¿WordPress es un software confiable?

por Blair Jersyer | WordPress Noticias, Blog y consejos

La cuestión de si WordPress es seguro es complicada. Si bien esta es, obviamente, una plataforma suficientemente segura para aproximadamente una cuarta parte de todos los sitios web con WordPress en todo el mundo, no está exenta de fallas.
Entonces, ¿quién es responsable de la seguridad de WordPress? Por supuesto, parte de esa responsabilidad recae en última instancia en vos hombros. Por eso es fundamental ser consciente y respetar Mejores prácticas de seguridad de WordPress con el fin de mantener todos los sitios que cree lo más seguros posible.

Sin embargo, el equipo detrás de WordPress también tiene cierta responsabilidad en todo esto. Después de todo, no hay nada que pueda hacer para proteger el núcleo de WordPress usted mismo.

Si la cuestión de la seguridad de WordPress te molesta tanto como a cualquiera que intente hacer negocios en línea, sigue leyendo lo siguiente.

Voy a hablar sobre parte de la historia sobre los problemas de seguridad de WordPress y lo que el proyecto de WordPress está haciendo al respecto.

Una breve historia de los problemas de seguridad de WordPress

El problema no es necesariamente que WordPress sea un sistema de gestión de contenido débil, propenso a intentos de piratería y agujeros de seguridad. Es más probable que sea un problema de visibilidad. WordPress es el CMS más popular del mundo, por lo que, por supuesto, será un objetivo fácil para los piratas informáticos.

WordPress es comúnmente criticado en línea (en blogs, foros, podcasts, etc..). Por tanto, las debilidades de la plataforma son bien conocidas. Entonces, tendría sentido que los piratas informáticos apunten principalmente a los sitios web de WordPress, ¿no?

La seguridad es un tema de conversación importante para todos. blog de WordPress o desarrollo web. Según el proyecto WordPress (el equipo encargado de gestionar la seguridad de la plataforma), lanzan parches de seguridad todo el tiempo. ¿Conoces esas notificaciones de actualización automática que recibes cuando inicias sesión en el tablero? ¿"WordPress ha sido actualizado a 4.7.2" o algo así? Bueno, por lo general, cuando ves estos lanzamientos menores, es porque el equipo tuvo que solucionar un problema de seguridad.

Y esto sucede a menudo:

La violación de los datos de los Papeles de Panamá a de 2016 se atribuyó, en parte, a una vulnerabilidad en un plugin Revolution Slider WordPress.

Dicho esto, es reconfortante ver cómo WordPress manejó una brecha de seguridad muy reciente y de alto perfil derivada de la API REST.

Así es como fueron las cosas:

  • En enero de 2017, WordPress lanzó la actualización 4.7.2. En ninguna parte de la lista de actualizaciones o correcciones se mencionó el parche de seguridad.
  • Aproximadamente una semana después, WordPress informó a los usuarios que efectivamente se detectó y corrigió una falla de seguridad en esta actualización.
  • ¿La razón que dieron para la demora en notificar a los usuarios? Porque querían darles tiempo para actualizar el kernel antes de que los piratas informáticos supieran que WordPress lo sabía y solucionaran el problema.

Por supuesto, eso no ha impedido que los piratas informáticos desfiguraran 1,5 millones de sitios de WordPress mientras tanto. También están aquellos usuarios de WordPress que nunca actualizaron el CMS (o lo hicieron demasiado tarde) que permanecieron vulnerables al ataque.

Entonces, aunque WordPress finalmente lanzó un parche y trataron el anuncio con el tacto muy necesario, más de un millón de sitios resultaron heridos en el proceso. Y, lo que es peor, muchos propietarios de sitios web continuaron ignorando esta degradación incluso después de que sucedió.

Parches de seguridad parecen salir con más frecuencia, con la tasa más alta de abuso en 2015. A medida que ocurren más y más de estos, es importante que sepa quién es responsable de proteger WordPress y qué puede hacer por su parte, para asegurarse de estar protegido.

seguridad wordpress.png

Lo que necesita saber sobre el proyecto de WordPress (y su seguridad)

Esto es lo que necesita saber sobre el proyecto de WordPress y para qué están haciendo mantener la seguridad del kernel .

El equipo de seguridad de WordPress

Primero, hablemos del proyecto de WordPress. Este equipo de seguridad está formado por unas 25 personas, todas ellas expertas en desarrollo o seguridad de WordPress. Actualmente, la mitad de las personas en el proyecto de WordPress trabajan para Automattic.

Este equipo de expertos es responsable de identificar los riesgos de seguridad en el kernel. También son responsables de examinar posibles problemas con temas o complementos enviados por terceros y de hacer recomendaciones sobre cómo pueden reforzar sus herramientas o corregir violaciones conocidas.

Aunque normalmente trabajan solos para identificar y resolver estos problemas, ocasionalmente consultan con otros expertos en el campo, particularmente aquellos de empresas de seguridad yalojamiento.

Cómo WordPress identifica los riesgos de seguridad

Como era de esperar, el equipo del proyecto de WordPress funciona como una máquina bien engrasada. Así es como funciona el proceso de identificación y resolución de riesgos de seguridad:

  • Un problema es identificado por alguien del equipo de seguridad o ajeno al equipo. Los miembros que no son miembros del proyecto pueden comunicar estos problemas detectados enviando un correo electrónico a [email protected].
  • Se registra un informe y el equipo de seguridad acusa recibo.
  • Luego, los miembros del equipo trabajan juntos en un servidor privado de forma privada para verificar que la amenaza sea válida.
  • Aquí es donde rastrean, prueban y reparan las vulnerabilidades de seguridad detectadas.
  • El parche de seguridad se agrega a la siguiente versión de WordPress Minor.
  • Para reparaciones menos serias, WordPress simplemente notifica a los usuarios del panel de WordPress cuando se produce una publicación automática.
  • Para asuntos más urgentes, la publicación se publicará de inmediato y WordPress.org lo anunciará en la página de Noticias del sitio.

Por supuesto, como vimos con 4.7.2., WordPress no siempre anuncia estas correcciones de seguridad (por razones válidas), aunque siempre toman medidas inmediatas para solucionarlas.

Nota sobre actualizaciones automáticas

Desde la versión 3.7, WordPress tiene la capacidad de enviar automáticamente actualizaciones menores a todos los sitios web. Esto asegura que el equipo de seguridad de WordPress pueda obtener soluciones urgentes de manera oportuna y no tener que esperar a que los usuarios estén de acuerdo y actualicen cada uno de sus sitios web.

Sin embargo, los usuarios de WordPress pueden desactivar estas actualizaciones automáticas. Si este es su caso, tenga en cuenta que puede poner en riesgo su sitio, especialmente si no tiene tiempo para monitorear diligentemente todos sus sitios para obtener la última y mejor actualización.

Seguridad de complementos y temas

Así como es su responsabilidad brindar a los visitantes una mejor experiencia web, los desarrolladores de complementos y Temas de WordPress son responsables de la seguridad de sus usuarios (es decir, usted). Si bien WordPress no puede manejar las decenas de miles de complementos y temas, al menos pueden vigilarlos de cerca para asegurarse de que nada serio pueda pasar desapercibido.

El proyecto de WordPress es el equipo responsable de trabajar con los desarrolladores cuando se detecta un problema de seguridad. Sin embargo, antes de eso, hay un equipo de voluntarios asignado para revisar cada tema o complemento enviado a WordPress. Este equipo trabajará con los desarrolladores para garantizar que se sigan las mejores prácticas.

Sin embargo, aún pueden surgir vulnerabilidades de seguridad y aquí es cuando el equipo de seguridad de WordPress debe intervenir para:

  • Proporcione documentación para desarrolladores de WordPress sobre el desarrollo de complementos y temas, así como sobre las mejores prácticas en seguridad.
  • Supervise los complementos y temas para detectar posibles agujeros de seguridad. Cualquier problema detectado se informará al desarrollador.
  • Elimine complementos o temas dañinos del directorio si los desarrolladores no responden ni cooperan.

WordPress luego notificará a sus usuarios a través del administrador de WordPress cuando estas correcciones de seguridad (o eliminación de complementos y temas incorrectos) estén disponibles.

La seguridad de WordPress requiere tu vigilancia

Después de pasar por todo esto, me siento un poco más cómodo sabiendo que hay un equipo dedicado trabajando para mantener el núcleo de WordPress seguro en todo momento. Sin embargo, eso no significa que yo (o tú) debamos dejarnos llevar por esa sensación de complacencia.

Como hemos visto, incluso el pasado mes de enero, con los 1,5 millones de sitios web dañados, no importa qué tan bueno sea el proyecto de WordPress para monitorear y asegurar la plataforma, los piratas informáticos encontrarán una solución.

Por eso es importante participar en todo esto y proteger sus sitios desde todos los ángulos.

Publicar el comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados con *

Este sitio usa Akismet para reducir los no deseados. Obtenga más información sobre cómo se utilizan sus datos de comentarios.