WordPress es, con diferencia, la forma más popular de construir un sitio web. Esa popularidad tiene el desafortunado efecto secundario de convertir a los sitios de WordPress en un jugoso objetivo para los actores maliciosos de todo el mundo. Y eso puede hacer que se pregunte si WordPress es lo suficientemente seguro para manejar esos ataques.

Primero, las malas noticias: Cada año, cientos de miles de sitios de WordPress son pirateados, así como los sitios de comercio electrónico (por eso tenemos una guía detallada sobre la Prevención del Fraude en el Comercio Electrónico).

Suena sombrío, ¿verdad? Bueno… no realmente, porque también hay buenas noticias:

Los hackers no están entrando debido a las vulnerabilidades del último software central de WordPress. Más bien, la mayoría de los sitios son pirateados por problemas que se pueden prevenir por completo, como no mantener las cosas actualizadas o usar contraseñas inseguras.

Como resultado, responder a la pregunta «¿es seguro WordPress? Para hacer eso, vamos a cubrir algunos ángulos diferentes:

  • Estadísticas sobre cómo los sitios de WordPress realmente son pirateados, para que entienda dónde están las vulnerabilidades de seguridad.
  • Cómo el equipo central de WordPress aborda los problemas de seguridad, para que sepa quién es responsable y de qué se encargan.
  • Si WordPress es seguro cuando usted sigue las mejores prácticas, entonces usted sabe si su sitio web estará seguro.

¿Cómo se piratean los sitios de WordPress? (por los datos)

Ok, sabe que muchos sitios de WordPress son pirateados cada año. Pero… ¿cómo está pasando? ¿Es un problema global de WordPress? ¿O viene de las acciones de esos webmasters?

He aquí por qué la mayoría de los sitios de WordPress son pirateados, de acuerdo con los datos que tenemos….

Software básico obsoleto

He aquí una correlación que no sorprende del Informe sobre sitios web pirateados de Sucuri de 2017. De todos los sitios de WordPress hackeados que Sucuri miró, el 39,3% estaba ejecutando el software central de WordPress desactualizado en el momento del incidente.

Sitios web pirateados
Sitios web pirateados (Fuente de la imagen: Sucuri)

Así que de inmediato, se puede ver una relación bastante estrecha entre ser pirateado y el uso de software obsoleto. Sin embargo, esto es definitivamente una mejora sobre el 61% a partir de 2016. 👏

Según la base de datos de vulnerabilidades de WPScan, ~74% de las vulnerabilidades conocidas que registraron se encuentran en el software central de WordPress. Pero aquí está el truco – las versiones con más vulnerabilidades se encuentran en WordPress 3.X:

Lista de vulnerabilidades conocidas de WPScan
Lista de vulnerabilidades conocidas de WPScan

Pero – desafortunadamente – sólo el 62% de los sitios de WordPress están ejecutando la última versión, razón por la cual muchos sitios siguen siendo innecesariamente vulnerables a esos ataques:

Uso de WordPress por versión.
Uso de WordPress por versión. (Fuente de la imagen: WordPress.org)

Finalmente, puede ver esta conexión una vez más con la mayor vulnerabilidad de la API de WordPress REST a partir de febrero de 2017, donde cientos de miles de sitios fueron desfigurados.

WordPress 4.7.1 contenía múltiples vulnerabilidades que fueron eventualmente usadas para desfigurar esos sitios. Pero….semanas antes de que las vulnerabilidades fueran explotadas, WordPress 4.7.2 fue lanzado para arreglar todas esas vulnerabilidades.

Todos los propietarios de sitios de WordPress que no habían desactivado los parches de seguridad automáticos o que no se habían actualizado rápidamente a WordPress 4.7.2 estaban a salvo. Pero los que no aplicaron la actualización no lo hicieron.

Aporte: El Equipo de Seguridad de WordPress hace un gran trabajo arreglando rápidamente los problemas en el software principal de WordPress. Si aplica rápidamente todas las actualizaciones de seguridad, es muy poco probable que su sitio experimente algún problema como resultado de las vulnerabilidades principales. Pero si no lo hace, se arriesga en el momento en que la hazaña sale a la naturaleza.

2. Plugins o temas obsoletos

Una de las cosas que a la gente le encanta de WordPress es el vertiginoso conjunto de plugins y temas disponibles. Al momento de escribir esto, hay más de 56,000 en el repositorio de WordPress, y miles de otros premium adicionales esparcidos por toda la web.

Aunque todas esas opciones son excelentes para ampliar su sitio, cada extensión es una nueva puerta de entrada potencial para un actor malicioso. Y aunque la mayoría de los desarrolladores de WordPress hacen un buen trabajo siguiendo los estándares de código y parcheando cualquier actualización a medida que se las conoce, todavía hay algunos problemas potenciales:

  • Un plugin o tema tiene una vulnerabilidad y, debido a que no hay tantos ojos en él como el software central de WordPress, esa vulnerabilidad pasa desapercibida.
  • El desarrollador ha dejado de trabajar en la extensión pero la gente sigue usándola.
  • El desarrollador rápidamente parchea el problema, pero la gente no lo actualiza.

Entonces, ¿qué tan grande es el problema?

Bueno, en una encuesta de Wordfence de propietarios de sitios web pirateados, más del 60% de los propietarios de sitios web que sabían cómo llegó el hacker lo atribuyeron a un plugin o a una vulnerabilidad temática.

Encuesta de Wordfence sobre sitios web pirateados
Encuesta de Wordfence sobre sitios web pirateados (Fuente de la imagen: Wordfence)

Del mismo modo, en el informe de Sucuri de 2016, sólo 3 plugins representaban más del 15% de los sitios web pirateados que miraban.

Lista de plugins pirateados de Sucuri
Lista de plugins pirateados de Sucuri

Pero aquí está lo mejor:

Las vulnerabilidades de esos plugins habían sido parcheadas hace mucho tiempo – los propietarios de sitios simplemente no habían actualizado el plugin para proteger su sitio.

Aporte:: Los temas y plugins de WordPress introducen un comodín y pueden abrir su sitio a actores maliciosos. Sin embargo, gran parte de este riesgo puede mitigarse siguiendo las mejores prácticas. Mantenga sus extensiones actualizadas y sólo instale extensiones de fuentes acreditadas.

También tenemos que mencionar estos clubs GPL que puede ver flotando por Internet donde puede conseguir cualquier plugin o tema premium de WordPress por sólo un par de dólares. Mientras que WordPress está licenciado bajo GPL, lo cual es impresionante y una de las razones por las que nos encanta, el comprador debe tener cuidado. A veces también se les llama plugins nulos.

Comprar plugins de los clubes GPL significa que estás confiando en que un tercero obtenga las últimas actualizaciones del desarrollador y muchas veces no recibirá soporte. Obtener actualizaciones de plugins del desarrollador es la forma más segura de hacerlo. Además, nos dedicamos a apoyar a los desarrolladores y a su arduo trabajo!

3. Credenciales de acceso comprometidas para WordPress, FTP o Hosting

Ok, esto no es realmente culpa de WordPress. Pero un porcentaje no despreciable de hacks provienen de actores maliciosos que tienen en sus manos las credenciales de inicio de sesión de WordPress, o las credenciales de inicio de sesión de las cuentas de alojamiento o FTP de los webmasters.

En la misma encuesta de Wordfence, los ataques por fuerza bruta representaron ~16% de los sitios pirateados, con robo de contraseñas, estaciones de trabajo, phishing y cuentas FTP, todos ellos con una apariencia pequeña, pero notable.

Una vez que un actor malicioso recibe la llave metafórica de la puerta principal, no importa qué tan seguro sea su sitio WordPress.

WordPress realmente hace un gran trabajo para mitigar esto generando automáticamente contraseñas seguras, pero todavía depende de los usuarios mantener esas contraseñas seguras y también usar contraseñas fuertes para hospedaje y FTP.

Aporte: Tomar medidas básicas para mantener seguras las credenciales de las cuentas puede evitar que actores maliciosos entren. Use/imponga contraseñas seguras para todas las cuentas de WordPress y limite los intentos de acceso para prevenir ataques de fuerza bruta (Kinsta hosting lo hace por defecto 👍).

Para cuentas de alojamiento, utilice la autenticación de dos factores si está disponible y nunca almacene su contraseña FTP en texto plano (como hacen algunos programas FTP).

Si puede elegir entre FTP y SFTP (Protocolo de transferencia de archivos SSH), utilice siempre SFTP (aprende la diferencia entre FTP y SFTP para que entiendas por qué). Si tu host sólo utiliza FTP, te recomendamos que preguntes por la compatibilidad con SFTP o que se cambie a un host que sea compatible con SFTP. Esto asegura que nunca se transfieran contraseñas de texto claro o datos de archivo. Sólo soportamos conexiones seguras en Kinsta.

4. Ataques a la cadena de suministro

Recientemente, ha habido algunos casos en los que los hackers obtienen acceso a los sitios a través de un truco desagradable llamado ataque a la cadena de suministro. Esencialmente, el actor malicioso lo haría:

  • Compra un plugin de alta calidad que se encuentra en WordPress.org
  • Añadir una puerta trasera al código del plugin
  • Espere a que la gente actualice el plugin y luego inyecte la puerta trasera.

Wordfence tiene una explicación más profunda si le interesa. Aunque estos tipos de ataques no están muy extendidos, son más difíciles de prevenir porque resultan de hacer algo que usted debería estar haciendo (mantener un plugin actualizado).

Dicho esto, el equipo de WordPress.org normalmente detecta rápidamente estos problemas y elimina el plugin del directorio.

Aporte: Esto puede ser difícil de prevenir porque es bueno actualizarse siempre a la última versión. Para ayudar, los plugins de seguridad como Wordfence pueden alertarle cuando un plugin es removido de WordPress.org de modo que usted lo dirija rápidamente. Y una buena estrategia de respaldo puede ayudarlo a retroceder sin ningún daño permanente.

5. Entorno de alojamiento deficiente y tecnología obsoleta

Más allá de lo que está sucediendo en su sitio WordPress, su entorno de alojamiento y las tecnologías que utiliza también marcan la diferencia. Por ejemplo, a pesar de que PHP 7 ofrece muchas mejoras de seguridad sobre PHP 5, sólo ~33% de los sitios de WordPress están usando PHP 7 o superior.

Uso de PHP en el sitio web de WordPress.
Uso de PHP en el sitio web de WordPress. (Fuente de la imagen: WordPress.org)

El soporte de seguridad de PHP 5.6 expira oficialmente a finales de 2018. Y las versiones anteriores de PHP 5 no han tenido soporte de seguridad durante años.

Esto significa que el uso de un entorno de alojamiento que utiliza PHP 5.6 o inferior pronto le abrirá el potencial de vulnerabilidades de seguridad de PHP no parcheadas.

A pesar de ello, un ~28% de los sitios web de WordPress siguen usando versiones PHP por debajo de 5.6, lo que es un gran problema si se tiene en cuenta que recientemente hemos visto años récord para el número de vulnerabilidades PHP descubiertas.

Más allá de darle acceso a las últimas tecnologías, el uso de alojamiento seguro de WordPress también puede ayudarle a mitigar automáticamente muchas de las otras posibles vulnerabilidades de seguridad con:

Aportar: El uso de un entorno de alojamiento seguro y las versiones recientes de tecnologías importantes como PHP ayuda a garantizar aún más que su sitio WordPress permanezca seguro.

¿Quién es responsable de mantener la seguridad de WordPress?

Ahora se estará preguntando, ¿quién es responsable de combatir todos los problemas mencionados anteriormente?

Oficialmente, esa responsabilidad recae en el Equipo de Seguridad de WordPress (aunque los colaboradores y desarrolladores individuales de todo el mundo también juegan un papel importante en mantener la seguridad de WordPress).

El equipo de seguridad de WordPress está formado por «50 expertos, incluidos desarrolladores líderes e investigadores de seguridad». Alrededor de la mitad de estos expertos trabajan en Automattic. Otros trabajan en seguridad web, y el equipo también consulta con investigadores de seguridad y empresas de hosting.

Si está interesado en una visión detallada de cómo funciona el Equipo de Seguridad de WordPress, puede ver la charla de 48 minutos de Aaron Campbell desde WordCamp Europe 2017. Pero en general, el equipo de seguridad de WordPress:

El Equipo de Seguridad de WordPress tiene una política de divulgación que significa que, una vez que han reparado con éxito el fallo y liberado la corrección de seguridad, revelan públicamente el problema (esto es parte de la razón por la que tantos sitios fueron desfigurados en 2017 – todavía no habían aplicado la actualización incluso después de que el equipo de seguridad revelara públicamente el fallo).

Lo que el Equipo de Seguridad de WordPress no hace es revisar todos los temas y plugins en WordPress.org. Los temas y plugins de WordPress.org son revisados manualmente por voluntarios. Pero esa revisión no es «una garantía de que estén libres de vulnerabilidades de seguridad».

Así que – ¿Es WordPress seguro si usted sigue las mejores prácticas?

Si se fijan en todos los datos y hechos anteriores, verán esta tendencia general:

Aunque ningún sistema de gestión de contenidos es 100% seguro, WordPress tiene un aparato de seguridad de calidad para el software principal y la mayoría de los hacks son el resultado directo de que los webmasters no siguen las mejores prácticas de seguridad básicas.

Si hace cosas como….

  • Mantener actualizados el software, los plugins y los temas principales de WordPress.
  • Elegir los plugins y temas sabiamente y sólo instale extensiones de desarrolladores/fuentes de confianza. Cuidado con los clubs GPL y los plugins/temas nulos.
  • Si puede elegir entre FTP y SFTP, utilice siempre SFTP.
  • Utilizar contraseñas seguras para WordPress, así como para sus cuentas de hosting y SFTP (y autenticación de dos factores si está disponible).
  • No usar «admin» para su nombre de usuario.
  • Pon un cortafuegos delante de tu sitio. Todos los sitios de Kinsta están protegidos por nuestra integración gratuita de Cloudflare, que incluye un cortafuegos de nivel empresarial con protección DDoS incorporada. Si no estás alojado en Kinsta, añadir Cloudflare o el WAF de Sucuri puede hacer que tu sitio sea más seguro.
  • Mantener su propio ordenador libre de virus.
  • Cambia la URL de inicio de sesión de WordPress para reducir la fuerza bruta.
  • Utilizar un certificado TLS (HTTPS) para que toda la comunicación con su sitio de WordPress (como iniciar sesión en su panel de control) esté cifrada. Kinsta proporciona certificados HTTPS gratuitos!
  • Utilizar las teclas SSH. Esto proporciona una forma más segura de iniciar sesión en un servidor y elimina la necesidad de una contraseña.
  • Elegir un host con un entorno seguro y utilice las últimas tecnologías como PHP 7+.

…entonces WordPress es seguro y su sitio debe permanecer libre de piratas informáticos tanto ahora como en el futuro. Si usted es cliente de Kinsta, tampoco tiene que preocuparse. Si por casualidad su sitio es pirateado, lo arreglaremos gratis!

Brian Jackson

Brian tiene una gran pasión por WordPress, lo ha estado utilizando durante más de 10 años e incluso ha desarrollado un par de plugins premium. Brian disfruta de los blogs, las películas y el senderismo. Conéctese con Brian en Twitter.