¿WordPress es seguro?
Nos preguntamos (y respondemos) si WordPress -el sistema de administración de contenidos más usado en estos momentos- es lo suficientemente seguro como para garantizar la indemnidad del contenido de tu sitio web.
Si WordPress es (o no) seguro es una de las preguntas que más se formulan al momento de encarar un proyecto web. ¿Conviene instalarlo? ¿Voy a estar más expuesto? ¿Es cierto que es el sistema preferido para ataques informáticos? En este -breve- artículo, no pretendemos hacer un examen exhaustivo de las condiciones de seguridad de WordPress, sino reflexionar sobre las ventajas y desventajas que presenta sobre este punto. Intentamos reflexionar sobre cómo potenciar estas ventajas y cómo sanear sus puntos débiles.
En este primer artículo, vamos partir de la base de que el principal factor de exposición a riesgos que presenta WordPress es externo a él. WordPress es seguro si su administrador lo mantiene seguro. Para que entiendas estos conceptos vamos a imaginar que un sitio web desarrollado en WordPres es como tu propia casa.
¿En tu casa dejarías la puerta de calle abierta?
¿Usarías una cerradura de mala calidad? Con WordPress ocurre lo mismo. El ingreso al panel de administración debe hacerse mediante contraseñas seguras. Una contraseña débil, fácil de memorizar o relacionada con aspectos o datos de tu vida particular (domicilio, teléfono, documento, fechas importantes) implica exponerse a riesgos totalmente innecesarios. Sobre esto, ni WordPress (ni cualquier otro sistema) puede salvarte. Todavía hay muchos sitios web que usan como contraseña de acceso “password” o “12345678”.
¿Invitarías a pasar a cualquier persona a tu casa?
¿No? No hagas lo mismo con WordPress. Es sabido que los plugins y themes son útiles para tu sitio y pueden potenciar notablemente las posibilidades de tu sitio. Pero al momento de instalarlos, busca que sean de desarrolladores confiables; que provengan de sitios de descargas oficiales. Instalar plugins o themes pirateados (llamados nulled) implica asumir un potencial costo de reparación o limpieza de un sitio que podría haberse evitado (o hubiese sido mucho menor) si hubieras adquirido la licencia de uso de ese recurso que usaste pirata.
¿En tu casa dejás que se acumule la basura?
¿Tenés bolsas de residuos repartidos por todas las habitaciones? Supongo que no. Pues no hagas lo mismo con tu instalación de WordPress. Si hay plugins o themes que ya no usas ni volverás a usarlo, elimínalos. Por más que estén desactivados, pueden ser un foco de ataques de diversos tipos. Mantener la instalación limpia, minimiza considerablemente las posibilidades de ataque.
¿Tu casa está abandonada?
¿Hace mucho que no pintas en tu casa? ¿Hay humedad por todas partes? Es posible que en tu hogar hayas abandonado algunas tareas de mantenimiento. Esto también ocurre en muchas instalaciones de WordPress.
Éste es un sistema que requiere de un mantenimiento período. Constante. Tu sitio web puede estar “funcionando” pero ello no significa que funcione correctamente. WordPress y sus complementos van lanzando actualizaciones de forma constante. Tal como lo hacen las aplicaciones para tu celular, por ejemplo. Estas actualizaciones agregan funciones nuevas, eliminan funciones que fueron quedando en desuso y fundamentalmente corrigen errores de programación o brechas de seguridad que se fueron descubriendo. Mantener una instalación actualizada es la única garantía de que estés protegido.
¿Edificaste sobre buenos cimientos?
Quizás este factor sea difícil de entender, pero no me imagino –por ejemplo- un edificio de rascacielos construidos sobre un terreno arenoso. Esto está directamente vinculado con tu proveedor de hosting. El hosting es el servidor donde tu sitio web estará alojado y te proveerá de servicios adicionales. Muy resumidamente es una computadora especial programada para mostrar tu sitio web cada vez que alguien lo visite. Esa computadora, ese servidor tiene instalado unos “programas” especiales que son un tanto difícil de configurar.
Una mala configuración, un deficiente mantenimiento o un ataque a este servidor puede atentar contra tu sitio web. Es por eso, que la elección del hosting es casi tan importante como la construcción del sitio web. A veces, invertir uno dinero extra en un buen terreno hace que al fin de cuentas, puedas dormir tranquilo.
¿Tenés buenos vecinos?
Si tienes vecinos ruidosos, sucios, que no se preocupan por su propiedad, esto puede afectarte de varias formas, como por ejemplo, no dejarte dormir, traspaso de malos olores, problemas de humedad compartidos.
Con los sitios web ocurre algo similar: Algunos planes de hosting tienen son de servidor compartido: El mismo espacio se divide entre varios usuarios; como un mismo piso de un edificio se divide entre varios departamentos. Así, por ejemplo; si tu vecino de hosting compartido; envía mail de propaganda; sube archivos peligrosos; no mantiene actualizado sus plugins y themes; esto puede afectarte por esos mismos males. Por ello, una buena administración de webhosting y una buena elección de él puede ayudarte a prevenir estos problemas.
¿Tenés instalada alarma?
¿En tu casa tienes servicio de alarma? ¿Vigilancia y monitoreo? ¿Algún perro guardián quizás? Siempre es mejor prevenir que lamentar, por ello hay que tomar precauciones similares con tu instalación de WordPress.
Existen varios plugins (complementos) como iThemes Security o Wordfence que tienen como función reforzar la seguridad de tu sitio web, escondiendo datos claves, evitando (o deteniendo) intentos de ataque y monitorizando que todo funcione correctamente notificándote cuando no ocurra así. Es deseable tener instalado alguno de estos plugins en tu sitio web para evitar dolores de cabeza.
Conclusión
Como vimos, son muchas las variables que hay que atender. WordPress es un sistema seguro, pero puede ser vulnerado como cualquier otro sistema. Para evitar estas vulnerabilidades, quienes lo administren, deben asumir un serio compromiso a los fines de mantener su indemnidad. Sin este compromiso –que se traduce en un mantiemiento frecuente sumado a buenas decisiones de gestión- ni WordpPress ni ningún otro CMS será seguro.