WordPress es seguro (parte 1/4)

Una de las preguntas habituales sobre WordPress hace referencia a la seguridad del software, a cómo está construido, y a porqué se anuncia por Internet que no lo es.

¿Es WordPress seguro?

Respuesta corta: sí.

En cualquier caso, siempre puedes leer la documentación de seguridad en nuestro sitio web.

Y ahora la respuesta larga…

Para empezar, hay que decir que nada, absolutamente nada, es 100% seguro, por lo que WordPress puede tener, como el resto de los gestores de contenido, situaciones derivadas de la seguridad.

¿Eso significa que no lo sea? No. Significa que como WordPress está hecho por humanos, los humanos se equivocan y puede llegar a haber algo. Pero con una ventaja a diferencia de otros sistemas: WordPress es GPL; y esto significa que el código fuente, todo lo que se ha creado, es público y accesible para cualquiera, lo que permite que cualquiera sea capaz de encontrar si algo está mal o puede fallar, e incluso que sea un problema de seguridad y aún más: sugerir la corrección.

Nuevo código

Cada vez que se crea una parte nueva de WordPress se hace pública y otras personas la revisan, la prueban, y se incorpora en una primera versión de desarrollo, que posteriormente se convierte en una versión beta, luego en la versión candidata y finalmente en el código general. Todos estos pasos intermedios permiten que muchas personas hagan una revisión tanto de las funcionalidades como del código, pudiendo encontrar errores y sugiriendo soluciones.

Revisiones automáticas

Además de las revisiones que se pueden realizar previas al lanzamiento, existen muchas herramientas que analizan la seguridad del código (principalmente PHP). Teniendo en cuenta que WordPress es muy utilizado, incluso estas empresas realizan y participan de la revisión del código de forma libre y altruista, por lo que tenemos tanto a personas como a máquinas revisando posibles problemas.

¿Cómo hago que mi sitio sea y siga siendo seguro?

Muy sencillo: actualízalo. Has de tener en cuenta que WordPress está formado de muchas piezas, y cuando se habla de seguridad se habla de la suma de todas esas piezas. Si falla una, fallan todas.

Para que WordPress funcione hacen falta 4 partes: el sistema operativo de la máquina donde se ejecuta (Ubuntu, CentOS…), el servidor web (Apache, nginx…), PHP y la base de datos (MySQL, MariaDB…).

¿Hay que tener las últimas versiones de todo esto? No, no es necesario tener las últimas versiones, pero sí tener las versiones estables (o de seguridad) actualizadas. En general, todas estas piezas funcionan con un sistema de versiones de 3 partes / números. Por ejemplo, si WordPress tiene la versión 5.5.3. Las dos primeras cifras (5.5) son la versión mayor, que suele incorporar grandes cambios con respecto a la anterior (5.4), y la siguiente cifra (5.5.3) indica que desde que salió la primera versión (la 5.5.0) se han hecho pequeñas mejoras para corregir problemas que se han encontrado, de seguridad, de rendimiento o de funcionalidad.

En este caso, si usas WordPress 5.5.x sí que te recomendamos que uses la última versión menor, porque no debe fallar nada de tu sistema, e incluye las mejoras de seguridad pertinentes.

Esto sirve para todo lo mencionado, sistema operativo, servidor web, base de datos o PHP. En cualquier caso, pregunta a tu empresa de alojamiento (hosting) cómo trabajan con las actualizaciones y quién se encarga de ellas.

¿Y qué pasa con los plugins y temas?

Aquí es donde encontramos la mayoría de los problemas relacionados con la seguridad de WordPress.

WordPress puede funcionar sin plugins, pero requiere un tema, y por eso se incorporan los temas llamados Twenty-algo. Estos temas vienen con WordPress y son seguros, ya que los mantiene el mismo equipo de desarrollo.

¿Cómo sé si un plugin o tema es seguro?

No hay una manera 100% segura de saberlo, pero puedes seguir algunas pistas para tomar la decisión de si el complemento puede serlo.

Para empezar, revisaremos la fecha de la última actualización del plugin. Normalmente no se recomienda usar plugins que lleven más de 6 meses sin actualizar; esto no significa que no funcionen, significa que pueden no estar adaptados a las nuevas versiones de WordPress y generar problemas.

Otra cosa que puedes revisar son los datos de compatibilidad. Por norma general todos los plugins incluyen las versiones de WordPress sobre las que funciona, además de las versiones de PHP sobre las que funciona. Si todo encaja correctamente no deberías tener problemas. Además, como el código fuente de plugins y temas también sigue la licencia GPL y es público, se puede revisar para hacer los mismos análisis que en el propio núcleo de WordPress.

2 comentarios en «WordPress es seguro (parte 1/4)»

Deja una respuesta