Seis formas comunes en que los usuarios de WordPress rompen sus sitios web

WordPress puede parecer simple por fuera, pero por dentro es un sistema complejo que sirve su contenido, maneja las transacciones de los clientes y administra grandes cantidades de datos simultáneamente. Y aunque WordPress es una plataforma increíblemente estable, no es irrompible.

Incluso si tiene cuidado al administrarlo, a veces puede encontrarse con un sitio roto. En esta publicación, veremos seis de las formas más comunes en que esto puede suceder.

1. Usar demasiados complementos

Los usuarios de WordPress tienen muchas opciones: hay una gran cantidad de complementos disponibles para los administradores de sitios web. No existe una cantidad mágica de complementos que deba o no deba haber instalado, pero es importante comprender que cada uno tiene un impacto en su sitio. ¿Por qué?

1. Cada complemento está cargando código PHP, el lenguaje de programación con el que se escribe en gran medida WordPress. Esto podría estar perfectamente bien... a menos que el código esté mal escrito y sea inseguro.
2. Cada complemento carga CSS, JavaScript y activos como imágenes, lo que puede ralentizar su sitio web.
3. Cada complemento requiere actualizaciones de seguridad y funcionalidad, lo que podría causar problemas.

Cada complemento que instala aumenta la posibilidad de que encuentre un problema. Cuantos más complementos tenga, más probable es que uno "bloquee" su sitio. Un sitio web se convierte en un "ladrillo" cuando ya no puede proporcionar la funcionalidad para la que fue creado.

Las actualizaciones de complementos pueden bloquear un sitio web con un código incorrecto, porque entran en conflicto con otro complemento o tema, o chocan con la configuración de su servidor. En estas situaciones, no es raro ver mensajes de error como: "Error al establecer la conexión de la base de datos", "Error interno del servidor" y "Se agotó el tiempo de espera de la conexión". Incluso puede ver cadenas de código en su sitio.

Antes de instalar un complemento, pregúntese si usará la mayoría de las funciones que ofrece. De lo contrario, es mejor que busque complementos más pequeños y simples para proporcionar solo la funcionalidad que necesita. Menos código de complemento ejecutándose en cualquier página web significa menos riesgo.

Los complementos como Jetpack brindan múltiples características valiosas que le permiten instalar un complemento para realizar una variedad de tareas en lugar de varios complementos individuales, cada uno de los cuales conlleva sus propios riesgos. ¡Y siempre puedes desactivar cualquier característica de Jetpack que no necesites! Los complementos como Jetpack son ideales para reducir la sobrecarga de complementos mediante el uso de una única solución para satisfacer muchas necesidades.

2. Instalar complementos o temas de fuentes no confiables

Es importante que solo descargue complementos y temas de proveedores confiables. WordPress.org es uno de estos, pero de lo contrario debe asegurarse de comprar complementos premium de sus desarrolladores oficiales.

Los temas o complementos premium "anulados" o "descifrados" a menudo se modifican para incluir código malicioso, que puede hacer todo tipo de cosas desagradables y, en última instancia, romper o desfigurar su sitio web.

Los complementos que se basan en servicios web de terceros y scripts de sitios cruzados (XSS) a través de cookies pueden dejar su sitio abierto a la posibilidad de "envenenamiento de cookies" (donde las cookies que envía su sitio son interceptadas y se les agrega malware antes de devolverlas a su site) o una inyección de SQL (mediante la cual los piratas informáticos pueden obtener acceso directo a la base de datos de su sitio). No hace falta decir que ninguna de estas son buenas noticias para su sitio web o sus usuarios.

Incluso los productos premium sin una clave de licencia no recibirán ninguna actualización, lo que hará que su sitio sea vulnerable. Siempre debe verificar la frecuencia con la que se actualiza el complemento (es más probable que los complementos antiguos sean inseguros) y leer las reseñas. ¡Afortunadamente, el repositorio de WordPress.org lo hace fácil!

Jetpack, sin embargo, es creado por Automattic, uno de los principales contribuyentes de WordPress y la compañía detrás de WordPress.com. Esto significa que siempre está actualizado y brinda soluciones confiables para los propietarios de sitios web.

3. Editando el código de tu sitio web

Todos hemos estado allí. Está buscando un problema que ha estado tratando de resolver en su sitio web y encuentra una posible solución que le indica que copie y pegue un código. Si es un programador experimentado y tiene un conocimiento decente de HTML, esto puede estar bien. Si no lo eres, esto puede ser peligroso por dos razones:

1. Si no comprende exactamente qué está haciendo el código, no podrá comprender completamente las consecuencias o el impacto que puede tener en su sitio.
2. Puede tener la tentación de poner el código en el archivo functions.php de su tema, editar el código fuente de un complemento o modificar el núcleo de WordPress. Todas estas son muy malas ideas. Si elimina cualquier código original cuando hace esto, su sitio web puede romperse.

Si debe instalar su propio código, siempre asegúrese de comprender su propósito y pruébelo en el lado del cliente o en un sitio web provisional, si es posible.

4. Ser hackeado

WordPress es el sistema de gestión de contenidos más utilizado en el mundo. Si bien esto ofrece un amplio ecosistema con muchos complementos y temas, y una comunidad estelar, su ubicuidad también hace que WordPress sea un objetivo obvio para cualquiera que quiera piratear un sitio web.

Las vulnerabilidades de los complementos se encuentran a diario, y la mayoría de los desarrolladores, pero no todos, son muy rápidos para parchear sus complementos. Desafortunadamente, si no mantiene sus complementos actualizados, su sitio web se convierte en un objetivo para los piratas informáticos. Incluso los sitios web que no generan mucho tráfico pueden ser pirateados.

Los piratas informáticos a menudo usan bots para ingresar a su sitio, lo que automatiza todo el proceso. Si su sitio web se puede encontrar en un motor de búsqueda, un pirata informático lo puede encontrar. La base de datos de vulnerabilidades de WPScan es un buen recurso para verificar los errores más recientes. Como verá, con frecuencia se encuentran nuevas vulnerabilidades, a veces en complementos con miles o millones de instalaciones. Para proteger su sitio, implemente una solución de seguridad como Jetpack, que ofrece escaneo de seguridad, prevención de ataques de fuerza bruta, monitoreo de tiempo de inactividad y actualizaciones automáticas de complementos.

5. Software de servidor obsoleto

El servidor que contiene su sitio web tiene un sistema operativo y un software subyacente que lo alimenta, al igual que su computadora. Como todo software, debe actualizarse constantemente. Muchas personas no se dan cuenta de que ocurren estas actualizaciones, porque su proveedor de alojamiento web lo hace por ellos en segundo plano.

Pero, ¿qué pasa si su servidor web no está aplicando actualizaciones rápidamente? Muchos sitios web todavía ejecutan PHP 5.6, a pesar de que ya no recibe actualizaciones de seguridad. Incluso PHP 7.1 llegará al final de su vida útil en diciembre de 2019.

Hay varias desventajas de tener un software de servidor desactualizado:

• Problemas de seguridad: las versiones de software anteriores pueden tener vulnerabilidades.
• Problemas de velocidad: PHP 7.3 es mucho más rápido que las versiones anteriores.
• Problemas de compatibilidad: algunas funciones de PHP están disponibles en PHP 7.3 pero no en PHP 5.6. Si un complemento solo es compatible con 7.3 y está ejecutando 5.6, esto puede causar problemas. (Para ayudarlo, el repositorio de complementos de WordPress muestra la versión mínima de PHP requerida en la página de cada complemento).

6. Acceso de usuario mal configurado

Si tiene un sitio web que permite que varios usuarios inicien sesión y agreguen o editen contenido, está aumentando el riesgo de romper su sitio. Otorgar demasiados permisos a demasiadas personas abre la posibilidad de que alguien cause un problema a través de la entrada inadvertida del usuario.

Con demasiada frecuencia, los propietarios de sitios web otorgan a todos los colaboradores acceso de nivel de administrador. Esto es increíblemente peligroso, ya que todos estos administradores recién creados pueden:

• Instalar y actualizar complementos.
• Cambia el código de tu sitio web.
• Edita tu tema y diseño web.
• Agregue o elimine páginas/publicaciones/productos/cualquier otro tipo de publicación.
• Acceder a datos confidenciales (incluidos datos financieros, para tiendas online).

Cualquiera de los anteriores puede potencialmente romper un sitio. Los usuarios deben recibir los permisos exactos que necesitan para hacer su trabajo, nada más. WordPress viene con algunos roles de usuario incorporados, pero también puede crear los suyos propios usando código o un complemento como Editor de roles de usuario o Miembros. Y WooCommerce proporciona una excelente guía para comprender los roles de los usuarios de WordPress desde una perspectiva de seguridad.

Jetpack Activity proporciona transparencia para un sitio web con múltiples usuarios. Registra las acciones realizadas en su sitio, incluidos los intentos de inicio de sesión, las páginas publicadas o actualizadas, las instalaciones de complementos, las modificaciones de configuración y más. Puede ver quién realizó cada acción y cuándo tuvo lugar cada una, y restaurar una copia de seguridad de su sitio desde ese momento exacto si es necesario.

Qué hacer si tu sitio de WordPress se rompe

Al final, los sitios web aún se romperán. Ya sea que sea un desarrollador web experimentado o un creador de sitios web novato, probablemente romperá su sitio web en algún momento.

La mejor manera de garantizar un tiempo de inactividad mínimo es contar con una estrategia integral de copias de seguridad fuera del sitio. No confíe solo en su host para las copias de seguridad, porque:

• Es posible que no tenga control sobre las copias de seguridad. Es posible que su host solo haga una copia de seguridad de su sitio web una vez a la semana, pero ¿qué sucede en un sitio ocupado donde los datos cambian cada hora? ¡Las copias de seguridad en tiempo real son fundamentales! Si tiene una tienda de comercio electrónico, los pedidos se pueden realizar en cualquier momento del día. Sin copias de seguridad en tiempo real, podría perder datos de clientes del período entre la copia de seguridad y el bloqueo del sitio.
• Nunca se puede estar demasiado respaldado. No es prudente poner el 100 % de su confianza en su anfitrión; también pueden verse comprometidos. Un enfoque multifacético para las copias de seguridad mitiga su riesgo.
• Recuperar una copia de seguridad de su host no siempre es tan simple como parece. Es posible que deba ponerse en contacto con el soporte y pedirles que restablezcan una copia de seguridad, lo que puede llevar mucho tiempo y, según su host, ser un proceso difícil. Si su sitio web es una fuente de ingresos, cada minuto que esté inactivo podría significar una pérdida de ingresos.

También hay muchas soluciones de copia de seguridad de complementos de WordPress, tanto gratuitas como de pago. Los complementos ciertamente brindan opciones válidas, pero no todos los complementos de copia de seguridad son iguales. Algunos inconvenientes comunes:

• De forma predeterminada, algunos complementos realizan una copia de seguridad en su servidor web. Si su servidor tiene una falla catastrófica, sus copias de seguridad también pueden perderse.
• Algunos complementos le permiten hacer una copia de seguridad de sus datos en una cuenta externa, como Amazon S3 o Dropbox. Si bien esta es una gran idea, requiere que tenga una cuenta con un proveedor externo, lo que puede significar tarifas adicionales.
• A muchos complementos de copia de seguridad gratuitos les faltan funciones como las copias de seguridad en tiempo real. Las versiones premium pueden ser costosas y requieren que tenga cuentas separadas para copias de seguridad fuera del sitio.

Sin embargo, Jetpack es una excelente solución para las copias de seguridad de WordPress. No importa el tipo de sitio que tengas, Jetpack tiene una sólida opción de copia de seguridad. Las copias de seguridad diarias son una excelente opción para restaurantes, blogs y carteras, e incluyen un período de archivo de 30 días, para que pueda acceder fácilmente a las copias de seguridad de los últimos 30 días. Las tiendas de comercio electrónico, las organizaciones de noticias, los sitios de membresía y los foros en línea querrán copias de seguridad en tiempo real con un archivo ilimitado, para que pueda restaurar su sitio web desde cualquier momento.

Cada cambio significativo en su sitio web se guarda automáticamente. ¿Alguien acaba de escribir una reseña? ¿Agregaste un nuevo producto? ¿Actualizó un complemento que rompió su sitio? Todo está respaldado.

Esto proporciona no solo una gran tranquilidad, sino también una plataforma externa sólida como una roca para sus copias de seguridad. Jetpack incluso incluye una función de migración que le permite mover todo su sitio a otro host o servidor. Si su servidor enfrenta una falla catastrófica o simplemente desea mover su sitio a otro host, Jetpack lo tiene cubierto.

Romper un sitio web es una ocurrencia común. Incluso para los propietarios de sitios web más cuidadosos, algo que escapa a su control puede salir mal. Tener soluciones de respaldo tanto en el sitio como fuera del sitio es una excelente manera de ayudar a mitigar su riesgo. Y con costos relativamente mínimos, no hay razón para arriesgar la seguridad de su sitio.

Obtenga más información sobre Jetpack Backup o compare planes para explorar otros beneficios de activar Jetpack en su sitio web de WordPress.