Hoy vengo a escribir sobre mi CMS favorito. Todo lo que ves en este momento bajo la URL gatooscuro.xyz no sería posible sin dicho CMS (Content Management System/Sistema de Gestión de Contenido), qué además es software libre. Por lo tanto, cualquier cosa que suceda directa o indirectamente me concierne, ya que sí o sí me afectará.
A lo largo de su existencia ha tenido sus desaciertos (señalo con desprecio a Gutenberg, el editor moderno que fue incorporado con muchas fallas y que poco a poco han ido corrigiendo), pero aun así no puedo odiarlo porque es mi hogar y todo lo que suceda en este toca corregirlo en conjunto y bien. ¿Qué nos trae hoy por acá? Pues, vulnerabilidades, qué tanto nos han perseguido.
WordPress es el CMS nro 1 de la red con la cuota de mercado de 43% de todos los sitios web , sumando 1F millones entradas nuevas y 1F millones comentarios nuevos cada mes Y eso, siguiendo las estadísticas de WordPress.com (no autoalojadas a través de WordPress.org a menos que uses el paquete Jetpack) y con 20 años de servicio, no es cualquier cosa. Es de agradecer a sus creadores, Mike Little y Matt Mullenweg, por esta ingeniosa herramienta. Sin ellos, esto no sería una realidad. ¿Y lo malo? Ser popular te coloca en el punto de mira de los piratas informáticos.
Además, depender de funcionalidades extras a través de plugins también es un riesgo adicional, ya que debes confiar en terceros para obtener dichas características. Adicionalmente, cualquier problema en el código de dicha aplicación afectará directamente a todo tu sitio. Por lo tanto, ha sido tachado como uno de los gestores de contenido más vulnerables, donde se han detectado numerosas vulnerabilidades (aunque se han lanzado parches de seguridad rápidamente, lo cual es destacable).
Sin darle mucha vuelta al asunto, semanalmente suelo seguir el reporte de vulnerabilidades que hace el sitio Ithemes, una sesión imprescindible sobre todo lo que afecta a WordPress semanalmente con recomendaciones de seguridad y en donde se colocan en evidencia los fallos conocidos para estar alerta y reaccionar a tiempo.
En resumen, tener tu sitio siempre actualizado, con los plugins y temas actualizados, es una gran ventaja para evitar una vulnerabilidad que te afecte por completo. Además, entre menos plugins uses, mayor es la probabilidad de que estés alejado de un hueco de seguridad. Deja de llenar tu sitio con accesorios y funcionalidades innecesarias, coloca solo lo justo.
Vamos progresando
¿Las buenas noticias? Creó que me extendí demasiado, ¡cómo siempre! El caso es qué, he visto cómo ha progresado la seguridad de WordPress con cada mes qué pasa, llevamos una buena racha de vulnerabilidades detectadas para este mes de Agosto, te puedo decir qué para el 27 de Julio de 2023 se detectaron por lo menos 329 vulnerabilidades ¡un número preocupante! (según cómo se vea) puede ser positivo porque coloca en evidencia los errores para que los desarrolladores actúen a tiempo y los corrijan o en el peor de los casos, huecos que no se planean tapar ¿a qué suena loco? Pues no, aún hay 54 plugins sin parche desde aquella fecha, por lo que se recomienda desactivar y eliminar de inmediato, verifica la lista para saber si estás a salvo o no.
Ahora bien, hemos mejorado bastante, el 2 de Agosto de 2023 se detectaron 94 vulnerabilidades, de las cuales solo 35 plugins y 3 temas no han sido parchadas. Por otro lado, pasando a una fecha más reciente, el 9 de Agosto de 2023 se detectaron 30 vulnerabilidades, de los cuales solo dos no han sido parchadas, ¿ves? No hay que ser un experto en estadísticas para notar el descenso, aun así no hay que bajar la guardia y revisar uno a uno de tus plugins/temas activos para ver si está dentro de las vulnerabilidades sin parchar, de estar en esa lista con una semana sin parche ¡QUITALO!
Recomendaciones extra
Analiza de vez en cuando tu sitio en búsqueda de Malware con algún complemento confiable, en la mayoría de los casos el mismo servidor te proporciona uno (en Hostinger tiene su propia sesión), mantén los plugins, temas, núcleo siempre actualizado, según un informe oficial aún hay pequeños porcentajes de sitios con versiones viejas de WordPress, veo que incluso la versión 5.4 que ya lleva rato tiene un 2.1% de sitios, la 6.0 tiene 4.5% de sitios, cuando ya vamos por la 6.3 qué corrige vulnerabilidades del núcleo, más sorprendente aún es qué el 50.4% de los sitios ejecutan PHP en su versión 7.4, lo cual imagino que es por la compatibilidad con la mayoría de plugins y demás, cosa que los ha alejado bastante de la versión reciente que es 8.3 que corrige muchos problemas grandes.
En fin, mantén siempre el 2FA activado, una clave fuerte y demás, no tengo más nada que agregar; gracias por leer.