No lo digo yo, lo dice el propio WordPress, la parte más débil de WordPress eres tú mismo si no te encargas mínimamente de la seguridad y recomienda además sentido común, que como todos sabemos, es el menos común de los sentidos.
Asesoramiento experto gratuito en cambio de CMS
¡Cambia a un nuevo CMS, con inteligencia artificial, e incluso ahorra!
Algo de razón WordPress tiene en su severa afirmación, puesto que tiene bastante gente trabajando en la seguridad sin contar con los servicios de algunas extensiones de seguridad importantes, que además se encargan de revisar los plugins, y aun así es el CMS más hackeado, aunque esto es lógico teniendo en cuenta que es de largo también el más usado.
Efectivamente, en la versión que instalamos cada uno, la versión de código libre, el webmaster debe encargarse de ponérselo un poco difícil a los ciberdelincuentes. Nada es 100% seguro en esta vida, pero si dejamos un coche abierto y con las llaves puestas en un barrio de dudosa reputación, es más probable que nos quedemos sin coche…
Ni siquiera hay que tener un perfil técnico para dificultarle las cosas al hacker y no acabar en las listas que existen o portfolios de sitios hackeados a la venta. Con seguir unas sencillas reglas, si bien no estaremos totalmente seguros, sí podremos dormir un poco más tranquilos:
- Mantén todo bien actualizado, tanto el núcleo o core como las actualizaciones y los temas. Desinstala todo lo que no uses, no vale con desactivarlo. Siempre antes de actualizar, realiza copia de seguridad.
- Base de datos: A la hora de instalar WordPress, no uses el prefijo por defecto.
- Usuario y contraseña: Hazte un favor y crea un nombre de usuario y una contraseña larga y segura. Aun así puedes adivinarla, pero les será mucho más difícil.
- Gestión de usuarios y roles: No proporciones tu cuenta de admin a nadie. Crea siempre nuevos usuarios y dales lo permisos necesarios.
- Autenticación en dos pasos: Usala al menos en tu usuario con más permisos.
- Plugin de seguridad y firewall: Instala uno, hay varios famosos que funcionan bien.
- Protege archivos clave de WP: Habla con tu hosting y protégelos bien.
Dada la gran cuota de mercado que tiene WordPress es lógico que salga en muchos análisis como el CMS más intervenido por ciberdelincuentes y de ahí su mala fama. Por un lado, su popularidad le pone en el punto de mira de los hackers, pero en gran parte se debe a razones que se podían haber evitado.
Por un lado, de los cientos de miles de webs hackeadas, según Sucuri, el 50% eran web desactualizadas con problemas de seguridad públicos y bien conocidos. La situación aquí está mejorando, seguramente debido a las actualizaciones automáticas, entre otros factores. En este caso, el usuario es claramente culpable de estos problemas por no preocuparse por mantener su software actualizado.
Como comentábamos antes, el equipo de seguridad de WordPress es muy buena y trabaja concienzudamente e incluso a veces fuerzan actualizaciones de plugins muy populares. Estos plugins son una posible puerta de entrada a WordPress y, si esto ocurre, es responsabilidad de cada autor, no de WordPress. Es responsabilidad del usuario instalar solo plugins y temas bien probados y mantenidos y usar solo los estrictamente necesarios. Las extensiones gratuitas son las que se muestran especialmente problemáticas.
Otra gran puerta de entrada es mediante login, por medio de ataques de fuerza bruta. Por eso se recomiendan contraseñas largas y fuertes y quizás algún plugin que bloquee repetidos intentos de login desde lugares exóticos y desde la misma IP. Recordamos que la autenticación en dos pasos es muy recomendable también.
Por último, hay que recordar que también hay que encargase de la seguridad en el lado del servidor. El proveedor de hosting también debe hacer tu trabajo e ir actualizando sus máquinas y ofrecernos la posibilidad de subir la versión de php, la base datos, etc. Todo el que lea esto debería ir ya mismo planteándose el uso de php en su versión 8.
El hecho de usar un certificado SSL ni lo iba a mencionar, porque a estas alturas de Internet ya se de por hecho, pero finalmente he decidido mencionarlo.
Mantener su WordPress actualizado no es tan difícil. Hazlo sin falta porque normalmente el último que se da cuenta de que ha sido hackeado es el webmaster y además existen muchos tipos de hackeos y no en todos se pierde el control de la web, sino que se puede usar para meter publicidad de un tercero, entre otros muchos males.
Recuerda: la seguridad no es opcional. Que no te pase como al diario Público, que a día de hoy sigue sin recuperar el control de su web y ha tenido que usar un WordPress para seguir publicando…
Apúntate gratis al boletín semanal
*Al suscribirte confirmas que aceptas recibir la newsletter semanal de mejorCMS.com y las Condiciones de uso y Política de privacidad de mejorCMS.com y de Mailchimp.
Más noticias de seguridad:
Últimas noticias publicadas en CMS MAG:
Recomendado por nuestros editores:
Exclusivo evento “CMS y DXP: Year in review 2023” organizado por CMS MAG y Sngular
El evento se celebrará con un aforo muy limitado el 16 de noviembre del 2023 en la sede madrileña de Sngular… Ya hay invitados confirmados de PRISA, Vocento, Automattic, Disney, Xalok, Bitban y muchos más… ¡Apúntate!
Lee más…
El Español, de nuevo líder en el ranking de periódicos digitales GfK-DAM de septiembre 2023
Ya tenemos datos de la primera quincena de septiembre de 2023 según GfK, de forma que podemos actualizar el ranking de medios de comunicación…
Lee más…
Caso de éxito de Glide en España con el grupo Hello!/¡Hola!
El relanzamiento de Hola en tantos países con Glide fue beneficioso en muchos aspectos. En primer lugar, puso fin a una maraña de diversos proyectos en diferentes plataformas…
Lee más…
Tu empresa está muy ocupada. Todas lo están. Pero si no mejoras ahora, tu competencia lo hará:
Deja una respuesta