WordPress es seguro

Una de las preguntas más habituales sobre WordPress hace referencia a su seguridad. Si este software es seguro y porqué se anuncia por Internet como que no lo es.

¿Es WordPress seguro?

La respuesta corta es sí.

La respuesta larga, como es obvio, hay que desarrollarla.

Para empezar hay que decir que absolutamente nada es 100% seguro, por lo que WordPress puede tener problemas derivados de la seguridad.

Esto es algo que ocurre en cualquier software y, en definitiva, en cualquier cosa hecha por humanos. Pero WordPress cuenta con una ventaja respecto a otros sistemas: WordPress es GPL. Esto significa que el código fuente de WordPress es público y accesible para cualquiera, lo que permite que cualquiera sea capaz de encontrar algún fallo de cualquier tipo y sugerir una corrección (incluidos problemas de seguridad).

La seguridad en el nuevo código

Cada vez que se crea algo nuevo de WordPress se hace público, y otras personas lo revisan y lo prueban. Tras esto, esa nueva parte de WordPress se incorpora en una primera versión de desarrollo, que posteriormente se convierte en una versión beta, que luego pasa a la versión candidata y que, finalmente, se incorpora al código general.

Todos estos pasos intermedios permiten que muchas personas hagan una revisión tanto de las funcionalidades como del código, pudiendo encontrar errores y sugiriendo soluciones.

La seguridad en las revisiones automáticas

Además de las revisiones que se pueden realizar previas al lanzamiento, existen muchas herramientas que analizan la seguridad del código una vez implementado (principalmente PHP).

WordPress es muy utilizado por muchas empresas. Por este motivo, muchas de estas empresas participan de forma activa en la revisión del código de forma libre y altruista, ya que les interesa que las herramientas que utilizan sean lo más seguras posibles. De esta forma tenemos una gran cantidad de personas y máquinas revisando posibles problemas.

¿Cómo hago que mi sitio sea y sigua siendo seguro?

La forma más sencilla de hacer esto es actualizar el software del servidor cada vez que aparezcan actualizaciones.

WordPress está formado de muchas piezas, y cuando se habla de seguridad se habla de la suma de todas esas piezas. Si falla una, fallan todas.

Para que WordPress funcione hace falta 4 elementos:

  • El sistema operativo de la máquina donde se ejecuta (Ubuntu, CentOS…)
  • El servidor web que lo gestiona (Apache, Nginx…)
  • La base de datos (MySQL, MariaDB…)
  • PHP

¿Hay que tener las últimas versiones de todo esto para que WordPress sea seguro? No, no es necesario tener las últimas versiones, pero sí es muy recomendable tener actualizadas las versiones estables (o de seguridad).

En general, las versiones de todas estas herramientas funcionan con un sistema de 3 números. Pongamos de ejemplo la versión de WordPress 5.5.2. Las dos primeras cifras (5.5) son la versión mayor, que suele incorporar grandes cambios con respecto a la anterior (5.4), y la siguiente cifra (5.5.2) indica que desde que salió la primera versión (la 5.5.0) se han hecho 2 pequeñas mejoras para corregir problemas que se han encontrado, de seguridad, de rendimiento o de funcionalidad.

En este caso, si usas una versión de WordPress 5.5.x sí que es recomendable usar la última versión menor, porque no debe fallar nada de tu sistema, e incluye las mejoras de seguridad pertinentes.

Esto sirve para todo lo mencionado, tanto para el sistema operativo como pare el servidor web, para la base de datos o para PHP.

¿Y qué pasa con la seguridad de los plugins y temas?

Aquí es donde encontramos la mayoría de los problemas relacionados con la seguridad de WordPress.

WordPress puede funcionar sin plugins, pero requiere un tema, y por eso se incorporan los temas llamados Twenty-algo. Estos temas vienen con WordPress y son seguros, ya que los mantiene el mismo equipo de desarrollo.

¿Cómo sé si un plugin o tema es seguro?

No hay una manera 100% segura de saberlo, pero puedes seguir algunas pistas para tomar la decisión de si el complemento puede ser seguro.

Para empezar, revisaremos la fecha de la última actualización del plugin. Normalmente no se recomienda usar plugins que lleven más de 6 meses sin actualizar. Esto no significa que no funcionen, significa que pueden no estar adaptados a las nuevas versiones de WordPress y generar problemas.

Otra cosa que puedes revisar son los datos de compatibilidad. Por norma general todos los plugins incluyen las versiones de WordPress y de PHP sobre las que se ha probado que funciona.

Si todo encaja correctamente no deberías tener problemas. Además, como el código fuente de plugins y temas también sigue la licencia GPL y es público, se puede revisar para hacer los mismos análisis que en el propio núcleo de WordPress.

En HIT contamos con herramientas que monitorizan la seguridad de los plugins instalados en el sitio web, avisándonos de inmediato en el momento en el que se detecta una falla de seguridad en el mismo.

5/5 - (1 voto)
Picture of HIT Closer

HIT Closer

Compartir:
Cómo usar el comando curl de Linux
Sysadmin

Cómo usar el comando curl de Linux

El comando curl es uno de los comandos presentes en la mayoría de las distribuciones Unix, Con él puedes realizar algunas funciones relacionadas con las

Holi!

Como buenos programadores, en HIT dominamos varios lenguajes. También el tuyo.