Castellers d'Esplugues de Pinya

Ashley Madison, una web de citas para personas casadas cuyo eslogan es «La vida es corta. Ten una aventura», fue hackeada recientemente. A lo largo de las últimas semanas hemos tenido un montón de noticias al respecto y hemos descubierto que la gente no es tan, digamos, «sincera» como parece. ¿Por qué comento esto? Porque el hecho de que una web que prometía confidencialidad absoluta haya sido hackeada y que se haya filtrado una lista con 37 millones de usuarios registrados deja clara una cosa: la seguridad es importante y no hay que tomársela a broma.

Siempre que leo una noticia de estas me pregunto hasta qué punto mi WordPress es seguro o si soy vulnerable a estos ataques. De vez en cuando aparecen vulnerabilidades que comprometen la integridad y seguridad de WordPress. No hay más que echar un vistazo a todas las actualizaciones de seguridad de WordPress para darse cuenta de ello. La última (en el momento de escribir el post) fue el 4 de agosto de 2015, incluía correcciones para vulnerabilidades de cross-site scripting y posible inyección de SQL. Y, aún así, me permito afirmar que WordPress es una plataforma segura. Pero, ¿hasta qué punto es seguro? ¿Se puede hackear con facilidad? ¿Qué podemos esperar de WordPress y de su comunidad?

Los números de WordPress

En anteriores entradas ya hemos visto el dominio absoluto que tiene WordPress comparado con otros sistemas gestores de contenidos (CMS, por sus siglas en inglés). También hemos visto numerosos ejemplos de marcas y organizaciones que usan WordPress como base para sus webs. WordPress es, sin ninguna duda, el CMS Open Source con mayor cuota de mercado del mundo, hasta tal punto que ¡un 23% de todas las webs del mundo lo utilizan!

¿Quieres algún ejemplo aún más «potente»? TechCrunch, un portal de noticias sobre tecnología y startups, el canal de televisión AMC, que produjo series como Breaking Bad, Mad Men o The Walking Dead, o la CNN en español también usan WordPress como plataforma. Si compañías y portales de este calibre confían en nuestro CMS favorito, ¿por qué no íbamos a hacerlo nosotros?

Cómo funciona WordPress y por qué es seguro

Vale, vale, tienes razón: que mucha gente o que grandes empresas usen WordPress no es garantía de su fiabilidad. Para ver realmente hasta qué punto WordPress es seguro (y entender por qué lo seguirá siendo), necesitamos saber cómo funciona su desarrollo y cuál puede ser su talón de Aquiles.

LEGO City Advent Calendar de Kenny Louie
La seguridad en la web hay que tomársela en serio. Por suerte, WordPress nos ayuda a conseguirlo. Fotografía de Kenny Louie.

Core

El núcleo de WordPress (también conocido como core) son el conjunto de ficheros que componen una instalación de WordPress pelada, tal cual está al descargarla de wordpress.org. Este núcleo ofrece las funcionalidades básicas a las que estamos acostumbrados (páginas, entradas, categorías, etiquetas…) y permite ser extendido fácilmente con temas y plugins.

WordPress no es 100% infalible. De hecho, la gran aceptación que tiene WordPress y su nivel de penetración en el mercado hacen de él un objetivo interesante para un posible atacante, puesto que si encuentra y explota una vulnerabilidad del sistema puede perjudicar a muchas instalaciones a la vez. No obstante, aquí es donde ser software libre le da una fuerte ventaja a WordPress:

El software libre es software que puede usarse, ser modificado y ser compartido libremente. Está hecho por mucha gente y se distribuye bajo licencias que encajan y protegen esta definición de libertad. Fuente:opensource.org

La filosofía que hay detrás del software libre hace posible que exista una gran comunidad de desarrolladores WordPress. Repasando el registro de actualizaciones de seguridad, vemos que se trata de una comunidad activa y diligente. Cuando se detectan (y reportan) vulnerabilidades en el core, éstas se suelen solucionar rápidamente. En entornos tan dinámicos como la web, disponer de un equipo de personas que velan por nuestro CMS da, sin ninguna duda, una gran tranquilidad.

Plugins y Temas

Como imagino que ya sabes, WordPress puede extenderse gracias al uso de plugins, permitiéndonos cubrir prácticamente cualquier necesidad. Así, por ejemplo, podemos montar una tienda virtual con WooCommerce, podemos crear una pequeña red social con BuddyPress o podemos realizar campañas de test A/B con Nelio A/B Testing.

Por otro lado, la apariencia de WordPress puede ser totalmente personalizada con los temas. Tal y como podemos leer en el codex, «el sistema de temas en WordPress es una forma de darle apariencia a tu sitio. Sin embargo, es algo más que sólo una apariencia. Cambiar sólo la apariencia de tu sitio implicaría que sólo el diseño visual es cambiado. Pero los temas de WordPress pueden proveer mucho más control sobre el aspecto y la presentación del material en tu sitio».

Insomniac Painter de Always Shooting
Gracias a los temas, podemos cambiar completamente la apariencia de nuestra web. Fotografía de Always Shooting.

Así pues, tanto los plugins como los temas son mecanismos que añaden nuevas funcionalidades al núcleo de WordPress. Por consiguiente, tanto los plugins como los temas pueden ser la causa de que aparezcan vulnerabilidades en nuestra web y, muchas veces, acaban siendo su talón de Aquiles. ¿Qué podemos hacer para asegurar que seguimos disponiendo de una instalación segura?

En primer lugar, y aunque sea obvio, nunca te descargues contenido pirata o de fuentes desconocidas. Los plugins y temas que vas a encontrar en wordpress.org han sido revisados (en mayor o menor medida) por la comunidad y, en principio, no tienen por qué tener ningún problema. También son de fiar las webs como themeforest, woothemes, o elegant themes.

De todas formas, el consejo más importante que puedo darte aquí es: confía en la comunidad. Es decir, cuando tengas una necesidad específica y busques un plugin para solucionarla, seguramente verás que existen diferentes opciones. ¿Qué plugin escoges? ¿Cuál es el mejor? Hay una serie de indicadores que te ayudarán a tomar una buena decisión:

  1. Asegúrate de que el plugin está en continuo desarrollo. Si aparece una vulnerabilidad en el plugin, quieres tener la tranquilidad de que hay un equipo de desarrolladores que están manteniendo el plugin y que, en caso de necesidad, podrán trabajar en él para corregirla.
  2. Comprueba el soporte que se ofrece a los usuarios. Una buena forma de validar que, efectivamente, la comunidad alrededor del plugin es activa es mirando los foros de soporte. Allí encontrarás dudas y problemas de otros usuarios junto con, posiblemente, sus soluciones. ¡Siempre es bueno saber que cuando todo falla no estarás solo!
  3. Repasa las opiniones de los demás. Finalmente, mira a ver qué opinan los demás usuarios sobre el plugin. ¿Cuántos lo usan? ¿Cuál es su opinión sobre él? ¿Soluciona bien su (y por tanto tu) necesidad? ¿Tiene algún punto flojo?

Tus habilidades

Finalmente, el último componente que nos queda por repasar y que es clave para la seguridad de una web cualquiera eres tú. Veamos un ejemplo sencillo: si tu usuario de administración es admin y su contraseña es, ¡sorpresa!, admin también, está claro que tu WordPress será muy vulnerable a ataques. Vamos, que está claro que depende de lo que hagas y cómo lo hagas tendrás un sitio más o menos seguro.

Hace unas semanas te expliqué 6 claves para mejorar la seguridad de tu instalación de WordPress. Por suerte, la mayoría de las técnicas que vimos allí son extremadamente sencillas de aplicar (incluso para wprincipiantes) y los beneficios que reportan son inmediatos:

  1. Sé cuidadoso con los usuarios y las contraseñas que uses.
  2. Cambia las contraseñas con regularidad.
  3. Ten un usuario de administración para realizar las tareas de administración y otro normal para publicar.
  4. Limita los intentos de acceso.
  5. Ya lo he insinuado a lo largo de la entrada pero… ¡mantén tu web actualizada!
Mago de Eva Peris
Tus habilidades también son importantes a la hora de conseguir un resultado u otro. Fotografía de Eva Peris.

Esto son sólo algunos ejemplos de todas las cosas que puedes y debes hacer. Pero hay muchas más aún en el tintero que, a medida que vayas mejorando tu experiencia con WordPress y la web en general, te permitirán convertir tu WordPress en un auténtico búnker: modificar el fichero .htaccess, realizar copias de seguridad, modificar los permisos de los ficheros, restringir los permisos del usuario de la base de datos…

Nelio A/B Testing

Pruebas A/B nativas en WordPress

Usa tu editor de páginas favorito en WordPress para crear variaciones y lanza pruebas A/B con solo un par de clics. No se necesita saber nada de programación para que funcione.

Resumiendo…

Mientras haya páginas web e incentivos (normalmente monetarios) para hackearlas seguirán apareciendo nuevas vulnerabilidades en nuestros sistemas. Es algo inevitable y de lo que tenemos que ser conscientes. Pero no tiene por qué cundir el pánico: WordPress es seguro y lo seguirá siendo, ya que la comunidad de usuarios y desarrolladores que hay detrás del proyecto son garantía de ello.

Tal y como acabamos de ver, cuando se detecta una vulnerabilidad en la plataforma en seguida se reporta al equipo de desarrollo del núcleo de WordPress y éstos trabajan para corregirlo y liberar una actualización. En cuanto a los temas y plugins, si te los descargas de las fuentes oficiales y confiables, si te aseguras de que haya un equipo activo detrás que los mantenga y dé soporte y te aseguras de tenerlos siempre actualizados, no deberías tener tampoco problemas.

Lo más importante, pues, para que puedas dormir tranquilo es que estés siempre actualizado y sigas unas mínimas normas de seguridad. ¡Ah! Y no olvides ser precavido y estar siempre preparado para lo peor

Imagen destacada de los Castellers d’Esplugues.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad de Nelio Software

Tus datos personales se almacenarán en SiteGround y serán usados por Nelio Software con el único objetivo de publicar tu comentario aquí. Con el envío de este comentario, nos das el consentimiento expreso para ello. Escríbenos para acceder, rectificar, limitar o eliminar tus datos personales.