WordPress 5.9.2 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.9.2 !

Esta actualización de seguridad y mantenimiento incluye la corrección de 1 fallo, además de 3 correcciones de seguridad. Como es una actualización de seguridad, se recomienda que actualices tus sitios inmediatamente. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.9.2 es una actualización de seguridad y mantenimiento. La próxima versión mayor será la 6.0.

Puedes descargar WordPress 5.9.2 desde WordPress.org o visitar «Escritorio → Actualizaciones» y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Para más información, revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.9.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.9.2 la lideró Jb Audras, con la ayuda de Jorge Costa en las actualizaciones del paquete, Sergey Biryukov en el control de la misión y David Baumwald en los cambios de respaldo.

Además de los miembros del equipo de la versión mencionados arriba, gracias a todos los que han ayudado a hacer que WordPress 5.9.2 esté disponible:

Alan Jacob MathewAlex ConchaAndréAnton VlasenkoDavid BaumwaldehtisJb AudrasJorge CostaPeter WilsonSergey BiryukovTonya Morkironprogrammer.

WordPress 5.8.3 – Actualización de seguridad

Esta actualización de seguridad incluye cuatro correcciones de seguridad. Debido a que es una actualización de seguridad se recomienda que actualices inmediatamente tus sitios. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.8.3 es una versión de seguridad de ciclo corto. La siguiente versión mayor será la 5.9, que ya está en la etapa de candidata a definitiva.

Puedes actualizar a WordPress 5.8.3 descargándola de WordPress.org o visitando tu Escritorio → Actualizaciones y haciendo clic en «Actualizar ahora».

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Cuatro problemas de seguridad afectan a todas las versiones de WordPress entre la 3.7 y la 5.8. Si aún no has actualizado a la versión 5.8, todas las versiones de WordPress desde la 3.7 también se han actualizado para corregir el siguiente problema de seguridad (excepto donde se apunta en sentido contrario):

  • Gracias a Karim El Ouerghemmi y Simon Scannell de SonarSource por difundir un problema con XSS almacenado a través de los slugs de las entradas.
  • Gracias a Simon Scannell de SonarSource por informar de un problema con la inyección de objetos en algunas instalaciones multisitio.
  • Gracias a ngocnb y khuyenn de GiaoHangTietKiem JSC por trabajar con Trend Micro Zero Day Initiative en informar de una vulnerabilidad de inyección SQL en WP_Query.
  • Gracias a Ben Bidner del equipo de seguridad de WordPress por informar de una vulnerabilidad de inyección SQL en WP_Meta_Query (solo relevante a las versiones 4.1-5.8).

Gracias a todos los que han informando mediante la divulgación privada. Esto ofrece al equipo de seguridad el tiempo suficiente para corregir las vulnerabilidades antes de que puedan atacarse los sitios WordPress. Gracias a los miembros del equipo de seguridad de WordPress por implementar estas correcciones en WordPress.

Para más información revisa la página de documentación de la versión 5.8.3 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.8.3 la lideraron @desrosj y @circlecube.

Además de los investigadores de seguridad y miembros del equipo mencionados arriba, gracias a todos los que ayudaron a que WordPress 5.8.3 esté disponible:

Alex ConchaDion HulseDominik SchillingehtisEvan MullinsJake SpurlockJb AudrasJonathan DesrosiersIan DunnPeter WilsonSergey Biryukovvortfuzieladam.

WordPress 5.8.2 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.8.2!

Esta versión de seguridad y mantenimiento contiene 2 correcciones a fallos, además de 1 corrección de seguridad. Como es una actualización de seguridad, se recomienda que actualices tus sitios inmediatamente. También se han actualizado todas las versiones desde WordPress 5.2.

WordPress 5.8.2 es una versión de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.9.

Puedes descargar WordPress 5.8.2 desde es.WordPress.org o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano, ya está empezando el proceso de actualización.

Para más información, revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.8.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.8.2 la lideraron Jonathan Desrosiers y Evan Mullins.

Además de los miembros del equipo de la versión mencionados arriba, gracias a todos los que han ayudado a que WordPress 5.8.2 exista: Ari StathopoulosBradley TaylordavidwebcaEvan MullinsGreg ZiółkowskiJonathan DesrosiersJuliette Reinders FolmerMukesh PanchalSergey Biryukovshimon246Yui.

WordPress 5.8.1 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.8.1!

Esta versión de seguridad y mantenimiento contiene 60 correcciones a fallos, además de 3 correcciones de seguridad. Dado que es una actualización de seguridad, se recomienda que actualices tus sitios inmediatamente. Todas las versiones desde WordPress 5.4 se han actualizado también.

WordPress 5.8.1 es una versión de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.9.

Puedes descargar WordPress 5.8.1 desde es.WordPress.org o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano, ya se está empezando el proceso de actualización.

Actualizaciones de seguridad

3 problemas de seguridad afectan a las versiones entre la 5.4 y la 5.8 de WordPress. Si aún no has actualizado a la 5.8, todas las versiones de WordPress desde la 5.4 también se han actualizado para corregir los siguientes problemas de seguridad:

  • Gracias a @mdawaffe, miembro del equipo de seguridad de WordPress, por su trabajo corrigiendo una vulnerabilidad de exposición de datos dentro de la API REST.
  • Gracias a Michał Bentkowski, de Securitum, por informar de una vulnerabilidad XSS en el editor de bloques.
  • La biblioteca Lodash se ha actualizado a la versión 4.17.21 en todas las ramas para incorporar correcciones de seguridad.

Además de estos problemas, el equipo de seguridad quiere agradecer a las siguientes personas por informar de vulnerabilidades durante el periodo de pruebas beta de WordPress 5.8, permitiéndoles corregirlas antes del lanzamiento:

  • Gracias a Evan Ricafort por informar de una vulnerabilidad XSS en el editor de bloques descubierta durante el periodo beta de la versión 5.8.
  • Gracias a Steve Henty por informar de un problema de escalado de privilegios en el editor de bloques.

Gracias a todos los que informan mediante la divulgación privada de vulnerabilidades. Esto ofrece al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que puedan ser atacados los sitios WordPress.

Para más información, revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.8.1 en el centro de ayuda

¡Agradecimientos y reconocimientos!

La versión 5.8.1 la han liderado Jonathan Desrosiers y Evan Mullins.

Además de los investigadores de seguridad y miembros del equipo de la versión mencionados arriba, gracias a todos los que habéis ayudado a conseguir que WordPress 5.8.1 salga adelante: 2linctoolsAdam ZielinskiAlain SchlesserAlex LendealexstineAlGalaAndréAndrei DraganescuAndrew OzzAnkit PanchalAnthony BurchellAnton VlasenkoAri StathopoulosBruno RibaricCarolina NymarkDaisy OlsenDaniel RichardsDariaDavid AndersonDavid BiňovecDavid HerreraDominik SchillingElla van DurpeEnchiridionEvan MullinsGary JonesGeorge MamadashviliGreg ZiółkowskiHéctor PrietoianmjonesJb AudrasJeff BowenJoe DolsonJoen A.John BlackbournJonathan DesrosiersJuanMa GarridoJuliette Reinders FolmerKai HaoKapil PaulKerry LiuKevin FodnessMarcus KazmierczakMark-kMattMichael Adams (mdawaffe)Mike Schrodermoch11Mukesh PanchalNik TsekourasPaal Joachim RomdahlPascal BirchlerPaul BearnePaul BironPeter WilsonPetter Walbø JohnsgårdRadixwebRahul MehtaramonopolyravipatelRiad BenguellaRobert AndersonRodrigo AriasSanket ChodavadiyaSergey BiryukovStephen BernhardtStephen EdgarSteve HentyterralingTimothy JacobstmatsuurTobiasBgTonya MorkToro_Unit (Hiroshi Urabe)Vlad Twb1234WFMattR.

WordPress 5.7.2 – Actualización de seguridad

Ya está disponible WordPress 5.7.2.

Esta actualización de seguridad incluye una corrección de seguridad. Como es una actualización de seguridad se recomienda que actualices tus sitios de inmediato. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.7.2 es una actualización de seguridad de ciclo corto. La siguiente actualización mayor será la versión 5.8.

Puedes actualizar a WordPress 5.7.2 descargándola desde WordPress.org, o visitando tu Escritorio → Actualizaciones, y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya han empezado el proceso de actualización.

Actualizaciones de seguridad

Un problema de seguridad que afecta a las versiones de WordPress entre la 3.7 y la 5.7. Si aún no has actualizado a la 5.7, todas las versiones de WordPress desde la 3.7 también se han actualizado para corregir el siguiente problema de seguridad:

Gracias a los miembros del equipo de seguridad de WordPress por implementar estos cambios en WordPress.

Para más información revisa la página de la documentación de la version 5.7.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.7.2 la lideraron @peterwilsoncc y @audrasjb.

Gracias a todos los que han ayudado a hacer que WordPress 5.7.2 esté disponible: @audrasjb@ayeshrajans@desrosj@dd32@peterwilsoncc@SergeyBiryukov@xknown.

La privacidad con WordPress

Si te lees los términos y condiciones de muchos de los proveedores de Internet, sobre todo las redes sociales, verás que en la mayoría de los casos todo lo que publicas deja de ser tuyo y forma a sr parte de la propiedad de la empresa a la que cedes esa información.

Esto, que en un principio no tiene por qué parecer un problema, puede llegar a serlo en el momento en el que has de eliminar un contenido o quieres hacer un cambio y la plataforma no te lo permite.

Y aquí es donde entran las alternativas y el control de la información, además del tráfico y tus usuarios. El hecho de que las redes sociales puedan eliminar o bloquear una cuenta en cualquier momento hace que el tráfico, los usuarios, tus seguidores no sean tuyos.

Y aquí entra tu sitio web. Cualquier plataforma de código abierto permite el control de la información de la base de datos, una información a la que sólo tú tienes acceso. Y más, teniendo en cuenta que la legislación actual te obliga a tener el control y a disponer de una serie de herramientas que permitan que, en cualquier momento, puedas eliminar o gestionar los contenidos de tus seguidores.

Tener el control de tu información es importante, y WordPress te permite un control absoluto. Para empezar, tú decides qué es lo que se publica y qué no, qué es lo que los robots de búsqueda (y, por tanto, los buscadores) pueden publicar o no. Tú decides qué es público y qué no.

Pero no es sólo esto. Muchas veces pensamos que la privacidad es la parte de tus datos, y no es del todo así, también son los datos de los demás. Cuando alguien hace una compra en una plataforma de terceros suele incluir sistemas de seguimiento para que otras plataformas puedan saber quién eres, qué compras, o qué productos te interesan. Esto, si lo controlas tú en tu plataforma no tiene porqué ser así, y puedes dar a tus usuarios una mayor seguridad y control de sus datos.

¿Dejarías que las mayores empresas de Internet conozcan con detalle qué hacen tus hijos, con quién se comunican, de qué hablan? Pues esto es lo que ocurre hoy en día, y algunos centros educativos lo promueven, aunque tiene mucha facilidad y solución: una red social, privada, con WordPress. Algunos colegios crean redes con BuddyPress en los que todos los alumnos están presentes y pueden comunicarse con profesores, con otros alumnos, publicar contenidos y siempre con la seguridad y control del centro.

Además, WordPress te ofrece plugins y herramientas propias para cumplir la legislación vigente. Para empezar no se guardan contenidos que no se tienen que almacenar, por defecto y, además, te ofrece herramientas como el generador de la página de política de privacidad o las herramientas de exportar datos personales de sus usuarios, con la posibilidad de eliminar esos datos. Y, por supuesto, tienes un montón de plugins que te ayudan a controlar los reglamentos de privacidad que hay alrededor del mundo, y concretamente el RGPD y la LOPD y la obligación de hacer seguimiento de actividad.

Si te preocupan tus usuarios, si te preocupa tu información, si te preocupa el control de la grandes corporaciones de información que a veces ni sabes que están recogiendo, WordPress siempre va a ser una muy buena opción.

WordPress 5.7.1 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.7.1!

Esta actualización de seguridad incluye 26 correcciones a fallos además de dos correcciones a fallos de seguridad. Al ser una actualización de seguridad se recomienda que actualices tu sitios de inmediato. Todas las versiones desde WordPress 4.7 también se han actualizado.

WordPress 5.7.1 es una actualización de seguridad y mantenimiento de ciclo corto. La siguiente actualización mayor será la de la versión 5.8.

Puedes desargar WordPress 5.7.1 descargándolo de WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Dos problemas de seguridad afectan a las versiones de WordPress entre la 4.7 y la 5.7. Si todavía no has actualizado a la versión 5.7, todas las versiones de WordPress desde la 4.7 también se han actualizado para corregir los siguientes problemas de seguridad:

  • Gracias a SonarSource por informar de una vulnerabilidad XXE en la biblioteca de medios que afecta a PHP 8.
  • Gracias a Mikael Korpela por informar de una vulnerabilidad de exposición de datos en la API REST.

Gracias a todos los que informan por la divulgación privada de vulnerabilidades. Esto ofrece al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que puedan ser atacados los sitios WordPress.

Gracias a Adam ZielinskiPascal BirchlerPeter WilsonJuliette Reinders FolmerAlex ConchaEhtisham SiddiquiTimothy Jacobs y el equipo de seguridad de WordPress por su trabajo en estos problemas.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación de la versión 5.7.1 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.7.1 la lideraron @peterwilsoncc y @audrasjb.

Además de los investigadores de seguridad y miembros del equipo de la versión mencionados arriba, gracias a todos los que habéis ayudado a conseguir que WordPress 5.7.1 salga adelante:

99wAdam SilversteinAndrew OzzannalamprouanotherdaveAri StathopoulosAyesh KarunaratnebobbingwideBrechtDaniel RichardsDavid BaumwalddkooDominik SchillingdragongateeatsleepcodeElla van DurpeErikFabian PimmingerFelix ArntzFlorian TIARgab81Gal BarasGeoffreyGeorge MamadashviliGlen DaviesGreg ZiółkowskigrzimIpstenu (Mika Epstein)Jake SpurlockJayman PandyaJb AudrasJoen A.Johan Jonk StenströmJohannes KinastJohn BlackbournJohn James JacobyJonathan DesrosiersJosee WoutersJoyk3nsaiKelly Choyce-DwanKerry LiuMarius L. J.Mel Choyce-DwanMikhail KobzarevmmuyskensMukesh Panchalnicegamer7Otshelnik-FmPaal Joachim RomdahlpalmiakPascal BirchlerPeter WilsonpwallnerRachel BakerRiad BenguellaRinat KhazievRobert AndersonRoger TheriaultSergey BiryukovSergey YakimovSirStueystefanjoebstlStephen BernhardtSumit SinghSybre WaaijerSynchroTerri AnntigertechTimothy JacobstmatsuurTobiasBgTonya MorkToru MikiUlrichVlad T.

Pasar de HTTP a HTTPS (nuevo en WordPress 5.7)

Con el lanzamiento de WordPress 5.7 se incluye una nueva funcionalidad que va a permitir pasar el sitio de HTTP a HTTPS pudiendo migrar todas las direcciones URL de forma automática.

Esto significa que aquellos sitios que tienen problemas con la configuración del sistema mixto, ahora se podrá configurar con un par de clics.

Qué requisitos tiene

Hay tres requisitos básicos:

  • Tener WordPress 5.7 (o superior) instalado
  • Tener un certificado TLS 1.2 o 1.3 instalado
  • Tener el sitio configurado en HTTP

Cómo sé si tengo WordPress 5.7 o superior

La forma más sencilla es entrar en el Escritorio de WordPress, y allí, en el menú, ir a Escritorio → Actualizaciones.

En la parte superior te indicará un mensaje de «Versión actual: 5.7» (o la versión que tengas).

Cómo sé si tengo un certificado TLS válido

Hay varias formas de saberlo. La más rápida es entrar en tu sitio web cambiando el HTTP del inicio por HTTPS. De esta forma puedes probar https://www.example.com/ y comprobar si el navegador te devuelve, o no, un error.

En caso de que no lo devuelva, en la barra de navegación puedes verificar si te indica que el certificado es o no correcto.

Indicador de conexión segura en el navegador Chrome
Conexión segura en el navegador Chrome

En caso de que esto no funcione, lo mejor es que acudas a tu proveedor de hosting y le preguntes cómo poder disponer de un certificado TLS. La mayoría de las empresas de hosting proveen, de forma gratuita, certificados TLS mediante el proveedor Let’s Encrypt.

Cómo sé si tengo mi sitio configurado con HTTP

Para saber la configuración que tiene tu sitio lo más simple es acceder a Ajustes → Generales. Allí encontrarás las direcciones de WordPress y del sitio.

Direcciones de WordPress y del Sitio en los ajustes de WordPress, de forma insegura con HTTP
Ajustes de URL en WordPress

Vale, cumplo los requisitos

Si cumples los requisitos y ya tienes todo listo (que funcione el certificado TLS, principalmente) puedes seguir los siguientes pasos para convertir tu sitio de HTTP a HTTPS y hacerlo más seguro.

Actualizando todos los enlaces

Para hacer el cambio de HTTP a HTTPS de forma automática has de acceder a la zona de Herramientas → Salud del Sitio y encontrarás la opción «Tu sitio no utiliza HTTPS».

Allí tendrás un botón que, con un clic, te permitirá Actualizar tu sitio para usar HTTPS.

Opción en Salud del Sitio en la que se activa el botón de Actualizar el sitio a HTTPS
Análisis de uso de HTTPS en Salud del Sitio

Una vez hayas pulsado el botón, todas tus URL habrán cambiado a HTTPS. Para validarlo puedes volver a Ajustes -> Generales donde los enlaces ya incluirán el HTTPS.

Direcciones de WordPress y del Sitio en los ajustes de WordPress, de forma segura con HTTPS
Ajustes de URL en WordPress

A partir de este momento tendrás configurado tu sitio para que sea siempre HTTPS.

WordPress es seguro (parte 4/4)

Ya sabemos que WordPress es seguro, cómo mantenerlo actualizado y además como incrementar su seguridad. Ahora lo que nos queda saber es qué hacer en un caso de desastre total…

Prevenir antes que curar

Ya lo dice el refrán: más vale prevenir que curar. Y de esto va la información que vas a encontrar aquí. Como se decía al inicio, anteriormente hemos escrito sobre cómo incrementar la seguridad, pero no siempre es un problema de seguridad el que un sitio WordPress se rompa. Puede haber muchos factores, algo tan sencillo como que la máquina donde está tu web se estropee.

Para evitar llegar a un extremo al que no quiere nadie llegar, lo que vamos a tener que preparar es un sistema de plan de contingencia.

El plan de contingencia

Como en muchas situaciones, hemos de ponernos en lo peor, y en el caso de WordPress, es que nuestro sitio deje de funcionar o se borre, o nos lo consigan manipular y podamos llegar a perder la información.

Para esto debemos tener un plan de contingencia que puede ser de muchos niveles. Y que podríamos dividir en 3 niveles: copias de seguridad, sistemas redundados y alta disponibilidad.

Las copias de seguridad

Este es el sistema mínimo y básico que hemos de tener para nuestro WordPress. Por ahora WordPress no dispone de un sistema propio de copias de seguridad, por lo que necesitamos depender de un sistema tercero para realizar esas copias.

¿Qué hemos de copiar y guardar? Básicamente 4 elementos:

  • El programa (software). Es el contenido que incluye el núcleo de WordPress, los plugins y temas, además de todos los contenidos media que hayas podido subir.
  • La información (base de datos). En la base de datos se almacenan los contenidos y configuraciones de tu sitio, tus páginas, entradas y otros contenidos que hayas podido guardar y publicar.
  • La configuración del servidor web. Dependiendo del sistema que uses (Apache, nginx) pueden ser unos contenidos u otros. El más conocido es el fichero .htaccess. En caso de duda, consulta con tu proveedor de hosting para que te indique qué ficheros deberías guardar.
  • Los certificados TLS. Aunque los certificados se pueden regenerar, lo mejor es tener disponible y guardados los ficheros de los certificados para poder configurarlos de nuevo en caso extremo.

Para hacer copias de seguridad tenemos varias opciones. La primera de ellas suele estar en el proveedor de hosting, que suele disponer de sistemas propios para hacer copias de todo nuestro sitio y configuración. Es importante saber y preguntar cómo y qué se puede recuperar en caso de un desastre y haya que restaurarla, ya que en algunos casos se podrá recuperar fichero a fichero y en otros se tendrá que sobrescribir toda la información, perdiendo la información nueva que haya habido entre la copia y el momento actual.

En otros casos podemos configurar un plugin de copias de seguridad de los que hay en el repositorio de WordPress y que puedes encontrar entre los plugins etiquetados como backup.

Como última opción, siempre puedes realizar la copia manualmente. Por ejemplo, descargando los ficheros por FTP, la base de datos con algún panel del tipo a phpMyAdmin y el resto de las configuraciones dependerán del sistema o del hosting.

Existe una alternativa que es la de crear copias instantáneas de volumen (snapshots) en los que se hace una copia puntual en el tiempo de cómo se encuentra el sistema. En estos casos, a la hora de realizar la restauración podemos sobrescribir el sistema actual con el de ese momento, o podemos montar un nuevo sistema, acceder y recuperar la información que requiramos.

Sistemas redundados

Un sistema redundado es aquel en el que en realidad tienes dos o más veces tu WordPress funcionando, pero sólo lo hace uno a la vez. Además, estas instalaciones están configuradas mediante un sistema primario-secundario, en el que hay una instalación principal, y cualquier cambio que se haga, se va heredando al resto de versiones.

En caso de que el WordPress principal falle, pasaría a ponerse en marcha de forma manual o automática la segunda edición del sitio.

Normalmente estos sistemas se encuentran distribuidos o federados para no encontrarse físicamente en el mismo lugar. Por ejemplo, si hay un corte de electricidad en un centro de datos, se mandaría a los usuarios a otros centros de datos en otras localizaciones.

En cualquier caso, estos sistemas ya suelen tener sus propios mecanismos para hacer copias de seguridad de forma recurrente.

Alta disponibilidad

Sin duda es el sistema óptimo, pero el más complejo y caro (de precio) ya que requiere de bastante inversión y recursos.

En este caso, tendríamos varias copias de nuestro sitio web funcionando a la vez, en distintas localizaciones, y a los usuarios se les manda de forma independiente a cualquiera de ellas. Por norma general, para que esto funcione al menos ha de haber 3 localizaciones. De la misma manera que el caso anterior, aquí también es imprescindible tener copias de seguridad ya que toda la información se copia y replica a la vez en todos los sistemas.

WordPress es seguro (parte 3/4)

Previamente hemos visto cómo es la seguridad de WordPress y cómo realizar tareas de actualización.

¿Podemos hacer WordPress más seguro?

Sí, siempre se puede.

Navegando de forma segura con HTTPS

Hasta hace un tiempo las páginas web comenzaban mayormente por HTTP://. Este es el protocolo por el que se pueden ver las páginas web de forma “normal”. Porque existe otro sistema, ahora muy habitual, que es el de HTTPS://. Este sistema con esa S extra; una S de seguro. Es lo mismo que antes, pero la información va cifrada.

La diferencia entre un sistema y otro es que la información que va desde tu navegador hasta el servidor web (donde se encuentra la web), y del servidor web a tu navegador, en el segundo caso va cifrado mediante un certificado TLS (anteriormente SSL). Esto hace que todos los contenidos que van y vienen no puedan ser interceptados con ataques de intermediario o eavesdropping.

Si tu sitio web no aparece por defecto con https://, te recomendamos que escribas a tu empresa de hosting para preguntarles cómo conseguir hacerlo, ya que con un certificado Let’s Encrypt se puede hacer de forma sencilla y gratuita.

Usando contraseñas seguras

Cuando creas o te crean un usuario en WordPress suele aparecerte una contraseña “rara”. Esta contraseña suele tener letras en mayúsculas, en minúsculas, con números y símbolos. Una contraseña así, de unos 12 caracteres se suele considerar segura.

De todas formas, hoy en día tenemos facilidades para almacenar contraseñas distintas para cada sitio, ya que nuestro navegador de Internet suele incorporar la función de recordar contraseña, además de tener herramientas y Apps que nos permiten actuar como gestor de contraseñas.

Aunque las contraseñas que incorpora WordPress son seguras, lo más recomendable es disponer de una contraseña alfanumérica (como mínimo) lo más larga posible, y en este caso hablaríamos de un mínimo de 18 caracteres. Sin duda, una contraseña muy larga pero menos compleja, es más segura que una contraseña corta y compleja.

Pero no hemos de olvidar que a veces no estamos trabajando nosotros solos en nuestro WordPress, sino que tenemos otros Usuarios, y, para bien o para mal, no podemos obligar a otros usuarios a que tengan contraseñas seguras.

Es por esto que siempre es muy recomendable incluir en los usuarios de nivel Administrador y Editor un sistema de doble validación (también conocido como Autenticación de múltiples factores). Desde el equipo de colaboradores de WordPress podemos recomendarte un plugin de la Comunidad WordPress llamado Two-Factor que permitiría la activación de este sistema (además, puedes colaborar en él si te interesa desde su ficha).

Protegiéndote de ataques externos

En algunos casos, tanto si tu sitio es muy conocido como si no lo es, puede que algunos usuarios maliciosos (o ciberdelincuentes) quieran atacar tu sitio de forma masiva. En estos casos te recomendamos el uso de un cortafuegos (firewall) como capa de seguridad.

Existen muchos tipos de cortafuegos a muchos niveles. Los más avanzados son máquinas (servidores) físicos que se ponen entre los usuarios y los servidores web. En otros casos, existen aplicaciones en el sistema operativo que actúan, en este caso a nivel de programa. Como un nivel más cercano a WordPress, podemos encontrar los WAF (Web Application Firewall) como cortafuegos de aplicación web. Para los casos de WordPress existen multitud de ellos en forma de plugin y que puedes encontrar entre los plugins etiquetados como firewall.