¿Es seguro su sitio de WordPress?¿Son vulnerables los sitios de WordPress?

Hace dos o tres décadas, el robo se limitó a romper y entrar a robar el dinero u objetos. Serán malvados y ladrones hoy, tomarán la forma de hackers. Cualquiera encuentra y explota vulnerabilidades en software con fines personales o por razones políticas. Antes de comenzar, debe saber que este artículo no se encarga de la seguridad de WP, sino que discute las causas de las vulnerabilidades de WordPress. Si no busca esto, le sugiero que lea: “Mejora de la seguridad de WordPress, una guía completa para asegurar sitios de WordPress”. Aunque debo decir que comprender la naturaleza de las vulnerabilidades de WP en el pasado ofrece una excelente perspectiva sobre cómo puede proporcionar protocolos de seguridad de su sitio web.
¿Por qué las personas van a sitios web y centros de datos? Ingresar sitios web que contienen información del cliente, ID de correo electrónico, números de tarjeta de crédito, etc. Es más rentable que el saqueo de un banco. Si está manejando un sitio de éxito razonable, estoy seguro de que ya se han hecho cientos, si no miles de intentos para obtener acceso a la información de su sitio. Millones de usuarios fueron robados. Los piratas informáticos han pedido que cierren el sitio web, de lo contrario publicarán la información del usuario robado, incluidas las fantasías sexuales. Esto le da una idea del tipo de destrucción que un hacker solo puede desafiar al acceder a la información.
La seguridad web es un tema muy importante y se vuelve cada vez más relevante, dada la cantidad de sitios web que parecen recopilar información personal de sus usuarios. Hasta el 65% de la web se ejecuta con WordPress como sistema de gestión de contenido, por lo que hoy discutiré la seguridad de WordPress y cómo los sitios WP han sido atacados o pirateados en el pasado. ¿Por qué invertir en buenas prácticas de seguridad? ¿Debe a sus clientes y clientes que confían en usted información personal confidencial para mantenerlos a salvo.
Su sitio está pirateado: pierde dinero.
Su sitio está pirateado: la clasificación de su motor de búsqueda hace un viaje casi único en el infierno.
Los sitios de WordPress son pirateados por miles, si no cientos de miles. No todos los sitios web informan que se han roto en el pasado. No es una excelente recomendación para su marca, como se podría adivinar.
Me gustaría arrojar una luz sobre la necesidad de este artículo sobre la seguridad de WordPress. Según un estudio, según lo compartido por Sandro Gucci (fundador Enable Security).
El 73.2% de las instalaciones de WordPress más populares son vulnerables a las vulnerabilidades que se pueden detectar utilizando herramientas automáticas gratuitas.
Solo 7,814 sitios web (18.55%) actualizaron a WordPress 3.6.1, esta fue la última versión del WP cuando se realizó la prueba.
13,034 sitios web (30.95%) todavía ejecutaban una versión vulnerable de WordPress, versión 3.6. WordPress 3.6 tenía 5 vulnerabilidades conocidas en ese momento.
Y si preguntas, bueno, esta es solo una caracterización generalizada injusta de pequeños sitios web desconocidos en algún lugar de la web oscura, te equivocaste. Las estadísticas se produjeron en base a un estudio de aproximadamente 42,000 sitios web de WordPress en los mejores sitios web de un millón de sitios web de Alexa. Esta es una gran cantidad de sitios vulnerables para los sitios web más visitados en la web. Estos sitios web recopilan una gran cantidad de información sobre sus visitantes y suscriptores. Las estadísticas fueron ciertas como en septiembre de 2013, no creo que hubiera pasado mucho tiempo desde entonces e incluso si lo hubieran hecho, las estadísticas que se muestran aquí muestran el alcance de los problemas de seguridad. afectando a WordPress. Si desea más evidencia para mostrar que WordPress puede verse comprometido. Te envío a un estudio de Netcraft,
En febrero de 2014, había 12,000 blogs de WordPress que sirvieron como plataformas para sitios de phishing.
Más del 8% de todas las URL de malware bloqueadas por NetCraft para distribuir malware alojado en la web eran blogs de WordPress.
Debo enfatizar que ninguno de estos blogs se jugó automáticamente. Esto debería ilustrar claramente que incluso WordPress, si no se usa con precaución y algún conocimiento sobre la seguridad de WP, puede ser vulnerable. Otra razón para esto puede estar relacionada con el hecho de que todos los blogs alojados en WordPress.com se actualizan tan pronto como se inician actualizaciones de WordPress. Desde entonces, desde entonces, se han introducido actualizaciones automáticas de WordPress en la versión WP 3.7 para proteger los sitios web contra exploits de día cero.
E incluso después de eso, hubo una serie de problemas de seguridad que afectaron a WordPress. Consulte esta lista de vulnerabilidades de WordPress en diferentes versiones de la plataforma. Ahora no puede hacer nada para evitar esto, casi siempre se descubrirán nuevas vulnerabilidades. Obviamente, el equipo básico de WP tomó la seguridad muy en serio y hizo que WordPress fuera mucho más seguro. Pero, como cualquier otro software popular, la explotación de vulnerabilidades se vuelve más rentable cuando más personas comienzan a usarlos. ¿Confías en mí? Si crees que WordPress de repente se liberará de todas las vulnerabilidades, ¡consulte este gráfico!
Si bien el número de vulnerabilidades ha disminuido con el tiempo de sus máximos en 2007 y 2014, el incentivo para descubrir nuevas vulnerabilidades y exploit aumenta constantemente, dada la creciente rentabilidad debido a la creciente popularidad de WordPress. WordPress puede ser seguro de forma segura, pero después de agregar tantos complementos / temas y código personalizado, el número de vulnerabilidades comienza a crecer con gran prisa. Dicho esto, podemos hacer pequeños cambios en su WordPress para que sea mucho más seguro. Primero debemos tener una comprensión profunda de la seguridad de WordPress, siendo muy útil para descubrir las causas de la falla de seguridad.
Es posible que se sorprenda al descubrir que es muy raro que la plataforma básica WP esté en el culpable en casos de violación de seguridad. Es más probable que haya agregado al WP para crear una vulnerabilidad que los hackers podrían explotar. ¿Cómo se comprometen los sitios de WordPress? La dificultad para garantizar la seguridad completa es que no existe tal cosa. Suponiendo que WordPress esté completamente asegurado, todavía tiene Apache, FTP, MySQL Client y cualquier software que se ejecute en su servidor del que debe preocuparse. Su sitio web es tan seguro como su conexión más débil. Y eso incluye la calidad del software de su host, los temas y complementos que operan sus sitios web. Me gustaría tener estadísticas más recientes y puedo indicar, pero este estudio se presenta como una infografía en el blog WPWhitecurity ofrece una gran perspectiva sobre cómo Los sitios de WordPress son pirateados y lo que los hace vulnerables. El estudio se realizó en función de la información de 170,000 sitios web que fueron pirateados en 2012. Un aumento del 18% del número de hacks en comparación con el año anterior (2012), lo cual es divertido que el número de vulnerabilidades no ha aumentado con el mismo porcentaje. Pero incluso un pequeño aumento en las vulnerabilidades afecta a muchos más sitios web, debido al mayor uso de productos basados ​​en WordPress y WordPress.

El 41% de Pirate WordPress fue pirateado por una vulnerabilidad de seguridad en su plataforma de alojamiento.

El 29% fueron pirateados por un problema de seguridad en el tema de WordPress que utilizaron.
El 22% fueron pirateados por un problema de seguridad en los complementos de WordPress que usaron.
El 8% fueron pirateados porque tenían una contraseña débil. De lo anterior, podemos concluir que más del 51% de los sitios pirateados de WordPress fueron pirateados por la vulnerabilidad en los temas o complementos de WordPress.
Una abrumadora mayoría de los hacks ha surgido como resultado de la instalación de software en forma de complementos, temas y porque los proveedores de alojamiento web no han podido consolidar correctamente la seguridad al final del servidor.
No tiene sentido discutir las medidas para proteger su sitio web, antes de abordar cuáles son las buenas opciones que tiene en términos de seguridad cuando se trata de alojamiento, temas y complementos. Y definitivamente hablaré sobre cómo puede encontrar un buen software de terceros y alojamiento seguro para su sitio web, antes de comenzar a recomendar medidas de seguridad específicas para fortalecer la seguridad de WP. Conclusión Los sitios web de WordPress rara vez son vulnerables debido a los errores en el código básico del sistema de gestión de contenido. Pero un sitio web no funciona exclusivamente en función del sistema de administración de contenido, requiere un host web para alojar CMS en la web, temas para que sea elegante y complementos para agregar las funciones necesarias. Ahora, agregar varias capas de software de terceros a su instalación de WordPress comienza a hacer que su seguridad sea un poco porosa, si no se hace correctamente. Su núcleo, complementos y temas de WordPress y hosts web deben comunicarse para mantener su sitio web de WordPress. Esta interacción a veces tiene defectos y hace sitios vulnerables. Claro, el 8% de los sitios web pueden verse comprometidos debido a contraseñas débiles, pero hay una cantidad abrumadora de evidencia que sugiere la adición de complementos / temas escritos erróneamente o un host web que se ejecuta en software obsoleto es la causa principal de un alto porcentaje de todos WordPress sitios pirateados o cerrados. Ahora, después de haber establecido una cierta claridad sobre las causas de las vulnerabilidades de WordPress, como parte de la próxima publicación en la serie de seguridad WP, ​​discutiré los pasos a tomar para fortalecer su seguridad de WordPress.