Sobre la seguridad en WordPress
WordPress es el sistema de gestión de contenidos más popular, enfocado a la creación de cualquier tipo de página web. Es seguro, pero al ser el CMS, Content Management System, más utilizado del mundo, esto hace que sea el más atacado también.
Es por ello que la seguridad en WordPress se basa, sobre todo, en la prevención. Así lo destacan los expertos de la empresa gallega Raiola Networks, proveedor de hosting español, que analiza las vulnerabilidades que presenta WordPress para atajarlas y conseguir un sitio web seguro.
Para Álvaro Fontela, experto y consultor WordPress y CEO de Raiola Networks, no existe un plugin imprescindible para garantizar la seguridad en WordPress y reconoce que "la mayoría de ellos tienen el problema de que consumen demasiados recursos en el servidor o hosting y pueden causar inestabilidad cuando no hay mucho tráfico al multiplicar exponencialmente el consumo de recursos de CPU y RAM".
En cuanto a los hackeos o infecciones más comunes, la gran mayoría son provocados por plugins y themes sin actualizar o porque se ha abandonado el desarrollo y ya no existen actualizaciones. En menor medida, tal y como menciona Fontela, "hay un porcentaje muy bajo de casos en los que las instalaciones WordPress son hackeadas por usar o probar en ellas plugins y themes pirata, además de otros mínimos en los que son provocados por infecciones zeroday, es decir, casos en los que algún atacante descubre una vulnerabilidad e infecta todas las webs que puede en el menor tiempo posible antes de que salga una actualización para solucionar el problema".
Teniendo en cuenta al usuario final, este solo está expuesto en casos muy concretos. Y es que la gran mayoría de los hackeos que se encuentran en WordPress "son realizados por bots, es decir, no son directos y el objetivo no suele ser robar datos, sino infectar el hosting para realizar ataques o utilizar el hosting para llevar a cabo ataques de phishing o suplantación de identidad a terceros. Por el contrario, el usuario se vería atacado cuando, por ejemplo, hay una tienda online donde se guardan datos de facturación de los clientes: si nos infectan y nos hackean un WordPress con WooCommerce, el atacante sí puede acceder a esos datos", señala Fontela.
Existe una relación directa entre una posible infección y una instalación Wordpress llena de plugins o themes desactivados. Y en este sentido, cuando el usuario no realiza las actuaciones necesarias para solucionarlo, se producen ataques provenientes de vulnerabilidades en plugins y themes. En este sentido, "los problemas de seguridad siguen siendo los mismos desde hace más de 10 años", tal y como señala Álvaro Fontela, quien reconoce que "es muy difícil que un atacante entre por fuerza bruta en una instalación WordPress, ya que casi todos los servidores tienen un WAF para proteger las webs de esto, aunque existen casos minoritarios en los que consiguen entrar al tener el usuario una contraseña muy débil".
La seguridad del futuro
Actualmente nos encontramos en un escenario en el que cada vez hay más ataques, pero con el paso de los años se han ido reduciendo las vulnerabilidades zeroday que han ido apareciendo y también el impacto en la masa crítica de webs creadas con WordPress. De esta forma, el único cambio que se verá de cara al futuro es que los sistemas de seguridad a nivel servidor seguirán evolucionando para bloquear de forma transparente cada vez más amenazas.
Muestra de ello es que "si hace 10 años un zeroday afectaba a millones de instalaciones, actualmente puede impactar en unas 100.000 o 200.000. Esto es gracias a los sistemas de seguridad implementados a nivel servidor y a una serie de buenas prácticas que aplican los desarrolladores de plugins y themes", destaca Fontela.
Y de cara al futuro, "personalmente creo que todo va a seguir exactamente como hasta ahora, con la diferencia de que poco a poco los sistemas de seguridad para hosting van mejorando y van consiguiendo bloquear cada vez más ataques", señala el CEO de Raiola Networks.
