En la primera parte de esta serie, vimos todo lo que debes hacer cuando han hackeado tu web. En esta segunda parte, vamos a aprender cómo mantenerte seguro y poder actuar con rapidez si se vuelve a producir otro incidente desagradable.
La eterna pregunta: ¿es WordPress seguro?
Al parecer esta pregunta nunca envejece, y la gente siempre piensa en WordPress con cierto escepticismo en lo relativo a la seguridad.
WordPress es seguro. Hay decenas, quizá cientos de miles de desarrolladores cuidando del bienestar de WordPress, y constantemente están parcheando el sistema para mantenerlo seguro. Para mantener los sitios web aún más seguros, existen plugins de seguridad gratuitos y otros de pago que gestionan los ataques que suelen recibir las webs, e incluso a todos los que ni siquiera deberían tener que enfrentarse.
Pero WordPress no es 100% seguro. ¿Por qué? Por la misma razón que los científicos están consiguiendo lentamente leer e incluso sobrescribir tus pensamientos: no existe un sistema en el mundo que sea 100% seguro. Por supuesto los malvados hackers encontrarán otra brecha de seguridad en el núcleo de WordPress, es algo completamente natural. Y aquí es donde entra en juego el valor que aporta la comunidad de desarrolladores, como he dicho antes. Pero incluso a una comunidad tan amplia como la de WordPress le es imposible prevenir todas las futuras vulnerabilidades.
E incluso aunque lo consiguiesen, aunque WordPress se convirtiese en el primer sistema 100% seguro, esto no significaría necesariamente que la seguridad de tu web fuese adecuada o correcta. La versión de tu instalación WordPress podría estar actualizada, pero tu proveedor de alojamiento podría olvidar actualizar cPanel o incluso la versión de PHP o una vulnerabilidad de «día cero» (zero day vulnerability) puede surgir en MySQL o en la distribución Linux de tu servidor.
Sabías además que ni siquiera el propio sistema operativo de tu ordenador es 100% seguro. (Sí, te estoy mirando a ti, ¡Yosemite!) Tu ordenador (o móvil, o tableta) podrían estar infectados por un troyano y poner tus contraseñas en bandeja de plata a disposición de los hackers. No puedes desconectar el servidor o el ordenador, y no te puedes colocar un sombrero de papel de aluminio sobre la cabeza, así que no delegues toda la seguridad de tu web únicamente en WordPress.
No obstante, WordPress es seguro, y no deberías preocuparte por él. Lo que debería preocuparte es lo que vas a hacer si la seguridad de tu web depende de WordPress o de tu proveedor de alojamiento, de tu ordenador o incluso de ti mismo. Lo único importante que debes hacer es tomar precauciones para que tu web sea más segura y poder actuar con rapidez cuando sea atacada de forma que puedas recuperarla y ponerla en funcionamiento cara al público de nuevo y cuanto antes.
Cómo segurizar tu web WordPress
Como ya he mencionado, ningún sistema puede ofrecer una seguridad del 100%, WordPress tampoco. Pero no hay ninguna razón para no alcanzar un 99 o incluso un 99.5%, ¿no? Además, una falta de sentido común podría hacer que ese porcentaje cayese en picado. Por este motivo, en esta sección, vamos a revisar cómo mantenerte a salvo mientras usas WordPress.
Mantenerte actualizado
«¿En serio?», te estoy escuchando decir. Sí, mantenerte actualizado es probablemente el consejo más obvio relativo a la seguridad, y estoy totalmente de acuerdo. Pero hay una motivo por el que cada artículo relacionado con la seguridad en WordPress incluye una sección que versa sobre la importancia de permanecer actualizado: la gente se olvida de actualizar. En serio.
No es vergonzoso olvidarse, pero deberías saber que no estar al día tiene el coste de ser como un pato sentado esperando a los hackers. Cuando te olvidas de actualizar WordPress o tus temas y plugins, básicamente estás obviando el parcheo de las vulnerabilidades de seguridad y te sitúas como objetivo predilecto para los hackers novatos (n00b).
WordPress introdujo actualizaciones automáticas para versiones menores (como la 4.0.1 a la 4.0.2, no de 4.1 a 4.2), pero parchear el núcleo no siempre es suficiente. Asegúrate de actualizar tus plugins y temas (y de realizar las actualizaciones importantes del núcleo de WordPress) tan pronto como sean publicadas las nuevas versiones.
Usar plugins y temas seguros
Como dije en la parte anterior de esta serie, un agujero en la seguridad de uno de los plugins que estaba utilizando permitió a un hacker ejecutar un script en mi servidor. Al igual que en este ejemplo, plugins e incluso temas con código de poca calidad pueden crear brechas en la seguridad de tu sitio Web.
Así que, ¿cómo se elige temas y plugins «seguros»? Bueno, piénsanlo de esta manera: cuanto más popular es un software, más motivados están sus desarrolladores a mejorarlo. Por tanto, elegir plugins y temas populares para WordPress puede tener su lógica. Por supuesto, siempre existe la posibilidad de que se dé también una vulnerabilidad en un plugin de seguridad popular, pero sus desarrolladores serán más responsables a la hora de remediarlo que en otros plugins menos populares.
Si encuentras un plugin o tema que no es muy popular y que debesutilizar, entonces al menos deberías comprobar los antecedentes de sus desarrolladores. Si te parecen profesionales, será más lógico que confíes en ellos, a diferencia de hacerlo a ciegas, instalando cualquier plugin que ves.
Y si sabes leer código, la mejor opción siempre será que revises tú mismo el código.
Lo que te queda por leer:
- Eliminar Plugins y Temas Innecesarios
- Usar un Plugin para WordPress relacionados con la seguridad
- Elegir un Buen Proveedor de Alojamiento
Deja una respuesta