WordPress es un sistema de gestión de contenido o CMS enfocado a la creación de sitios web periódicamente actualizados. Ha sido desarrollado en PHP para entornos que ejecuten MySQL y Apache, bajo licencia GPL y código modificable. Es actualmente el CMS más popular de la web, las causas de su enorme crecimiento son, entre otras, su licencia, su facilidad de uso y sus características como gestor de contenidos. Otro motivo a considerar sobre su éxito y extensión es la enorme comunidad de desarrolladores y diseñadores, encargados de desarrollarlo en general o crear complementos y temas para la comunidad.
Actualmente WordPress es usado por el 19.7 % de todos los sitios existentes en internet. Más información
WordPress bajo ataque
Dada su popularidad WordPress ha sido victima de ataques a gran escala recientemente, 2 involucrando a los mas populares plugins de cache, y uno que involucra un muy popular conversor de imagenes (TimThumb).
Estos ataques crearon una ola de noticias que afectó la reputación de WordPress pero a su vez motivó a los desarrolladores a tomar medidas para subsanar este, y prevenir futuros ataques.
WordPress 2.9.2 y superior.
Desde su versión 2.9.2 WordPress implementa fuertes medidas de seguridad para sus cuentas de usuario y administradores . También cuenta con un sistema de actualización automático que permite mantener actualizado fácilmente tanto el sistema como los plugins a medida que se liberan nuevas mejoras de estabilidad y seguridad.
Actualmente WordPress es considerado un sistema de publicación supremamente estable y seguro, usado aún por compañías de gran envergadura como Microsoft en su servicio Microsoft Live.
No existen pruebas que muestren que WordPress sea mas vulnerable que otros sistemas similares como Joomla o Drupal, sin embargo la cantidad de sitios que usan WordPress hace cualquier vulnerabilidad, aún las pequeñas, muy notorias.
WordPress y la configuración segura
Al igual que cualquier otro programa, WordPress puede ser configurado tomando especial atención a la seguridad y logrando así un nivel de seguridad más alto que el de una instalación corriente.
Algunas de estas medidas incluyen pero no se limitan a:
- Actualizaciones frecuentes de sistema y plugins
- Configuración correcta del sistema de permiso de archivos
- Requerimiento de claves de buena calidad
- Limitar el número de intentos de login por usuario
- Uso de un sistema de alerta ante la modificación de cualquier archivo
- Restricción de acceso al sitio para usuarios con clave.
- Evitar el uso de configuraciones y nombres de usuario por defecto.
- Restricción de acceso a carpetas del sistema
- Configuraciones del entorno de servidor
- Camuflaje de servicios de administración
- Implementación de un plan de backups automatizado.
Una instalación bien configurada de WordPress será entonces bastante segura desde el inicio, sin embargo debemos tener en cuenta importantes consideraciones.
WordPress y la privacidad del contenido
WordPress implementa una muy buena politica de Roles y Permisos para administradores, autores, colaboradores y suscriptores que permite el acceso a diferentes contenidos y funcionalidades de manera segura y sencilla.
Es posible restringir completamente el acceso a un sitio y permitir su uso solo por usuarios registrados e identificados con nombre de usuario y contraseña.
WordPress fue diseñado como un sistema de publicación de contenidos y como tal permite acceso publico y no cifrado a los contenidos por defecto.
Si se requiere cifrado de datos http y acceso restringido a archivos adjuntos (PDF por ejemplo) se deben tomar medidas adicionales como:
- Cifrado de datos usando certificado SSL (HTPS)
- Acceso restringido a archivos con URLs cifradas.
Implementando estas medidas se tendría un sitio WordPress completamente privado, donde solo los usuarios registrados tienen acceso tanto a contenidos como a archivos adjuntos, y donde las transacciones HTTP se encuentran fuertemente cifradas.
REF:
- http://es.wikipedia.org/wiki/WordPress
- http://codex.wordpress.org/Hardening_WordPress
- http://www.webdesignerdepot.com/2012/10/how-secure-is-your-wordpress-site/
- https://managewp.com/is-wordpress-secure