Las estadísticas destacan la mayor fuente de vulnerabilidades de WordPress

Publicado: 2020-10-08

Todos sabemos que muchos sitios de WordPress son pirateados cada año. ¿Es porque WordPress es un sistema inseguro? ¿Es un problema global de WordPress o proviene de las acciones de esos webmasters? ¿Cómo y por qué está sucediendo?

Ya sea que esté ejecutando un blog personal, un sitio web comercial o un sitio de comercio electrónico en WordPress, la seguridad de su sitio web debe ser una prioridad. Puede haber muchas razones por las cuales la seguridad de su sitio se ve comprometida. Las razones más comunes son contraseñas débiles, errores de los usuarios, software desactualizado y actualizaciones de seguridad faltantes.

En este artículo, utilizamos las últimas estadísticas de la base de datos de vulnerabilidades de WPScan para resaltar cuáles son los componentes de WordPress más vulnerables y enfatizar la importancia de ejecutar software actualizado e instalar los parches de seguridad necesarios.

También puede encontrar algunas estadísticas y datos interesantes sobre las vulnerabilidades de WordPress, así como algunas recomendaciones. Vamos a sumergirnos.

Tabla de contenidos

  • ¿Qué es la base de datos de vulnerabilidades de WPScan?
  • Resumen de vulnerabilidades de WordPress, complementos y temas
    • ¿Por qué hay tantas vulnerabilidades del núcleo de WordPress?
    • Tipo de vulnerabilidades en el núcleo, complementos y temas de WordPress
    • Estadísticas de vulnerabilidades del núcleo de WordPress
    • Los 10 complementos de WordPress más vulnerables
    • Los 10 temas de WordPress más vulnerables
  • ¿Qué nos dicen estas vulnerabilidades de WordPress?
  • Cómo garantizar la seguridad de WordPress (mejores prácticas de seguridad)

¿Qué es la base de datos de vulnerabilidades de WPScan?

Antes de sumergirnos en las estadísticas, expliquemos de dónde obtuvimos estos números. Todos los datos se recuperan de la base de datos de vulnerabilidades de WPScan, una versión navegable en línea de los archivos de datos de WPScan.

WPScan es un escáner de seguridad de caja negra de WordPress automatizado de código abierto. Este escáner utiliza estos datos para detectar vulnerabilidades conocidas del núcleo, complementos y temas de WordPress en los sitios web de WordPress.

Hasta la fecha, la base de datos de vulnerabilidades de WPScan contiene 21 755 vulnerabilidades, 4154 de las cuales son vulnerabilidades únicas.

Resumen de vulnerabilidades de WordPress, complementos y temas

Según la base de datos de vulnerabilidades de WPScan, ~80% de las vulnerabilidades conocidas que registraron están en el software principal de WordPress. Pero aquí está el truco: las versiones con la mayor cantidad de vulnerabilidades se remontan a WordPress 3.X.

Hasta el momento, hay 17,467 vulnerabilidades del software principal de WordPress en la base de datos de vulnerabilidades de WPScan. Luego hay 3,846 (17%) vulnerabilidades de complementos de WordPress y 442 (3%) vulnerabilidades de temas de WordPress.

Vulnerabilidades del software principal de WordPress en la base de datos de vulnerabilidades de WPScan.

¿Por qué hay tantas vulnerabilidades del núcleo de WordPress?

La cantidad de vulnerabilidades en el núcleo de WordPress está inflada en la base de datos de vulnerabilidades debido a las muchas versiones de WordPress. A continuación se muestra una explicación de por qué sucede esto;

Se encuentra una vulnerabilidad de secuencias de comandos entre sitios en un componente de la versión 5.4.2 de WordPress. Este componente se ha utilizado en WordPress desde la versión 3.7. Por lo tanto, todas las versiones anteriores de WordPress también son vulnerables.

Por lo tanto, en la base de datos de vulnerabilidades de WPScan habrá una vulnerabilidad única y 256 vulnerabilidades.

Entonces, el núcleo de WordPress como tal no es inseguro. Es muy importante señalar que el núcleo de WordPress ha recorrido un largo camino y es un software mucho mejor y más seguro que nunca.

Tipo de vulnerabilidades en el núcleo, complementos y temas de WordPress

Los tipos de vulnerabilidad más populares en el núcleo, los complementos y los temas de WordPress son Cross-site Scripting y SQL Injection.

Esto no es sorprendente teniendo en cuenta que estas 2 vulnerabilidades se han incluido en la lista OWASP Top 10 de los problemas de seguridad web más comunes desde su creación.

Tipos de vulnerabilidades

Estadísticas de vulnerabilidades del núcleo de WordPress

El siguiente gráfico destaca las 10 versiones principales de WordPress más vulnerables, con las versiones 3.7.1 y 3.8.1 a la cabeza con 92 vulnerabilidades cada una. En segundo lugar, con 91 vulnerabilidades se encuentra WordPress versión 3.9.

Las 10 principales vulnerabilidades principales de WordPress

Sin embargo, desde entonces, WordPress definitivamente se ha vuelto más seguro. Echemos un vistazo a la cantidad de vulnerabilidades en las últimas 5 versiones de WordPress. Como puedes ver la diferencia es bastante grande.

Resumen de vulnerabilidades en las últimas versiones de WordPress

Los 10 complementos de WordPress más vulnerables

Aquí hay algunos datos sobre los 10 complementos de WordPress más vulnerables:

NextGEN Gallery, NinjaForms y WooCommerce lideran el grupo con 22 vulnerabilidades cada uno.

Los 10 complementos más vulnerables

Nos sorprendió ver All In One WP Security & Firewall, un complemento de seguridad de WordPress entre los 10 complementos de WordPress más vulnerables. No estoy diciendo que tales complementos sean a prueba de balas. Aunque esperaría que un complemento escrito por personas de seguridad tenga menos vulnerabilidades, o al menos no esté en la lista de los 10 principales.

Los 10 temas de WordPress más vulnerables

El siguiente gráfico destaca los 10 temas de WordPress más vulnerables. El más alto tiene solo 5 vulnerabilidades bajo su nombre.

Los 10 temas más vulnerables en WordPress

Los temas tienden a tener muchas menos vulnerabilidades que los complementos porque hacen mucho menos en términos de funcionalidad. Por ejemplo, mientras que la mayoría de los complementos manejan datos, la entrada del usuario y manipulan los datos del usuario, los temas en su mayoría cambian la apariencia de los sitios web de WordPress.

¿Qué nos dicen estas vulnerabilidades de WordPress?

A la gente le encanta WordPress debido a la gran variedad de complementos y temas disponibles. Al momento de escribir esto, hay más de 57,000 complementos y más de 7,000 temas en el repositorio de WordPress, y miles de premium adicionales repartidos por la web.

Si bien todas esas opciones son excelentes para mejorar su sitio, siempre debe investigar un poco antes de instalar un complemento o tema en su sitio web de WordPress. Si bien la mayoría de los desarrolladores de WordPress hacen un buen trabajo al seguir los estándares de código y parchear los problemas de seguridad informados una vez que se conocen, todavía hay algunos problemas potenciales:

  • El complemento o tema ya no se mantiene,
  • Los desarrolladores tardan mucho en emitir un parche de seguridad o no responden,
  • Sin embargo, un complemento o tema tiene una vulnerabilidad, dado que no se le presta mucha atención, esa vulnerabilidad pasa desapercibida.

Consulte cómo elegir el mejor complemento de WordPress para sus requisitos para obtener más detalles sobre este tema y cómo determinar si un complemento es una buena opción para su sitio web de WordPress.

Entonces, ¿cuál es la comida para llevar?

En resumen, ¡mantén todo tu software actualizado!

WordPress es uno de los CMS más populares del mundo, y si sigue las mejores prácticas de seguridad y lo mantiene actualizado, es muy poco probable que su sitio web experimente algún problema.

¿Son precisas estas estadísticas de vulnerabilidades de WordPress?

Estas estadísticas se basan en la información almacenada en la base de datos de vulnerabilidades de WPScan. Aunque se actualiza con frecuencia, de ninguna manera es completo.

Hay muchos otros complementos y temas de WordPress vulnerables que no se enumeran aquí. Sin embargo, esto nos da una buena visión general del estado de las vulnerabilidades de WordPress.

Enviar vulnerabilidades conocidas de WordPress

El equipo de WPScan alienta a todos los que conocen las vulnerabilidades del núcleo, complemento o tema de WordPress a enviarles los detalles.

Antes de enviar una nueva vulnerabilidad, realice una búsqueda en la base de datos para asegurarse de que el problema no se haya enviado antes. Esto asegurará que tengamos una fuente de información centralizada y confiable.

Cómo garantizar la seguridad de WordPress (mejores prácticas de seguridad)

Ahora que hemos cubierto todas las vulnerabilidades potenciales y conocidas, echemos un vistazo a las diferentes formas de proteger su sitio web.

Lo primero es actualizar periódicamente tu versión de WordPress. Definitivamente deberías desarrollar la práctica de actualizar tu versión de WordPress y también, no olvides actualizar tus complementos y temas.

Aquí hay algunas acciones adicionales que puede hacer para proteger su sitio web de WordPress:

  • Evite el uso de contraseñas comunes

Cuando tiene una contraseña segura, cualquier intento de piratería puede evitarse o al menos retrasarse.

  • Configurar un inicio de sesión de autenticación de dos factores

Cualquiera que quiera iniciar sesión en su sitio web de WordPress deberá realizar un paso más antes de obtener acceso a su cuenta.

  • No use complementos y temas anulados

Tienta a casi todo el mundo, sin embargo, estas copias gratuitas de complementos y temas premium a menudo están cargadas con malware malicioso. Apoye a los desarrolladores de los complementos que usa comprando la edición premium. Ayuda a desarrollar aún más el producto, agregar nuevas características y mantenerlo seguro.

  • Usar complementos de seguridad de WordPress

Hoy en día existe una gran variedad de complementos de seguridad que se crean para proteger su sitio web de varios ataques. Los mejores se actualizan regularmente, lo que los hace capaces de detectar cualquier intento de piratería y cualquier adición a su código. Desarrollamos una serie de complementos de administración de sitios y seguridad de WordPress. ¡Échales un vistazo!

Para concluir

Asegurar su sitio web es súper esencial. Tener una visión clara de las amenazas y las herramientas que puede utilizar para hacer frente a los posibles ataques es crucial. Su primera y principal prioridad debe ser tener y mantener un sitio web seguro.

Como resultado de su popularidad, WordPress es un gran objetivo para los piratas informáticos. Es por eso que debe hacer un esfuerzo adicional para garantizar la seguridad de su sitio. Un sitio seguro seguramente generará confianza en sus clientes potenciales y, por lo tanto, ayudará en el crecimiento de su negocio.

¡Mantenga su sitio web protegido y manténgase seguro!