Las estadísticas resaltan la mayor fuente de vulnerabilidad de WordPress

Todos sabemos que muchos sitios de WordPress son pirateados cada año. ¿Es porque WordPress es un sistema incierto? ¿Es un problema global de WordPress o proviene de las acciones de esos webmasters? ¿Cómo y por qué está sucediendo? Ya sea que esté ejecutando un blog personal, un sitio web comercial o un sitio web electrónico de WordPress, la seguridad de su sitio debería ser una prioridad. Puede haber muchas razones por las cuales la seguridad de su sitio se ve comprometida. Las razones más comunes son las contraseñas débiles, los errores de los usuarios, el software obsoleto y las actualizaciones de seguridad faltantes.
En este artículo, utilizamos las últimas estadísticas en la base de datos de vulnerabilidad de WPSCAN para resaltar cuáles son los componentes de WordPress más vulnerables y para enfatizar la importancia de ejecutar el software actualizado e instalar las correcciones de seguridad necesarias. También puede encontrar algunas estadísticas y hechos interesantes sobre las vulnerabilidades de WordPress, así como algunas recomendaciones. Vamos a bucear directamente. contenido
¿Qué es la base de datos de vulnerabilidad WPSCAN?
Presentación general de vulnerabilidades, complementos y temas de WordPress
¿Por qué hay tantas vulnerabilidades básicas de WordPress?
Tipo de vulnerabilidad en el núcleo, complementos y temas de WordPress
Estadísticas de vulnerabilidades básicas de WordPress
Los 10 complementos de WordPress más vulnerables
Los 10 temas de WordPress más vulnerables
¿Qué nos dicen estas vulnerabilidades de WordPress?
Cómo garantizar la seguridad de WordPress (mejores prácticas de seguridad)
¿Qué es la base de datos de vulnerabilidad WPSCAN? Antes de lanzarnos a las estadísticas, explique dónde obtuvimos estas figuras. Todos los datos se toman de la base de datos de vulnerabilidad WPSCAN, una versión en línea que puede navegar por los archivos de datos WPSCAN.WPSCAN es un escáner de WordPress automatizado de origen negro. Este escáner utiliza estos datos para detectar las vulnerabilidades conocidas de WordPress, complementos y temas de los sitios web de WordPress. Hasta ahora, la base de datos de vulnerabilidad de WPSCAN contiene 21,755 vulnerabilidades, de las cuales 4.154 son vulnerabilidades únicas. Presentación general de vulnerabilidades, complementos y temas de WordPress Según la base de datos de vulnerabilidades WPSCAN, ~ 80% de las vulnerabilidades conocidas están en el software básico de WordPress. Pero aquí está el desencadenante: las versiones con las más vulnerabilidades están de vuelta en WordPress 3.x.
Hasta ahora hay 17,467 vulnerabilidades de software básicas de WordPress en la base de datos de vulnerabilidades WPSCAN. Luego hay 3,846 (17%) vulnerabilidades de complementos de WordPress y 442 (3%) vulnerabilidades de temas de WordPress.
¿Por qué hay tantas vulnerabilidades básicas de WordPress? El número de vulnerabilidades en el núcleo de WordPress está hinchado en la base de datos de vulnerabilidades debido a numerosas versiones de WordPress. A continuación se muestra una explicación de la razón por la cual esto está sucediendo; Una vulnerabilidad de secuencias de comandos entre sitios se encuentra en un componente de WordPress versión 5.4.2. Este componente se ha utilizado en WordPress comenzando con la versión 3.7. Por lo tanto, todas las versiones anteriores de WordPress también son vulnerables. Como resultado, en la base de datos de vulnerabilidad WPSCAN habrá vulnerabilidad única y 256 vulnerabilidades. Entonces el núcleo de WordPress como tal no es incierto. Es muy importante enfatizar que el núcleo de WordPress ha recorrido un camino muy largo y es un software mucho mejor y más seguro que nunca. Tipo de vulnerabilidades en el núcleo, complementos y temas de WordPress Los tipos de vulnerabilidades más populares en el núcleo, los complementos y los temas de WordPress son las secuencias de comandos cruzadas y la inyección de SQL. Esto no es sorprendente, dado que estas 2 vulnerabilidades se han enumerado en los 10 principales top 10 de los problemas de seguridad web más comunes desde su comienzo.

Estadísticas de las vulnerabilidades básicas de WordPress El siguiente gráfico destaca las primeras 10 versiones básicas de WordPress Las versiones más vulnerables, 3.7.1 y 3.8.1 liderando el paquete con 92 vulnerabilidades cada una. En segundo lugar, con 91 vulnerabilidades es WordPress versión 3.9.
Sin embargo, desde entonces WordPress ciertamente se ha vuelto más seguro. Echemos un vistazo a la cantidad de vulnerabilidades en las últimas 5 versiones de WordPress. Como puede ver, la diferencia es bastante grande.

NextGen Gallery, Ninjorms y WooCommerce lideran el paquete con 22 vulnerabilidades cada una.

Nos sorprendió ver todo en un WP Security & Firewall, un complemento de seguridad de WordPress en los 10 complementos de WordPress más vulnerables. No digo que tales complementos sean antiglón. Aunque esperaría que un complemento escrito por personas de seguridad tenga menos vulnerabilidades o al menos no esté entre los 10 primeros.

Top 10 Los temas de WordPress más vulnerables a continuación destacan los primeros 10 temas de WordPress más vulnerables. El más alto tiene solo 5 vulnerabilidades bajo su nombre.
Los temas tienden a tener muchas menos vulnerabilidades que los complementos, porque hacen mucho menos en términos de funcionalidad. Por ejemplo, mientras la mayoría de los complementos administran los datos, ingresan al usuario y manejan los datos del usuario, los temas cambian en gran medida la apariencia de los sitios de WordPress. ¿Qué nos dicen estas vulnerabilidades de WordPress? La gente ama a WordPress debido a la gran variedad de arados y temas disponibles. Al momento de escribir este artículo, hay más de 57,000 complementos y más de 7,000 temas en el almacén de WordPress y miles de primas adicionales dispersas en la web.

Aunque todas estas opciones son excelentes para mejorar su sitio, siempre debe investigar un poco antes de instalar un complemento o tema en su sitio de WordPress. Si bien la mayoría de los desarrolladores de WordPress hacen un buen trabajo respetando los estándares del código y corrigen los problemas de seguridad reportados una vez que se conocen, todavía hay algunos problemas potenciales: el complemento o el tema ya no se mantienen,

Los desarrolladores necesitan mucho tiempo para emitir un parche de seguridad o no responder,

Sin embargo, un complemento o tema tiene una vulnerabilidad, porque se presta demasiada atención, la vulnerabilidad sigue sin ser detectada.
Consulte cómo elegir el mejor complemento de WordPress para sus requisitos para obtener más detalles sobre este tema y cómo determinar si un complemento es una buena opción para su sitio web de WordPress.
Entonces, ¿cuál es la comida en el paquete? En resumen, ¡mantenga todo su software actualizado! WordPress es uno de los CM más populares del mundo, y si sigue las mejores prácticas de seguridad y lo mantiene actualizado, es muy poco probable que su sitio tenga problemas. ¿Son estas estadísticas correctas sobre la vulnerabilidad de WordPress? Estas estadísticas se basan en la información almacenada en la base de datos de vulnerabilidad WPSCAN. Aunque se actualiza con frecuencia, no está completamente completo. Hay muchos otros complementos y temas vulnerables de WordPress que no figuran aquí. Sin embargo, esto nos da una buena imagen general sobre el estado de las vulnerabilidades de WordPress.
Enviar vulnerabilidades de WordPress El equipo conocido WPSCan alienta a todos los que conocen las vulnerabilidades básicas, los complementos o los temas de WordPress a enviar sus detalles. Antes de enviar una nueva vulnerabilidad, haga una búsqueda en la base de datos para asegurarse de que el problema no se haya enviado antes. Esto asegurará que tengamos solo una fuente de información centralizada y confiable. Cómo garantizar la seguridad de WordPress (mejores prácticas de seguridad) Ahora que hemos cubierto todas las vulnerabilidades potenciales y conocidas, echemos un vistazo a las diferentes formas de asegurar su sitio. Lo primero es actualizar su versión de WordPress regularmente. Definitivamente debe desarrollar la práctica de actualización de la versión de WordPress, y no olvide actualizar sus complementos y temas. Aquí hay algunas acciones adicionales que puede hacer para asegurar su sitio web de WordPress: evite usar contraseñas comunes
Cuando tiene una contraseña segura, cualquier intento de piratería se puede evitar o al menos posponerse.
Configurar una autenticación de dos factores
Cualquiera que quiera conectarse a su sitio de WordPress debe dar otro paso antes de obtener acceso a su cuenta.
No use complementos y temas cancelados
Tentan a casi todos, sin embargo, estos niños libres de arados y temas premium a menudo se cargan con malware malicioso. Apoye a los desarrolladores de los complementos que usa comprando la edición premium. Ayuda a desarrollar aún más el producto, agregar nuevas funciones y mantenerlo seguro.
Use complementos de seguridad de WordPress