Mi sitio web es un WordPress. Debo preocuparme?

No descubro nada si digo que wordpress es hoy por hoy el gestor de contenido mas usado en el mundo y con miras de seguir creciendo. Para tener una idea de la dimensión de lo que digo les dejo unas estadísticas.

• WordPress alimenta el 35% de Internet en 2020, un aumento del 2% en comparación con principios de 2019 y un aumento del 4% con respecto al año anterior.
• Si solo cuenta los sitios creados por CMS, aproximadamente el 60% de ellos son WordPress
• Más de 400 millones de personas visitan los sitios de WordPress cada mes
• En 2019, se publicaron casi 160 mil millones de palabras en WordPress
• Pero WordPress no es usado solamente para Blogs – Cerca del 28% de todos los ecommerces lo hacen a traves de WooCommerce
• 305 tiendas nuevas WooCommerce aparecen en promedio en cada día
• 873 sitios wordpress se agregan diariamente tambien en promedio
• WordPress ofrece mas de 56000 plugins y mas de 3500 templates con licencia GPL
• En 2019, los descargas de wordpress, en idioma distinto al inglés, fueron mas las de idioma inglés

Al tener tanto éxito a nivel mundial, también lo es para personas maliciosas que quieren usar los diferentes sitios para sus propósitos (como botnet, como generador de criptomonedas, para robar tarjetas de credito, credenciales, etc).

Si bien las amenazas son muchas también lo son las defensas que la mayoría de los programadores agrega diariamente a sus respectivos códigos, como así también a los plugins y temas usados.

Los principales problemas a la hora de tener un sitio wordpress ejecutando en un servidor y que este sea vulnerable son los siguientes:

Software basico obsoleto:

De todos los sitios wordpress pirateados en el ultimo año el 40% tenia el software basico obsoleto. Las actualizaciones de wordpress se dan generalmente cada 2 semanas. Principalmente pequeñas porciones de codigo son reemplazadas por codigo mas eficiente y seguro. Las grandes actualizaciones son para bugs criticos de seguridad y/o nuevas features.

Plugins o Temas obsoletos:

Una de las cosas que a la gente le encanta de WordPress es el vertiginoso conjunto de plugins y temas disponibles. Al momento de escribir esto, hay más de 56,000 en el repositorio de WordPress, y miles de otros premium adicionales esparcidos por toda la web.

Aunque todas esas opciones son excelentes para ampliar su sitio, cada extensión es una nueva puerta de entrada potencial para un actor malicioso. Y aunque la mayoría de los desarrolladores de WordPress hacen un buen trabajo siguiendo los estándares de código y parcheando cualquier actualización a medida que se las conoce, todavía hay algunos problemas potenciales:

• Un plugin o tema tiene una vulnerabilidad y, debido a que no hay tantos ojos en él como el software central de WordPress, esa vulnerabilidad pasa desapercibida.
• El desarrollador ha dejado de trabajar en la extensión pero la gente sigue usándola.
• El desarrollador rápidamente parchea el problema, pero la gente no lo actualiza.

Entonces, ¿qué tan grande es el problema?

Bueno, en una encuesta de Wordfence de propietarios de sitios web pirateados, más del 60% de los propietarios de sitios web que sabían cómo llegó el hacker lo atribuyeron a un plugin o a una vulnerabilidad temática.

Credenciales de acceso comprometidas para WordPress, FTP o Hosting

Ok, esto no es realmente culpa de WordPress. Pero un porcentaje no despreciable de hacks provienen de actores maliciosos que tienen en sus manos las credenciales de inicio de sesión de WordPress, o las credenciales de inicio de sesión de las cuentas de alojamiento o FTP de los webmasters.

En la misma encuesta de Wordfence, los ataques por fuerza bruta representaron ~16% de los sitios pirateados, con robo de contraseñas, estaciones de trabajo, phishing y cuentas FTP, todos ellos con una apariencia pequeña, pero notable.

Una vez que un actor malicioso recibe la llave metafórica de la puerta principal, no importa qué tan seguro sea su sitio WordPress.

WordPress realmente hace un gran trabajo para mitigar esto generando automáticamente contraseñas seguras, pero todavía depende de los usuarios mantener esas contraseñas seguras y también usar contraseñas fuertes para hospedaje y FTP.

Aporte: Tomar medidas básicas para mantener seguras las credenciales de las cuentas puede evitar que actores maliciosos entren. Use/imponga contraseñas seguras para todas las cuentas de WordPress y limite los intentos de acceso para prevenir ataques de fuerza bruta.

Para cuentas de alojamiento, utilice la autenticación de dos factores si está disponible y nunca almacene su contraseña FTP en texto plano (como hacen algunos programas FTP).

Si puede elegir entre FTP y SFTP (Protocolo de transferencia de archivos SSH), utilice siempre SFTP. Esto asegura que nunca se transfieran contraseñas de texto claro o datos de archivo. Sólo soportamos conexiones seguras en Kinsta.

4. Ataques a la cadena de suministro

Recientemente, ha habido algunos casos en los que los hackers obtienen acceso a los sitios a través de un truco desagradable llamado ataque a la cadena de suministro. Esencialmente, el actor malicioso lo haría:

• Compra un plugin de alta calidad que se encuentra en WordPress.org
• Añadir una puerta trasera al código del plugin
• Espere a que la gente actualice el plugin y luego inyecte la puerta trasera.

Wordfence tiene una explicación más profunda si le interesa. Aunque estos tipos de ataques no están muy extendidos, son más difíciles de prevenir porque resultan de hacer algo que usted debería estar haciendo (mantener un plugin actualizado).

Dicho esto, el equipo de WordPress.org normalmente detecta rápidamente estos problemas y elimina el plugin del directorio.

Aporte: Esto puede ser difícil de prevenir porque es bueno actualizarse siempre a la última versión. Para ayudar, los plugins de seguridad como Wordfence pueden alertarle cuando un plugin es removido de WordPress.org de modo que usted lo dirija rápidamente. Y una buena estrategia de respaldo puede ayudarlo a retroceder sin ningún daño permanente.

5. Entorno de alojamiento deficiente y tecnología obsoleta

Más allá de lo que está sucediendo en su sitio WordPress, su entorno de alojamiento y las tecnologías que utiliza también marcan la diferencia. Por ejemplo, a pesar de que PHP 7 ofrece muchas mejoras de seguridad sobre PHP 5, sólo ~33% de los sitios de WordPress están usando PHP 7 o superior.

Uso de PHP en el sitio web de WordPress. (Fuente de la imagen: WordPress.org)

El soporte de seguridad de PHP 5.6 expiró oficialmente a finales de 2018. Y las versiones anteriores de PHP 5 no han tenido soporte de seguridad durante años.

Esto significa que el uso de un entorno de alojamiento que utiliza PHP 5.6 o inferior le abrió el potencial de vulnerabilidades de seguridad de PHP no parcheadas.

A pesar de ello, un ~28% de los sitios web de WordPress siguen usando versiones PHP por debajo de 5.6, lo que es un gran problema si se tiene en cuenta que recientemente hemos visto años récord para el número de vulnerabilidades PHP descubiertas.

Más allá de darle acceso a las últimas tecnologías, el uso de alojamiento seguro de WordPress también puede ayudarle a mitigar automáticamente muchas de las otras posibles vulnerabilidades de seguridad con:

• Cortafuegos de aplicaciones web
• Actualizaciones automáticas para versiones de seguridad
• Autenticación de dos factores
• Copias de seguridad automáticas

Aportar: El uso de un entorno de alojamiento seguro y las versiones recientes de tecnologías importantes como PHP ayuda a garantizar aún más que su sitio WordPress permanezca seguro.

¿Quién es responsable de mantener la seguridad de WordPress?

Ahora se estará preguntando, ¿quién es responsable de combatir todos los problemas mencionados anteriormente?

Oficialmente, esa responsabilidad recae en el Equipo de Seguridad de WordPress (aunque los colaboradores y desarrolladores individuales de todo el mundo también juegan un papel importante en mantener la seguridad de WordPress).

El equipo de seguridad de WordPress está formado por «50 expertos, incluidos desarrolladores líderes e investigadores de seguridad». Alrededor de la mitad de estos expertos trabajan en Automattic. Otros trabajan en seguridad web, y el equipo también consulta con investigadores de seguridad y empresas de hosting.

Si está interesado en una visión detallada de cómo funciona el Equipo de Seguridad de WordPress, puede ver la charla de 48 minutos de Aaron Campbell desde WordCamp Europe 2017. Pero en general, el equipo de seguridad de WordPress:

• Detecta y corrige errores y problemas potenciales utilizando, en parte, herramientas como recompensas de errores de HackerOne.
• Consulta todas las notas de prensa de WordPress

El Equipo de Seguridad de WordPress tiene una política de divulgación que significa que, una vez que han reparado con éxito el fallo y liberado la corrección de seguridad, revelan públicamente el problema (esto es parte de la razón por la que tantos sitios fueron desfigurados en 2017 – todavía no habían aplicado la actualización incluso después de que el equipo de seguridad revelara públicamente el fallo).

Lo que el Equipo de Seguridad de WordPress no hace es revisar todos los temas y plugins en WordPress.org. Los temas y plugins de WordPress.org son revisados manualmente por voluntarios. Pero esa revisión no es «una garantía de que estén libres de vulnerabilidades de seguridad».

Así que – ¿Es WordPress seguro si usted sigue las mejores prácticas?

Si se fijan en todos los datos y hechos anteriores, verán esta tendencia general:

Aunque ningún sistema de gestión de contenidos es 100% seguro, WordPress tiene un aparato de seguridad de calidad para el software principal y la mayoría de los hacks son el resultado directo de que los webmasters no siguen las mejores prácticas de seguridad básicas.

Si hace cosas como….

• Mantener actualizados el software, los plugins y los temas principales de WordPress.
• Elegir los plugins y temas sabiamente y sólo instale extensiones de desarrolladores/fuentes de confianza. Cuidado con los clubs GPL y los plugins/temas nulos.
• Si puede elegir entre FTP y SFTP, utilice siempre SFTP.
• Utilizar contraseñas seguras para WordPress, así como para sus cuentas de hosting y SFTP (y autenticación de dos factores si está disponible).
• No usar «admin» para su nombre de usuario.
• Mantener su propio ordenador libre de virus.
• Utilizar un certificado TLS (HTTPS) para que toda la comunicación con su sitio de WordPress (como iniciar sesión en su panel de control) esté cifrada.
• Utilizar las teclas SSH. Esto proporciona una forma más segura de iniciar sesión en un servidor y elimina la necesidad de una contraseña.
• Elegir un host con un entorno seguro y utilice las últimas tecnologías como PHP 7+.

…entonces WordPress es seguro y su sitio debe permanecer libre de piratas informáticos tanto ahora como en el futuro. Si usted es cliente nuestro, tampoco tiene que preocuparse. Si por casualidad su sitio es pirateado, lo aconsejaremos y le daremos una solución profesional a su sitio web.

No deje de consultarnos. Somos profesionales y expertos en seguridad informática.