Por qué los complementos de WordPress obsoletos representan una amenaza y cómo proteger su sitio

Aclaremos una cosa de inmediato: WordPress , como un CMS recién instalado, no es particularmente vulnerable y sigue siendo una buena opción si desea crear un sitio seguro. Sin embargo, debido a la popularidad de WordPress, a menudo es un objetivo para los piratas informáticos que buscan acceso a sitios web populares. El hecho de que los hacks sean bastante raros es un testimonio del trabajo realizado por los desarrolladores y la comunidad de WordPress.

El problema que a menudo introduce vulnerabilidad en una instalación de WordPress es el uso indebido de complementos: en particular, el uso de complementos que hace tiempo que dejaron de actualizarse. ¿Por qué estos complementos ponen en peligro su sitio y cómo puede protegerse contra ellos? En este blog intentaremos aclarar esto y repasar algunos consejos.

Por qué los complementos obsoletos son peligrosos

Cada complemento que agregue a su sitio de WordPress (incluso si es un complemento diseñado para mejorar la seguridad) técnicamente agregará un punto de vulnerabilidad. Es un concepto simple: el código adicional de una fuente de terceros (incluso una de confianza) puede potencialmente dejar todo su sistema más expuesto. Los estándares de seguridad modernos son bastante altos, y se requiere que los sitios web mantengan los datos de los usuarios muy bien protegidos mientras bloquean las transacciones a través de estándares como PCI . Solo un eslabón débil puede romper la cadena y causar un daño incalculable a su sitio, negocio y reputación.

La mayoría de las veces, un complemento agregado no es un problema porque tiene sus propias actualizaciones de seguridad, al igual que WordPress, y el desarrollador diseñará un parche poco después de que se descubra un problema. Sin embargo, este no es siempre el caso. Cuando se abandona un complemento de WordPress, la última versión que se actualizó se vuelve cada vez más anticuada y permanece instalada en muchos sistemas. Este complemento podría incluso permanecer disponible para su descarga en WP.org hasta que el desarrollador recuerde desconectarlo.

Afortunadamente, es razonablemente simple abordar este problema: solo busque el complemento y desactívelo o desinstálelo . Por lo general, recomendamos desinstalar el complemento, en lugar de deshabilitarlo, a menos que tenga una buena razón para pensar que puede actualizarse en algún momento en el futuro cercano. También deberá tener cuidado con la forma en que el complemento desactualizado interactúa con otros complementos y su sitio web, ya que podrían surgir problemas después de eliminar un complemento. Por ejemplo, si elimina un complemento que trata de limitar la cantidad de intentos de contraseña que un usuario puede hacer, esto podría causar posibles problemas de seguridad y deberá encontrar un reemplazo adecuado si es necesario.

Cómo reemplazar la funcionalidad necesaria

Si eliminó un complemento obsoleto, pero descubrió que jugaba un papel importante en el funcionamiento diario de su sitio y no puede encontrar nada similar en el mercado. ¿Qué debes hacer? WordPress le brinda la libertad de obtener complementos de múltiples fuentes (no solo de las listas de WP.org), pero eso puede colocarlo en una posición potencialmente precaria al usar estos complementos.

Para la mayoría de las personas, en particular las que administran sus negocios en línea, las restricciones del modelo SaaS moderno resultan reconfortantes. Por ejemplo, el uso de un CMS alojado se ha vuelto muy popular para los sitios de comercio electrónico, ya que ofrece una buena combinación de opciones de personalización y seguridad garantizada. Aunque, en principio, puedes hacer más con WordPress, tener tantas opciones diferentes puede resultar confuso.

Si se encuentra en la posición improbable en la que siente que es necesario eliminar un complemento y no puede encontrar un reemplazo viable para llenar ese vacío, tiene dos opciones realistas para abordarlo. Contrate a un desarrollador de WordPress para programar un reemplazo o intente reproducir la funcionalidad utilizando los sistemas existentes (herramientas como Zapier e IFTTT se pueden usar para lograr una automatización notable si puede familiarizarse con ellos).

Elegir sus complementos con cuidado

La importancia de la experiencia del desarrollador significa que no todos los complementos se crean de la misma manera. La experiencia del desarrollador, la reputación y la confiabilidad general son solo algunos de los factores que marcan la diferencia entre un complemento creado por un desarrollador conocido con una sólida política de monetización . Si bien es posible que no le guste gastar dinero en complementos, los pagos mantienen a los desarrolladores activos y les permiten actualizar continuamente su software. Esto es en comparación con otros complementos que puede estar usando y que fueron creados por un aficionado, con poca intención de mantenerlo.

La forma más sensata de proceder es considerar cuidadosamente al desarrollador de un complemento antes de instalarlo y comenzar a confiar en él. Asegúrate de revisar sus reseñas. Investigue su historial cuando se trata de actualización de valor y consistencia. ¿Tienen un blog que puedas seguir? Si se queda con los desarrolladores que se benefician de su trabajo, puede estar bastante seguro de que continuarán actualizando y manteniendo el complemento, lo que ayudará a reducir la posibilidad de que su sitio sea pirateado a través de un complemento desactualizado.

Una de las mejores maneras de asegurarse de que sus complementos permanezcan actualizados es usar UpdraftCentral . Este poderoso control remoto para WordPress no solo le permite administrar y actualizar de forma centralizada sus temas, complementos y núcleos en todo su sitio con solo un clic, sino también realizar copias de seguridad y controlar todos sus sitios en los que está instalado UpdraftPlus desde una ubicación central en el Nube. Si está demasiado ocupado o tiene demasiados sitios para actualizar de manera confiable, también puede usar Easy Updates Manager . Este servicio mantiene automáticamente los sitios actualizados y libres de errores.

Cómo proteger su sitio

Incluso si elige sus complementos con cuidado, esté atento a los complementos obsoletos que no se han actualizado en un tiempo y actúe para eliminarlos si es posible cuando los detecte. Sin embargo, siempre habrá algún peligro potencial oculto ya que un desarrollador podría dejar de poner todo su esfuerzo en actualizar sus complementos, lo que podría llevar a que las vulnerabilidades no se corrijan a pesar de que se publiquen las actualizaciones.

Debido a estos posibles problemas de seguridad, debe hacer más para mantener su sitio seguro. Una de las mejores maneras de hacer esto es haciendo una copia de seguridad de su sitio de forma regular utilizando UpdraftPlus . Asegúrese de crear siempre una copia de seguridad antes de instalar o actualizar un complemento y programe nuevas copias de seguridad periódicamente para defenderse de cualquier problema imprevisto. Si algo sale mal debido a un complemento vulnerable, puede usar UpdraftPlus para volver a una copia de seguridad existente, en cuyo momento puede eliminar el complemento ofensivo y continuar con normalidad.

En resumen, los complementos obsoletos de WordPress son una amenaza porque pueden permitir que las vulnerabilidades se introduzcan en su sitio de WordPress seguro. Para mantenerse seguro, sea selectivo, manténgase en guardia, tome medidas cuando sea necesario y mantenga su sitio respaldado con UpdraftPlus .

Leyes de Rodney

La publicación Por qué los complementos de WordPress obsoletos representan una amenaza y cómo asegurar su sitio apareció primero en UpdraftPlus. UpdraftPlus: complemento de copia de seguridad, restauración y migración para WordPress.