Si quieres montar un sitio web tienes, desde el punto de vista técnico, la opción de montar un sitio desde cero en HTML desde el diseño hasta los contenidos, o usar un CMS (del inglés Content Management System, gestor de contenidos). ¿Qué es mejor? Hemos intentado responder esta pregunta en un artículo previo. Ahora bien, si has decidido usar un CMS y entre las diferentes opciones has considerado usar WordPress, es muy acertado averiguar si es seguro, en especial si nuestro proyecto recopilará datos personales o si se harán transacciones comerciales. En este artículo intentaremos responder esta pregunta de la manera más objetiva posible.

¿Existe un sistema 100% seguro?

En este mundo existen pocas cosas que podamos declarar “seguras”. En el mundo de los sitios web sucede lo mismo y, para bien o para mal, la responsabilidad es compartida entre el sistema y los usuarios por diversos factores que iremos explicando.

¿Cómo saber si mi CMS es seguro por defecto?

Como acabamos de mencionar, parte de la seguridad va en la manera en la que está desarrollado el sistema. Pero problemas de seguridad se descubren cada día. ¿Porque? Porque con nuevas características aparecen nuevos errores y nuevas posibilidades tanto para los usuarios como para los posibles atacantes. Lo importante es saber cómo reaccionan los desarrolladores ante estos problemas de seguridad.

El factor humano

Este factor juega un papel muy importante ya que si el administrador del sitio no usa claves de seguridad adecuadas o no toma él mismo medidas de seguridad, el sistema será vulnerable por errores del administrador o sus usuarios. El ejemplo más claro es el uso de usuarios genéricos y contraseñas que se pueden obtener de diccionarios o por métodos de fuerza bruta.

Las actualizaciones

Aunque hay que tener muy en cuenta los tiempos de respuesta de los desarrolladores a los problemas de seguridad, la frecuencia con la que se implementan es vital. Más importante que saber si el CMS es seguro es saber si nosotros como usuarios lo mantenemos así aplicando las actualizaciones de seguridad que liberan los desarrolladores. Afortunadamente tanto el sistema principal como las plantillas y complementos se pueden actualizar desde el panel de control de WordPress. Incluso existe la posibilidad de que el sistema principal se actualice automáticamente pero, si quieres hacerlo manualmente, incluso hay complementos que te lo recuerdan.

Plugins y plantillas

Si hay una característica interesante de WordPress es la capacidad de utilizar complementos que extienden sus funciones y estética por defecto. Lo bueno y lo malo de esto es que si utilizamos plantillas o plugins de mala calidad o procedente de fuentes dudosas podemos estar trayendo problemas “a casa”. Por este motivo, el directorio de WordPress tiene un mecanismo que permite a los usuarios indicar mediante puntuaciones la calidad de estos complementos. Por lo tanto, aquí nos encontramos con otra responsabilidad a cargo del usuario: usar complementos de fuentes de confianza.

Hablando de plugins, existen muchos que extienden las características de WordPress para incrementar la seguridad. Entre los más populares podemos mencionar a WordfenceSucuri e iThemes Security.

Copias de seguridad

Si bien las copias de seguridad son para restaurar los datos en caso de un problema de seguridad que implica la necesidad de un “borrón y cuenta nueva”, o bien porque algún atacante ha logrado dañar nuestros archivos, las mencionamos porque son parte de esta realidad y existen herramientas muy interesantes para hacer este trabajo en WordPress. Entre ellas BackUpWordPressBackupBuddyVaultPress o BlogVault.

Elegir una buena empresa de hosting

Es cierto que cuando hay que elegir entre el precio y las prestaciones es difícil hacer una elección. Pero como regla general, deberíamos buscar una empresa que mantenga sus sistemas actualizados porque este simple “detalle” será clave para la seguridad de nuestro sitio. Existen muchas alternativas para todos los precios y gustos. En lo personal y en el departamento en el que colaboro hemos experimentado diferentes alternativas entre las económicas y las profesionales. Las económicas tienen problemas de la velocidad si nuestro sitio cobra notoriedad, pero están bien para empezar. Dentro de este grupo podemos mencionar a 1and1, DreamHost, MediaTemple o bluehost. Las muy profesionales tienen el problema de la complejidad de mantenimiento aunque lo bueno es que se puede escalar en prestaciones. Entre estas opciones profesionales podemos mencionar a Amazon Web Services, RackspaceDigital Ocean (este último, con muy buenos precios de entrada). Afortunadamente en la actualidad existen alternativas que se encuentran a mitad de camino respecto a precio, facilidad de uso, y prestaciones. Entre estas últimas podemos mencionar algunos servicios de hosting especializados en WordPress como WP Engine, Pagely o WordPress.com (este último tiene muchas facilidades pero algunas limitaciones al ser un servicio más que un hosting tradicional).

Hacer ajustes en tu servidor

Si bien las empresas especializadas en WordPress te lo dejan bastante fácil, es posible tomar muchas medidas de seguridad si tu proveedor no lo ha hecho por ti. En el sitio oficial de WordPress hay un listado de sugerencias muy interesante que podemos aplicar, o usar algún complemento como All In One WP Security & Firewall que nos facilita la tarea.

Usar un firewall

Tal como en las empresas y en los ordenadores personales se instalan cortafuegos que ayudan en la protección y prevención de accesos no deseados, este concepto se aplica también a los sitios web. Esto se puede aplicar a nivel de servidor pudiendo el administrador del sitio instalar y configurar una herramienta de firewall, o bien se pueden usar servicios que ofrecen este servicio especializado. Entre ellos podemos mencionar a CloudFlare -que además de firewall hace las veces de CDN (content delivery network en inglés)- y Sucuri, entre otros.

El argumento de la popularidad

Lo presentamos por último porque creemos que no debe ser lo principal al tomar una decisión, porque como suele decir Daniel Bosqued en la serie La verdad en 2 minutos, “la mayoría puede estar equivocada”. Ahora, desde el punto de vista tecnológico, si grandes marcas eligen esta plataforma probablemente sea porque no implica perjuicios para sus sistemas.

CMS usage statistics

Resumiendo

Supongo que ya debes haberte hecho una idea de mi postura, pero por si acaso formularemos nuevamente la pregunta: ¿Es seguro usar WordPress como CMS? Sí, pero mientras tú también hagas tu parte. ¿Opinas lo mismo? ¿No? Sea como sea, tus aportes y comentarios son bienvenidos.

Si lees en inglés te invito a leer los artículos de referencia que aparecen a continuación.

Referencias

http://wpengine.com/2013/05/08/wordpress-core-is-secure-stop-telling-people-otherwise/
https://wedevs.com/28410/wordpress-safe-e-commerce-website/
https://www.pixemweb.com/blog/how-secure-is-wordpress/
http://www.wpwhitesecurity.com/wordpress-security/is-wordpress-secure/
https://yoast.com/articles/wordpress-security/
http://premium.wpmudev.org/blog/keeping-wordpress-secure-the-ultimate-guide/
http://torquemag.io/wordpress-core-is-secure-stop-telling-people-otherwise/
https://codeable.io/community/significantly-improve-wordpress-security/

COMENTARIOS

Se reserva el derecho de aprobar, ocultar o excluir comentarios que sean ofensivos y que denigren la imagen de cualquier persona o institución. No se responderán consultas sobre este asunto. Serán aceptados en este espacio solo comentarios relacionados a noticias y artículos y no anuncios comerciales. Por favor, mantenga todos los comentarios respetuosos y corteses con los autores y con otros lectores.

Néstor Escobar

Acerca de Néstor Escobar

Desarrollador Web en HopeMedia. Aspirante a fotógrafo, catador de aceitunas, negado en deportes, fan de los pañales.

Pin It on Pinterest