Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad

011280

?Es seguro WordPress? Muchos novatos pueden preocuparse por esto, especialmente cuando oyen que WordPress es un proyecto de código abierto. Entonces, ?existen datos que nos ayuden a entender cómo de seguro es WordPress?

La respuesta es sí. En este artículo, hemos recopilado todos los datos e información importantes que hemos podido sobre la seguridad de WordPress. Veremos en detalle todo, desde la seguridad del núcleo de WordPress, temas y plugins, hasta la seguridad de la información de inicio de sesión y los servicios de alojamiento.

Nuestro objetivo es ofrecerle una visión clara de la seguridad de WordPress, así como indicarle los posibles riesgos y cómo protegerse contra ellos.

Imagen[1]-Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Según las estadísticas, WordPress es el sistema más atacado por los piratas informáticos.

Cuando hablamos de la seguridad de WordPress, hay un número importante que hay que recordar: 43%. Según W3Techs, ese es el número de sitios web en todo el mundo construidos con WordPress. Tenga en cuenta que esta cifra no se refiere a la cuota de mercado de WordPress en todos los sistemas de gestión de contenidos (que en realidad es mayor), sino a su cuota en todos los sitios web de Internet.

Se trata de un porcentaje bastante alto, lo que demuestra que WordPress es muy popular. Aunque esto es una buena noticia para los partidarios de WordPress, también significa que es un objetivo más fácil para los hackers.

Debido al gran número de sitios web de WordPress, esta plataforma se ha convertido en un foco de ataques de hackers. De hecho, según un informe de investigación de amenazas publicado por Sucuri en 2022, los sitios web de WordPress representaron la friolera de 96,21 TP3T de todos los sitios web infectados.

Imagen[2]-Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

No suena muy seguro, ?verdad?

Cuando vemos que WordPress es el blanco de tantos ataques de hackers, podemos pensar que la plataforma tiene vulnerabilidades de seguridad. Por qué es un objetivo tan importante para los hackers?

La razón es sencilla: la enorme popularidad de WordPress lo convierte en un objetivo mucho más visible y atractivo para los piratas informáticos. Para los piratas informáticos es más eficaz y fácil atacar una plataforma utilizada por cientos de millones de sitios web que atacar una plataforma con una base de usuarios más peque?a. Los piratas informáticos lo han aprovechado sabiamente.

La mala noticia es que, efectivamente, hay muchos sitios de WordPress que son atacados con éxito por hackers cada a?o. Pero la buena noticia es que, como verá a continuación, estos ataques no son inevitables. De hecho, muchos ataques exitosos se pueden prevenir. La clave es saber cómo protegerse.

Estadísticas de vulnerabilidad del núcleo de WordPress

Para determinar si WordPress es seguro, veamos primero las estadísticas de seguridad relativas al núcleo del software de WordPress.

La mayoría de los sitios pirateados no se han actualizado

Según el informe de Sucuri, la mayoría de los sitios WordPress pirateados utilizan versiones antiguas. En 2022, más de la mitad de los sitios web infectados por malware no se han actualizado a la última versión de WordPress.

Image[3]-Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, en todo el mundo, respuesta rápida

No es sorprendente que se haya descubierto que algunas versiones antiguas de CMS tienen muchas vulnerabilidades de seguridad conocidas. Así que si todavía estás utilizando una de estas versiones para ejecutar tu sitio web, es una invitación directa para que alguien lo ataque.

De hecho, la mayoría de los problemas de seguridad se concentraban en la versión 4.0 de WordPress y anteriores. Desde entonces, se ha producido un descenso significativo en el número de vulnerabilidades de seguridad.

Image[4]-Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

La investigación de Sucuri también muestra esta tendencia. El número de sitios WordPress que son hackeados por no estar actualizados está disminuyendo en comparación con el pasado.

Image[5]-Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

De hecho, de todos los sistemas de gestión de contenidos analizados, WordPress es el que presenta el menor porcentaje de infecciones debido al uso de versiones antiguas.

Imagen [6] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, en todo el mundo, respuesta rápida

Esta tendencia se ha mantenido durante dos a?os, en los que WordPress ha experimentado un ligero descenso de las infecciones procedentes de versiones anteriores. Esta es una comparación con datos de 2021.

Imagen [7] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Se trata de un problema del usuario, no de WordPress.

?Hasta qué punto son diligentes los usuarios de WordPress a la hora de actualizar sus sitios? La verdad es que muchos no están al día. Esta es la distribución de las versiones de WordPress que se ejecutan en los sitios web en la naturaleza, según lo registrado por WordPress.org.

Imagen [8] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Sin embargo, la buena noticia es que la mayoría de los usuarios están ejecutando al menos la versión más segura de WordPress 4.0 o posterior, y tres cuartas partes han actualizado al menos a la última versión principal, lo que supone una mejora. En 2016, por ejemplo, solo lo hicieron unos 50% usuarios.

Una de las razones de este progreso podría ser la función de actualización automática introducida en la versión 5.6 de WordPress. Los usuarios ya no tienen que hacer clic manualmente en el botón de actualización y los sitios web pueden instalar nuevas versiones de WordPress automáticamente, lo que sin duda ha contribuido a la dinámica positiva de actualización.

Imagen [9] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Infraestructura de seguridad de WordPress eficaz

Aunque no todos los usuarios actualizan activamente sus sitios, el equipo de seguridad central de WordPress es capaz de responder con eficacia y solucionar rápidamente los problemas de seguridad detectados en cada nueva versión. En 2023, WordPress ya ha publicado tres actualizaciones centradas en la seguridad que abordan aproximadamente entre 20 y 30 posibles vulnerabilidades de seguridad, y solo la versión WordPress 6.0.3 soluciona 16 problemas de seguridad. Y en 2022, WordPress ha publicado cuatro versiones centradas en la seguridad, que solucionan un total de 26 vulnerabilidades.

Imagen [10] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Esta atención a la seguridad no se limita al núcleo del software de WordPress, sino que se extiende a todo el ecosistema. Por ejemplo, cuando Elementor detectó una vulnerabilidad de seguridad importante, se solucionó rápidamente. Del mismo modo, Ninja Forms resolvió un problema de seguridad tras recibir una actualización obligatoria de WordPress.org, y BackupBuddy corrigió rápidamente una vulnerabilidad de seguridad de alto riesgo y envió una actualización a los usuarios.

Imagen [11] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Así, aunque WordPress, como cualquier otro software, puede encontrarse con problemas de seguridad, dispone de protecciones para resolverlos rápidamente. El mayor reto es asegurarse de que los usuarios apliquen estas actualizaciones y parches de seguridad a tiempo.

Estadísticas de seguridad de temas y plugins de WordPress

WordPress, el sistema de gestión de contenidos más popular del mundo, ofrece un gran número de extensiones, muchas de ellas gratuitas. Hasta la fecha, solo el catálogo oficial de WordPress contiene casi 60.000 plugins y más de 11.000 temas.

Image[12]-Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, en todo el mundo, respuesta rápida

Aparte del catálogo oficial de WordPress, hay miles de plugins disponibles en Internet, muchos de ellos con opciones premium de pago. Esto convierte a WordPress en una plataforma potente porque, independientemente de la funcionalidad que necesites, lo más probable es que alguien ya haya desarrollado una solución.

Sin embargo, cada plugin o tema adicional instalado en un sitio web puede abrir una nueva puerta a los atacantes. Estas extensiones son responsabilidad de varios desarrolladores, y puede que no sean examinadas con el mismo rigor que el software principal de WordPress, lo que las hace más propensas a ocultar riesgos de seguridad. Además, a veces los desarrolladores ya no actualizan sus productos, lo que hace que estos plugins y temas queden obsoletos.

Por eso, los plugins en particular son una parte tan importante del problema de seguridad de WordPress, y los datos de WPScan.com muestran que los plugins son el origen de la mayoría de las vulnerabilidades de seguridad de WordPress.

Imagen [13] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Patchstack obtuvo cifras similares.

Imagen [14] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Al parecer, los plugins gratuitos suponen un mayor riesgo para la seguridad de WordPress. Según la investigación de Sucuri, los temas y plugins de pago constituyen solo una peque?a parte (8.621 TP3T) de todas las vulnerabilidades de terceros, mientras que la mayoría (91.381 TP3T) provienen de extensiones gratuitas.

Los datos de Sucuri muestran que 36% tenían instalado al menos un plugin o tema con vulnerabilidades conocidas en el momento en que se detectaron los sitios infectados.

Las extensiones populares son la causa de la mayoría de los ataques informáticos

Sucuri informa que algunos de los plugins más vulnerables incluyen versiones antiguas de Contact Form 7 (con 27.441 TP3T), Freemius Library (con 20.851 TP3T) y WooCommerce (con 14.511 TP3T). También hay otros en la lista.

Imagen [15] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Entonces, ?por qué utilizamos estos plugins con problemas de seguridad? En realidad, el problema no es la seguridad de estos plugins en sí, sino porque son muy populares. Contact Form 7, por ejemplo, tiene más de 5 millones de instalaciones.

Además, los equipos de desarrollo de estos plugins suelen resolver rápidamente los problemas de seguridad una vez que se identifican. El problema surge principalmente cuando los usuarios no actualizan sus plugins a tiempo. Mientras tanto, se sigue trabajando para abordar estos riesgos de seguridad, como la propuesta de un comprobador de plugins, que es similar a la idea de una herramienta de comprobación de temas.

Así que lo fundamental que debemos recordar es mantener el tema y los plugins actualizados, lo cual es tan importante como mantener el resto del sitio de WordPress.

Vulnerabilidad de inicio de sesión

La información de inicio de sesión es otro factor clave que hace que un sitio web sea vulnerable a la piratería informática. Si se utilizan nombres de usuario y contrase?as sencillos, resulta muy fácil descifrar estas credenciales mediante ataques de fuerza bruta o de colapso.

En este caso, no importa lo actualizado que esté su sitio, o lo seguros que sean sus plugins y temas, una vez que alguien ha obtenido acceso completo a su sitio, no hay límites a lo que puede hacer.

Por ejemplo, Sucuri encontró usuarios administradores de WordPress maliciosos entre los sitios infectados en 32.69%. Estos son algunos ejemplos de nombres de usuario y direcciones de correo electrónico que suelen utilizar.

Imagen [16] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Por otro lado, esta sección es uno de los lugares donde el usuario tiene el control directo. Por ejemplo, WordPress viene con la capacidad de generar automáticamente contrase?as seguras, así que ?por qué no aprovecharla?

Sin embargo, debe hacer lo mismo con otras cuentas de su sitio web, como la cuenta de alojamiento y las credenciales FTP. Aparte de eso, hay otras formas de mejorar la seguridad de tu página de inicio de sesión, como limitar el número de intentos de inicio de sesión y activar la doble autenticación.

Estadísticas de seguridad del alojamiento

El entorno de alojamiento y la tecnología utilizada también son importantes para la seguridad de su sitio web, especialmente para la versión de PHP que ejecuta WordPress. Por ejemplo, PHP 7 introduce mejores funciones de seguridad en comparación con el anterior PHP 5.

Además, los desarrolladores de PHP tienen una estricta política de cese de soporte para versiones antiguas. En el momento de escribir estas líneas, se ha interrumpido el soporte y las actualizaciones de seguridad para las versiones anteriores a PHP 8.0, por lo que es mejor no utilizar estas versiones antiguas durante largos periodos de tiempo.

Imagen [17] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Aquí, WordPress no tiene tan buena pinta. Aunque la inmensa mayoría de los sitios de WordPress funcionan al menos con PHP 7.0, y casi la mitad de ellos con 7.4, sólo algo más de una cuarta parte de ellos utilizan una versión soportada activamente.

Imagen [18] - Análisis en profundidad de la seguridad de WordPress: Comprender su verdadera seguridad - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Incluso hay unos 6% que siguen funcionando con la versión 5.x de PHP, que no tiene soporte desde hace a?os. Así que si usted no ha actualizado su versión de PHP, por favor hágalo.

Estadísticas de seguridad de WordPress en pocas palabras

Ningún CMS es seguro al cien por cien y, de hecho, nada conectado a la web es completamente seguro. Sin embargo, a pesar de lo que pueda haber oído en otros sitios, WordPress tiene un historial de seguridad bastante bueno en general. Sí, hay algunos problemas que necesitan ser abordados, pero la mayoría de ellos están siendo tratados con agresividad.

Si quiere que su sitio web sea más seguro, aquí tiene algunos consejos que debe seguir:

  • Actualiza siempre tu WordPress, plugins y temas a la última versión.
  • Utilice sólo extensiones de fuentes fiables.
  • Utilice contrase?as seguras para todas las cuentas de su sitio web.
  • Considere el uso de un cortafuegos o CDN.
  • Limitar el número de intentos de inicio de sesión.
  • Cifre el tráfico del sitio web con certificados SSL, incluidas las páginas de administración del backend.
  • Elija un servicio de alojamiento que mantenga actualizadas las versiones de PHP.

Siga estos consejos y su sitio de WordPress tendrá un historial positivo al menos en lo que respecta a la seguridad.


Contacte con nosotros
?No puede leer el tutorial? Póngase en contacto con nosotros para obtener una respuesta gratuita. Ayuda gratuita para sitios personales y de peque?as empresas
Servicio de atención al cliente WeChat
Servicio de atención al cliente WeChat
Tel: 020-2206-9892
QQ咨詢:1025174874
(iii) Correo electrónico: info@361sale.com
Horario de trabajo: de lunes a viernes, de 9:30 a 18:30, días festivos libres
? Declaración de reproducción
Este artículo fue escrito por Harry
EL FIN
Información sobre WordPressInformación sobre WordPress
# WordPress Seguridad# Protección contra hackers
Si le gusta, apóyela.
felicitaciones0 compartir (alegrías, beneficios, privilegios, etc.) con los demás
comentarios compra de sofás

Por favor, inicie sesión para enviar un comentario

    Sin comentarios