (20,85%) y WooCommerce (14,51%). Hay algunos otros.

Entonces, ¿por qué seguimos permitiendo que existan estos complementos si están haciendo un trabajo de seguridad tan deficiente? Aquí se aplica lo mismo que para WordPress en general. No es necesariamente que estos complementos sean más inseguros, simplemente son muy populares. Solo Contact Form 7 tiene más de cinco millones de instalaciones.

Además, estos desarrolladores hacen un buen trabajo solucionando problemas de seguridad una vez que se conocen. El problema sólo ocurre cuando los usuarios no los aplican. Además, se están realizando esfuerzos para abordar las deficiencias de los complementos. Hubo una propuesta reciente para un Comprobador de complementos similar al complemento de verificación de temas que está en proceso.

Entonces, ¿qué aprendemos de eso? Mantenga sus temas y complementos actualizados como el resto de su sitio de WordPress.

Vulnerabilidades de inicio de sesión

Las credenciales de inicio de sesión son otro factor en los sitios web que sufren un ataque exitoso. Los nombres de usuario y contraseñas débiles suponen un grave riesgo para la seguridad. Se ven comprometidos fácilmente mediante ataques de fuerza bruta y relleno de credenciales.

Cuando sucede algo así, realmente no importa qué tan actualizado esté su sitio o la seguridad de sus complementos y temas. Una vez que alguien tiene acceso completo a su sitio, existen pocos límites a lo que puede hacer.

Por ejemplo, Sucuri encontró usuarios administradores de WordPress maliciosos en el 32,69% de los sitios web infectados. Sólo por diversión, aquí están los nombres de usuario y correos electrónicos que más utilizaron.

Por otro lado, esta es una de las partes que más están bajo el control directo de los usuarios. Por ejemplo, WordPress viene con un generador automático de contraseñas seguras. ¿Por qué no aprovecharlo?

Sin embargo, debe hacer lo mismo con otras cuentas relacionadas con su sitio web, como alojamiento y credenciales FTP. Además, existen medidas adicionales para proteger su página de inicio de sesión, como limitar los intentos de inicio de sesión y la autenticación de dos factores.

Estadísticas de seguridad de alojamiento

El entorno de alojamiento y las tecnologías presentes en él también desempeñan un papel en la seguridad, especialmente la versión PHP en la que se ejecuta WordPress. Por ejemplo, PHP 7 introdujo mejores funciones de seguridad que su predecesor PHP 5.

Además, los desarrolladores de PHP tienen una política de fin de vida bastante estricta para sus versiones anteriores. Al momento de escribir este artículo, todo lo anterior a 8.0 ya no recibe soporte ni correcciones de seguridad y, por lo tanto, es mejor evitarlo a largo plazo.

Aquí, WordPress no se ve tan bien. Si bien la gran mayoría de los sitios web de WordPress se ejecutan al menos en PHP 7.0 y casi la mitad en 7.4, sólo un poco más de una cuarta parte utiliza las versiones con soporte activo.

Incluso hay alrededor del 6% que todavía se ejecuta en versiones PHP 5.x, que no han tenido ningún soporte en años. Entonces, si aún no lo has hecho, actualiza tu versión de PHP.

Estadísticas de seguridad de WordPress en pocas palabras

Ningún CMS es 100% seguro; de hecho, nada conectado a la web lo es. Sin embargo, a pesar de lo que pueda escuchar en otros lugares, las estadísticas de seguridad de WordPress son en general muy buenas. Sí, hay problemas que es necesario solucionar, pero la mayoría de ellos se están abordando activamente.

Si desea ayudar a mejorar aún más las cifras, puede hacerlo siguiendo estas mejores prácticas:

• Mantenga WordPress y sus complementos y temas actualizados
• Utilice únicamente extensiones de fuentes confiables
• Utilice contraseñas y credenciales seguras para todo lo relacionado con su sitio web
• Considere usar un Firewall y/o CDN
• Limitar los intentos de inicio de sesión
• Utilice un certificado SSL para cifrar el tráfico en su sitio web, incluido su panel de control
• Elija un host que le permita mantener actualizada su versión de PHP

Si sigue estos, debería tener estadísticas de seguridad positivas al menos para su propio sitio de WordPress.

¿Qué estadísticas sobre el estado de la seguridad de WordPress te parecen más interesantes? ¡Háganos saber en los comentarios a continuación!