WordPress seguros

Cómo mantener los sitios web de WordPress seguros con menos plugins

WordPress seguros:  Cómo mantener los sitios web con menos plugins . 

 

Si hablamos del número de plugins que vais a instalar en vuestro sitio web de WordPress , sin duda menos es más . Aunque instalar decenas de complementos de WordPress geniales puede parecer tentador, intentad resistiros. Hay demasiados plugins que pueden provocar un incumplimiento de la seguridad de vuestro sitio web que lo dejarán totalmente expuesto. 

Las consecuencias pueden ser; desde el bloqueo de vuestro sitio web, aumentar el tiempo de carga del sitio web, haciendo que sea lento, hasta los ataques de software malicioso PHP ( Hypertext Preprocessor ), que profundizaremos un poco más tarde. Esto no quiere decir que los plugins populares no valgan la pena (por ejemplo: Yoast WooCommerce WPML,…), sólo significa pensar muy bien sobre los que realmente vais a usar y queréis instalar ,y tener en cuenta que, para que algunos funciones correctamente, tiene que optimizar la configuración un profesional para no cargar demasiado el tiempo de respuesta de la web. El método «Siguiente» «siguiente» con desconocimientos de los parámetros no es la mejor idea. 😊

Es por eso que estamos aquí para ofreceros una visión general que le ayudará a averiguar cuáles son fiables y cuáles obviar.

Los plugins de WordPress son seguros?

La belleza de WordPress y su éxito abrumador (WordPress se utiliza en el 40% de las páginas web de Internet), radica en su plataforma de código abierto y gratuita. Esto significa que cualquier usuario, ubicado en cualquier lugar, puede crear su propio código y colgar su complemento personalizado en la biblioteca de WordPress en constante expansión.

Suena increíble, ¿verdad? En teoría, sí. Pero puede ocurrir que los plugins de WordPress (y también, hasta cierto punto temas de WordPress ) se creen en un tiempo muy corto, a menudo sin pasar por rigurosos controles de calidad.

Estas extensiones menudo parecen atractivas, especialmente para aquellos que buscan una función útil o que aún no se haya creado. Pero los códigos fuente de los plugins son públicos en la biblioteca de WordPress y están programados en PHP, eso significa que cualquiera puede leer y modificar el código localmente una vez la haya descargado para su sitio web respectivo.

Como los desarrolladores de plugins no siempre mantienen su código actualizado, a veces esto puede dejar agujeros de seguridad involuntarios. Así que es posible que alguien pueda revisar el código de estos plugins en la biblioteca de WordPress y ver si existen agujeros de seguridad para poder insertar código malicioso o aprovecharse de la falta de actualizaciones de los plugins de WordPress para encontrar vulnerabilidades.

Los plugins de WordPress pueden ser peligrosos?

seguretat webIntentad imaginar que vuestro sitio web de WordPress , es lo mismo que un teléfono móvil, solo instalaríamos aplicaciónnes de confianza , ¿verdad? .

Lo mismo ocurre con cualquier complemento de WordPress . Aunque quizás no sabreis inmediatamente cuáles son seguros de usar, no dudéis en leer los comentarios que deja la gente, mirar el número de descargas, la última actualización que ha hecho el autor, … incluso se pueden encontrar listas de plugins peligrosos / no recomendables . Aunque no podemos ayudaros a evitar todas las malas aplicaciones de los plugins de WordPress , si podemos ayudaros a ser más selectivos con nuestra experiencia en desarrollo de páginas web con WordPress y su securización.

Antes de descargar cualquier plugin , os tenéis que hacer las siguientes preguntas:

  • ¿Cuántas instalaciones tiene este conector?
  • ¿La gente le da buenas críticas?
  • ¿Se actualiza regularmente?
  • ¿Se ha probado con la última versión de WordPress?
  • ¿Se responden de manera oportuna a las preguntas de soporte?
  • ¿Se puede evitar utilizar el plugin añadiendo un fragmento de código en el sitio web que cubra la funcionalidad de este?

Del mismo modo que depende de todos los desarrolladores de plugins de WordPress gestionar y mantener sus respectivos plugins , depende de vosotros como propietarios del sitio web de WordPress hacer estas comprobaciones antes de instalarlo.

¿Qué es el software malicioso de PHP ?

Como se ha mencionado antes, PHP es un lenguaje de programación del servidor. (gran parte de WordPress funciona con PHP).

Como se publican nuevas versiones de código PHP cada pocos meses, tener una versión obsoleta significa que se abre una puerta a un posible ataque de malware.

Además la actualización layuda a eliminar los plugins que no son compatibles con la última versión de PHP. Si el plugin no es compatible con la versión más reciente, podría convertirse en un agujero de seguridad con el tiempo. En otras palabras, manteniéndose al día de las últimas actualizaciones de PHP, continuaréis manteniendo vuestro sitio de WordPress seguro.

 

¿Qué pasa con los temas de WordPress seguros?

Los temas de WordPress , básicamente, alteran el aspecto visual (diseño web) de vuestro sitio web o blog, mientras que los plugins de WordPress alteran lo que puede hacer. Sin embargo, a todos los efectos, los temas de WordPress son muy similares a los plugins de WordPress. Ambos permiten a cualquier persona crear su propio código de la tema y muchos de los temas «libres» personalizados tienen codificación base64, que podría ocultar código malicioso.

Lamentablemente, esta es otra manera para que los piratas informáticos puedan acceder a los archivos de vuestro sitio web y colgar software malicioso. Sin embargo, los temas de WordPress difieren de los plugins de WordPress en varios aspectos:

  • La creación de temas a menudo es más complicada que la creación de plugins .
  • Los usuarios pueden instalar varios temas, pero sólo se puede activar un tema a la vez .
  • Los temas suelen ser más ligeros en términos de almacenamiento que los plugins.

En seguridad WordPress se recomienda utilizar temas fiables, sólo se deben descargar o comprar temas de tiendas de confianza tipo ThemeForest o Elegantthemes o bien del repositorio de temas de WordPress ( Storefront , WpOcean , GeneratePress …). Elegir temas gratuitos de sitios web aleatorios es comprar números para el desastre .

Para elegir un tema de WordPress para un sitio web , podéis haceros las mismas preguntas que antes de descargar un plugin de WordPress , como hemos visto antes.

Mantened el sitio web de WordPress seguro

Es un buen momento para hacer un inventario rápido de vuestros plugins de WordPress .

  • ¿Tenéis demasiados?
  • ¿Tenéis alguno que no se ha utilizado nunca?
  • ¿Tenéis alguno que sólo se ha utilizado una o dos veces?

Si tenéis plugins obsoletos (es decir, que no se utilicen nunca), este es un signo de bienvenida para los piratas informáticos. Si no se ha desactivado la navegación por el directorio de vuestra carpeta de conectores wp ,  podría permitir a los posibles piratas informáticos que encuentren archivos fuente de su antiguo conector desactivado, sólo para insertar un script malicioso.

Tenga en cuenta que los plugins también pueden ralentizar un sitio web y afectar a la seguridad de WordPress . De hecho, por cada plugin que se añada a vuestro sitio web, se añadirá más código en el navegador web para procesarlo. A veces, la ralentización de la página web se debe a plugins mal codificados o porque no son compatibles con vuestra configuración actual. Sea cual sea la razón, tener demasiados plugins (o tenerlos mal configurados), hará que vuestro sitio web tarde más en cargarse.

Así que recordad, menos es más! , a partir de ahora, no olvidéis tomar nota mental de lo siguiente:

  • Instalad sólo los plugins de WordPress que realmente necesitáis.
  • Instalad únicamente plugins de Worpress fiables .
  • Actualizad siempre a las últimas versiones de plugins , temas y servidor (esto también significa PHP) .
  • Actualizad siempre el núcleo de WordPress .
  • Securizad vuestro WordPress . (Seguridad WordPress activa)

Existen hostings como webempresa , profesional hosting ,… que actualizan el servidor, aplican reglas de seguridad específicas y optimizan los servidores para WordPress.

Dado que los plugins obsoletos son una de las principales causas de los ciberataques , se podría pensar en activar las actualizaciones automáticas para evitar ser vulnerables a ataques, es una opción a considerar, ¡pero cuidado! , ya que hay plugins que podrían provocar cambios en la página web no deseados y es mejor actualizarlos manualmente.

Si tienes dudas en cómo mantener tus WordPress seguros nuestro equipo le puede ayudar!