Problemas de seguridad en WordPress y sus plugins

Problemas de seguridad en WordPress y sus plugins

WordPress es un sistema de creación de cualquier tipo de sitio web que nació el 9 de mayo de 2013. Aunque se pueda crear con él cualquier tipo de página, destaca por la creación de blogs. En los últimos años creció considerablemente por ser una web de fácil uso, por su licencia y por las características que tiene como gestor de contenidos.

Esta página nació para la creación de un sistema de publicación personal, con buena estructura y elegante. WordPress se fija en la estética, usabilidad y los estándares web.

Cuenta con la siguiente estructura:

  • Es un sistema de publicación web de entradas ordenadas por fecha.
  • Su estructura y diseño dependen de un sistema de plantillas independientes del contenido, pudiendo ser elegidas por cada usuario, ya que son personalizables.
  • Es una página que quiere elegancia y sencillez.
  • Separa el contenido y el diseño, pero todo depende del tipo de plantilla que se utilice.
  • La gestión y ejecución la realiza el sistema de administración y los widgets que usan las plantillas.

La gente utiliza WordPress porque tiene funcionalidades como, por ejemplo:

  • Es una web de fácil instalación, actualización, personalización y uso.
  • A partir de la versión 2.7 cuenta con actualización automática.
  • Crea páginas estáticas.
  • Se puede ordenar artículos en categorías, subcategorías y etiquetas.
  • Se puede importar archivos desde otros dispositivos, como Blogger.
  • Guarda automáticamente el artículo como borrador.
  • Se pueden hacer comentarios entre distintos blogs.
  • Es posible subir datos adjuntos y archivos multimedia.
  • Cuenta con plantillas y widgets.

Una vez que se instale WordPress, es posible tener varios blogs en conjunto con esa misma aplicación, pudiendo compartir temas, plantillas, plugins

También cuenta, como ya se dijo anteriormente, con temas y plantillas para poder personalizar y estructurar el blog al gusto de cada usuario. Para esas plantillas tiene un sistema de widgets que ofrece varias posibilidades para el diseño y estructura de los blogs.

 

Entre sus características principales también destacan los complementos, también llamados plugins, que potencian el uso de esta página y la hacen más flexible. Son herramientas que extienden su funcionalidad. Pero en este tema se entrará en profundidad más adelante.

WordPress se puede instalar de dos formas totalmente distintas:

  • Como servicio gratuito en la nube: aquí se habla de un blog com y crearlo sería como crear cualquier cuenta en una red social o un correo electrónico. Estos blogs cuentan con un dominio nombre-blog.wordpress.com, a no ser que algún usuario contrate un dominio propio.
  • Como una instalación propia: aquí se habla de un blog org y el usuario se tiene que encargar de instalar el blog. O sea, el usuario tiene que descargarse la aplicación, instalarla en su hosting y configurar el blog para que funcione. También tiene que encargarse de su mantenimiento, como las actualizaciones.

Entre estos dos niveles de instalación hay diferencias, por ejemplo, WordPress.com es más fácil de usar, pero cuenta con más limitaciones que WordPress.org, como no poder instalar plugins o tener temas limitados.

WordPress cuenta con varias críticas, pero casi todas van dirigidas al tema de la seguridad, ya que muchos de esos problemas no han sido solucionados en el software. Este es el tema en el que nos vamos a centrar ahora.

Problemas de seguridad en WordPress.

Al ser una de las páginas más utilizadas en el mundo, corre el riesgo de sufrir mayores ataques de ciberdelincuencia.

El primer problema de seguridad que se puede encontrar es el más común. Este es el miedo que tienen los usuarios a que les roben su identidad y contraseña para que luego los usen sin su consentimiento, teniendo acceso a todo lo guardado en el blog. Esto se puede intentar solucionar cambiando más a menudo la contraseña y haciéndola más fuerte y larga, combinando letras minúsculas, mayúsculas, números y símbolos.

Sobre el 2013, WordPress sufrió un ataque masivo de robo de identidad que afectó a miles de usuarios que se quedaron sin cuenta.

Si no se tiene la nueva actualización instalada, también se corren riesgos de seguridad, ya que cada actualización es mejor y más fuerte que la anterior, por lo que cada vez que se actualice el programa, hay más posibilidades de tener un blog seguro. Las veces que haya una vulnerabilidad en WordPress y lancen una nueva actualización hay que instalarla, porque esos problemas se quedarán en la actualización anterior.

Al empezar con el blog, hay que tener cuidado con los temas que se prueban y de donde se descargan, por eso siempre hay que utilizar los que vienen con WordPress. Hay sitios en los que puedes descargar temas, pero no suelen ser recomendables porque después darán problemas y pueden contener códigos malignos.

Otro problema de seguridad es dejar registrarse a cualquiera en el blog, porque cuantos menos usuarios que controlar, mejor. En este problema tiene más culpa el propietario del blog que la página.

También es muy importante conectarse desde un servidor seguro para no tener problemas de seguridad y aparezcan archivos dañinos. Si se usa una conexión segura, los archivos van a ser codificados siendo difíciles de interpretar.

Otro problema que tiene WordPress, como muchas otras páginas web, es que no es recomendable llenarla con información, porque cuantas más cosas tenga, más problemas de seguridad habrá.

En 2014, WordPress tuvo otro problema serio de seguridad que afectó a más de 100.000 páginas en todo el mundo. Este problema fue ocasionado por un malware creado en Rusia, que hacía que la página se comportase de forma extraña y redireccionase a los usuarios a la web de esta página rusa.

Al parecer, el culpable de que pasase eso era un plugin premiun que tenían varios temas de WordPress por el que los blogs recibían un código de carga para malware sin que los usuarios se diesen cuenta.

Este malware solo afectó a los usuarios que usan esta página a través de su propio hosting, por lo que los que usan la cuenta gratuita de WordPress.com, no se vieron afectados.

Plugins

Un aspecto importante que destaca en WordPress son los plugins, que son aquellas aplicaciones que añaden unas funcionalidades adicionales o nuevas características al software. Este término en español sería traducido como complemento.

Muchas veces son los causantes de los problemas de seguridad que tiene WordPress. Esto pasa porque cualquier persona puede desarrollar uno sin cuidado y al usarlo se pueden crear problemas graves. Por ejemplo, se puede tener problemas con los plugins si no se actualizan, sobre todo si están hechos por las personas mencionadas antes, que no se preocupan en actualizarlos.

Algunos consejos para utilizarlos son:

  • Usar los mínimos posibles.
  • Actualizarlos cuando sea necesario.
  • Usar los que tengan buena reputación y no sean de personas anónimas.
  • Ver que hay alguien detrás de ellos que responde y se preocupa de que los plugins sean seguros.
  • Eliminar los que no se utilicen.

Hay veces en que se prueban plugins y luego se desactivan pensando que no puede ocurrir nada, pero el código sigue activo, y si hay algún problema de seguridad, un atacante puede explotarlo aunque no esté activado. Por eso hay que eliminar los que no se utilicen.

Los plugins consumen recursos del servidor, por lo que hay que tener un buen hosting para su funcionamiento.

Algunos de los mejores plugins para un blog en WordPress pueden ser:

  • WordPress SEO: es el mejor plugin de SEO para este sitio web, ya que sirve de ayuda para posicionar mejor el blog en los navegadores. Con él se tiene la posibilidad de generar sitemaps para mejorar tanto la calidad como la cantidad de los registros obtenidos.
  • Akismet: es un servicio anti-spam (como si fuese un robot de limpieza). Filtra más del 98% del spam que hay en los comentarios. Es un plugin que viene ya incorporado en WordPress cuando se instala.

La primera vez que se vaya a utilizar hay que configurarlo, ya que es el usuario el que se encarga de eso. Lo más importante después de eso, es trabajar con su última actualización siempre.

  • Jetpack: realmente es un conjunto de 25 plugins. Con él se evitan problemas de incompatibilidad, se mejora el rendimiento del blog, se obtienen estadísticas, se mejora la galería de fotos, corrige las posibles faltas de ortografía…
  • WP Super Caché: con este plugin se aumenta la velocidad de carga de las páginas y disminuye la carga del servidor.
  • iThemes Security: es un plugin de seguridad con el que se sabrá si se cambian los archivos del blog o si alguien intenta adivinar la contraseña para modificar la URL.
  • DiggDigg: es un plugin que permite añadir una barra que se desliza junto a los artículos para que los usuarios lo puedan compartir en sus redes sociales si lo desean. Esto ayudaría a tu blog a darse a conocer, además de ser un plugin con una fácil configuración.
  • Contact From7: mejora la comunicación con los usuarios del blog añadiendo formularios de contacto.

Estos serían algunos de los plugins más importantes y descargados para WordPress de los miles con los que cuenta esta página.