WordPress es seguro ¡difúndelo!

Creo que ya va siendo hora de aclarar esta cuestión, y zanjar del debate de una vez por todas. A pesar de las dudas, y algunos odiadores, el núcleo de WordPress es, sin duda alguna, el más seguro de todas las plataformas que puedas elegir para crear una web.

Me dirás que una instalación de WordPress puede verse comprometida por culpa de plugins, pero esa es otra cuestión, que además ya hemos tratado hace tiempo.

wordpress security

Recientemente hemos visto historias acerca de un bot que trataba de hacer ataques de fuerza bruta en sitios WordPress, pero debes tener claro que no podía entrar en sitios donde el usuario tenía contraseñas fuertes, tenían la última versión de WordPress y estaban comprometidos con la seguridad de todos los componentes de su instalación.

Pero cómo hay mucho escéptico, lo que no es malo de suyo, vamos a ver si terminamos de aclarar algunas cosas.

Críticas «amistosas»

Durante el verano de 2009 WordPress recibió algunos «toques» de la comunidad de publicación online, debido a cuestiones de seguridad explotadas esos días. Lo que pasaba es que WordPress estaba creciendo enormemente, y recibió algunas críticas, bien y mal intencionadas, que hubo de todo, cuestionando si WordPress era lo suficientemente seguro para los usuarios a los que atraía de manera importante.

Por decirlo de algún modo, lo que se decía era algo así:

«Eh, WordPress, sabemos que eres ambicioso, y eso nos encanta, pero debes asegurar que tu seguridad es a prueba de balas para los usuarios antes de ser tan popular»

Curioso ¿no?, sobre todo cuando en parte venía de usuarios de comunidades de software de publicación con problemas de seguridad sin solucionar hacía años, pero bueno, vamos al tema.

Los desarrolladores del núcleo de WordPress respondieron, y en los siguientes meses se añadieron parches y ajustes de seguridad para afianzar fuera de toda duda que WordPress es uno de los CMS más seguros de Internet. Eso fue hace cuatro años, una eternidad en términos de innovación tecnológica.

El verano de 2009

seguridad

En unas pocas semanas, en 2009, el equipo del núcleo de WordPress lanzó una serie de 4 parches de seguridad. El equipo cerró de manera rápida y sistemática cualquier factor remanente de inseguridad en el núcleo de WordPress. A finales de ese verano el código base de WordPress empezaba a parecer Fort Knox.

Sin embargo, si tenías alguna instalación en marcha de WordPress en esa época, tuviste que actualizar WordPress bastante a menudo, cada vez que se lanzaba un nuevo parche de seguridad. En total se emitieron seis versiones de WordPress, desde la 2.8.1 el 19 de Julio hasta la 2.8.6 antes de Navidad. Ciertamente fueron un buen montón de actualizaciones. ¿Te acuerdas?

Vale que actualizar WordPress no es difícil, pero actualizaciones cada pocas semanas se hacía pesado. Cada nueva actualización de seguridad implica comprobar compatibilidad de plugins y temas antes de lanzarse, y eso duele a veces. Y lo mismo en cada nueva actualización. Ahora bien, cualquier software solo es seguro en su última versión, así que hay que actualizar siempre a la última versión publicada, que no se te olvide.

Pero vaya, que tener que revisar todo, cada 2 o 3 semanas, en cada sitio que tengas, se hace cansino, y esto no nos tenía contentos, cómo se reconocía en muchos comentarios del blog, y con razón.

En solo 34 días hubo nada menos que 4 actualizaciones de seguridad para WordPress 2.8, y te recuerdo que esto era antes de que tuviésemos herramientas de gestión que nos facilitaran las instalaciones, así que todas las actualizaciones eran manuales.

Vamos, que era un puto infierno y un coñazo.

Y lo peor es que muchos usuarios no actualizaban … y algunos de los sitios de esos usuarios fueron hackeados al funcionar con versiones de WordPress anticuadas (y hablamos solo de unas semanas), lo que nos trae de nuevo la necesidad de tener WordPress actualizado. Así que grábatelo a fuego:

Si estás actualizado estás seguro

Si no estás actualizado eres un objetivo.

El hacking es noticia

wordpress seguro
En 2009 hubo muchas instalaciones de WordPress, cada vez más, y con toda esta retahíla de actualizaciones fuimos noticia. Hubo una buena cantidad de blogueros e incluso diarios digitales generalistas que ese año hablaron, y mucho, acerca de «los problemas de seguridad de WordPress«, y esto ha quedado en la memoria colectiva de Internet, a pesar de que 4 años en la red es una eternidad en términos de software, pero no es así con la mente humana.

Ahora, cuatro años después, aún no es posible tener un debate sobre WordPress sin que alguien te suelte eso de «Eh, espera ¿es WordPress inseguro?«.

De repente, WordPress tenía una reputación, merecida o no, de ser una plataforma que tenía que estar actualizándose constantemente, y que podría no ser lo suficientemente segura.

La realidad es que ya a finales de 2009 WordPress se había convertido en una plataforma segura y sin problemas para los millones de usuarios que la usábamos, lo mismo para sitios de alto tráfico cómo The New York Times.

La popularidad de WordPress se hacía patente en la ingente cantidad de grandes empresas y organizaciones que migraban a WordPress.

Responsabilidad compartida de los usuarios de WordPress

Los usuarios de WordPress debemos ser responsables de nuestra propia seguridad, de usar contraseñas fuertes y de mantener los plugins y el mismo WordPress actualizado.

Esta responsabilidad debemos asumirla cómo responsabilidad compartida, pues en la mayoría de las ocasiones compartimos alojamiento web con otros usuarios y sitios, que pueden también verse afectados por nuestras malas prácticas.

Suficientemente seguro para ser el más popular

El término «popular» quizás no sea el más acertado, pero a fin de cuentas es verdad y hay que asumirlo. Y es que con 64 millones de instalaciones de WordPress (el 17% de todas las webs están creadas con WordPress), y subiendo, los datos confirman que el partido está ganado. No hay ninguna otra plataforma (Ruby on Rails, Python, etc) que se acerque siquiera a tal nivel de aceptación.

El núcleo de WordPress es lo suficientemente seguro para ese uso masivo, lo que hace todavía más sorprendente que aún haya desarrolladores que sigan con la idea, anticuada y falsa, de una supuesta inseguridad de WordPress.

Es más, con el nivel de implantación actual de WordPress, incluso un 0,0001% de inseguridad sería un problema, pero WordPress sigue creciendo sin problemas y dando servicio a millones de usuarios, administradores y desarrolladores satisfechos.

Las evidencias son claras, así que hay que reabrir el debate de manera activa, blogueando sobre ello, explicando al mundo la realidad de que el núcleo de WordPress es seguro, y que todos los sepan, para cambiar esa falsa memoria colectiva, que sigue coleando desde hace nada menos que 4 años.

WordPress sigue creciendo, mejorando, y convenciendo a cada vez más usuarios, y es una plataforma segura, ágil, potente y sencilla de utilizar y mejorar, y además es software libre.

Así que WordPress merece que también Internet reconozca esa reputación de ser un CMS seguro, ¡difúndelo!, estoy deseando ver enlaces en los comentarios a las entradas de vuestros blogs explicando al mundo que WordPress es seguro.

Tomado está el testigo lanzado por Jason Cosper.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(13 votos, promedio: 5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

12 comentarios en “WordPress es seguro ¡difúndelo!”

  1. Son los gajes del oficio, en este caso, del oficio de ser el sistema de publicación más popular del mundo. Lo bueno es que la arrolladora evolución de WordPress hace que los argumentos de a poco se vayan cayendo por sí solos, y que hoy haya cada vez más desarrolladores que eligen a wordpress como CMS de sus sitios.

    Como bien vos dijiste, la batalla está ganada. Pero no hay que dormirse.

    Excelente artículo!
    Saludos!

  2. Al ser el mas usado tambien existe la posibilidad de ser el mas atacado.

    Yo preferiria que seamos solo unos cuantos gatos los que usan wordpress porque asi no habria interes de los hackers

    1. Creo que es justamente al revés, es la masividad lo que le da sentido a estas aplicaciones.

      Si fuéramos solo unos pocos (como pasa con muchas plataformas similares), muy posiblemente no tendríamos la catarata de plugin y plantillas que actualmente existen para WordPress. Y ni hablemos que el ritmo de actualizaciones seguramente sería más lento.

      Como bien dice el autor de este artículo, con tener wordpress bien actualizado y configurado (y ni hablemos si, encima, le adosamos algún plugin de seguridad), se puede trabajar más que tranquilo.

      Saludos!

      1. El 99% de los usuarios de WP lo son porque no tienen ni idea de
        seguridad web (ni de programar). El uso
        masivo hace que valga la pena gastar tiempo y dinero en investigar su
        hackeo. Si es poco popular, no hay interés (véase Windows – Linux y no significa que Linux no sea bueno por tener menos usuarios)

  3. Alicia Bermúdez

    No puedo poner comentarios en la página http://www.aventurapensamiento.com Sale un letrero en inglés que me dice que no tengo permiso para dejar comentarios en wp:

    Forbidden
    You don’t have permission to
    access /wp-comments-post.php on this server.

    Tampoco me permite el sistema acceder al contacto con los administradores de la página.
    No sé cómo solucionarlo.

  4. Creo que entre los que han comentado y el que lo ha escrito, no hay muchos que sepan programar una página ni que hayan sufrido nunca los típicos problemas de WordPress.

    Lo primero es la competencia desleal de las empresas de «diseño web», pero es otro tema para otro día.

    Lo segundo, las vulnerabilidades, cierto es, no están en el núcleo, sino en los plugins, pero es que da igual. Todo este post queda muy demagógico, pues es precisamente el gran problema de WordPress, los plugins. Todo el mundo usa plugins y es lo que pone en peligro el sitio. No es un problema de contraseñas. Es tan fácil como conocer un fallo en un formulario de los más comunes relacionado con la versión X de wp. TODOS los que lo tengan instalado y esa versión de wp, caerán con el simple uso de un bot: accedo al código fuente de la web mediante el formulario y sólo tengo que insertar una serie de comandos en CADA php de la plataforma de manera automática, por lo que su eliminación es complicada a no ser que borres todo el servidor (y borres bien).

    Toda web es vulnerable (TODA), pero necesitas estudiarla a fondo para ver el fallo. Con un CMS, sólo necesitas saber la versión para saber donde meterle mano a millones de ellas.

    El 99% de los usuarios de WP lo son porque no tienen ni idea de seguridad web (ni de programar). No estoy de acuerdo con Javier: el uso masivo hace que valga la pena gastar tiempo y dinero en investigar su hackeo. Si es poco popular, no hay interés (véase Windows – Linux).

  5. Pingback: WordPress 3.8.2 y WordPress 3.9 RC1 | Ayuda WordPress

  6. Pingback: Como asegurar una tienda online WooCommerce

  7. Pingback: Qué son los nonces de WordPress y para qué sirven

  8. Pingback: 3 razones por las que las grandes marcas están cambiando a WordPress

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido