OJO con los que asaltan los sitios web
¿Tu sitio está montado sobre WordPress? Entonces este post en nuestro blog es para tí.
En diciembre pasado más de 1,6 millones de sitios WordPress fueron atacados por delincuentes cibernéticos y durante lo que va de este año se siguen reportando miles de ataques diarios. WP es una plataforma de código abierto, por lo que cualquiera puede analizar su código fuente.
La idea de esto es que la comunidad pueda estudiar ese código para aprender y también para mejorarlo. Por lo mismo, quienes quieren realizar actividades delictivas o destructoras, también pueden analizarlo y buscar formas de atacar los sitios web. Más del 40% de los sitios del mundo corren actualmente sobre WordPress.
Cómo protegerte
Más del 40% de los sitios del mundo corren sobre WordPress.
WordPress es una plataforma de código abierto, por lo que cualquiera puede analizar su código fuente; según W3Techs, es utilizado por el 64.3% de los sitios que se manejan con un CMS (content management system), lo que equivale al 43% de todos los sitios web. La idea de esto es que la comunidad pueda estudiar ese código para aprender y también para mejorarlo. Por lo mismo, quienes quieren realizar actividades delictivas o destructoras, también pueden analizarlo y buscar formas de atacar los sitios web. Afortunadamente, hay muchas personas que buscan esas vulnerabilidades para colaborar con un rápido desarrollo de la actualización que corrija esa falla o punto de debilidad.
La cuestión es que el uso de una versión anterior del CMS, conlleva los riesgos de estar utilizando un software que otros ya saben cómo atacar. Es relativamente simple, para quienes saben hacerlo, identificar sitios que estén montados en versiones desactualizadas de WordPress; a partir de allí, pueden desarrollar ataques simples o sofisticados, dependiendo del valor asociado a ese sitio web.
Adicionalmente, es importantísimo mantener actualizados los plugins y el template (plantilla) que usan tu WordPress (es importante que solo dejes instalada la plantilla activa y su versión child).
Cabe recordar que las actualizaciones también incluyen mejoras en las prestaciones del software. La versión 5.0 introdujo un editor de bloques, la 5.3 mejoras en la interfaz de usuario y accesibilidad, la 5.4 trajo nuevos bloques y mejoras en el editor de bloque. WordPress 6.0 incluye una enorme mejora en la experiencia de accesibilidad, diseño de bloques, creaciones de templates además de una optimización de la performance de JS para los menús de navegación o de búsquedas (queries) complejas. Este tema de la velocidad es clave en términos de SEO.
Igual de importante que mantener tu WordPress actualizado, es realizar un backup periódico de tu plataforma para estar protegido de cualquier imprevisto (algunos bugs llamados Zero Days, son vulnerabilidades que surgen y son explotadas inmediatamente y no tienen solución hasta que este disponible un parche de seguridad, y eso podría tardar días. Contra casos similares estamos indefensos, por eso es importante SIEMPRE contar con una copia de seguridad reciente.
¿Cómo mantener actualizado tu sitio con WordPress? Es muy simple. En el dashboard encontrarás la posibilidad de configurar un sistema de notificaciones de las actualizaciones disponibles (Updates). Ahí mismo se puede indicar que se proceda con la actualización, en un sólo clic.
Las actualizaciones más simples, reservadas para corregir errores y para temas de seguridad, desde la versión 3.7 están activadas por default para su actualización automática. En la misma sección del dashboard puedes chequear si esto efectivamente está funcionando de esa forma. También es posible configurar que todas las actualizaciones se ejecuten automáticamente (pero cuidado con el tema de la compatibilidad con tus plugins).