Seguridad en Wordpress con menos Plugins
Cuando se trata de la cantidad de complementos que ha instalado en su sitio web de WordPress, menos es definitivamente más.
Aunque instalar docenas de fantásticos complementos de WordPress puede parecer tentador, intente resistir. Demasiados complementos pueden provocar una brecha en la seguridad de su sitio web, dejándolo completamente expuesto. Esto va desde el bloqueo de su sitio web hasta tiempos lentos de carga del sitio web , incluso ataques de malware PHP (preprocesador de hipertexto), en los que profundizaremos un poco más adelante.
Esto no quiere decir que los complementos populares no valgan la pena ( Yoast y WooCommerce merecen su popularidad, por ejemplo), solo significa ser más exigente sobre cuáles decide instalar.
Es por eso que estamos aquí, para brindarle una descripción general que lo ayude a determinar cuáles son confiables y cuáles debe omitir.
La belleza de WordPress , y su abrumador éxito al impulsar cerca del 40% de los sitios web en Internet , radica en su plataforma gratuita de código abierto.
Esto significa que cualquier usuario, ubicado en cualquier lugar, puede crear su propio código y cargar su complemento personalizado en la biblioteca de WordPress en constante expansión. Suena genial, ¿verdad?
En teoría, sí.
Sin embargo, este enfoque "por personas" significa que miles de complementos de WordPress (y sí, hasta cierto punto temas de WordPress) se crean en muy poco tiempo, a menudo sin pasar por rigurosos controles de calidad. Estas sencillas extensiones a menudo parecen atractivas, especialmente para aquellos que buscan una característica interesante o útil que aún no se ha creado.
Y debido a que estos códigos fuente de complementos son públicos en la biblioteca de WordPress y están escritos en PHP, un lenguaje de codificación simple, esto significa que cualquiera puede leerlo y modificar el código localmente una vez que lo haya descargado para su sitio web respectivo.
Debido a que los desarrolladores de complementos no siempre mantienen su código actualizado, esto a veces puede dejar brechas de seguridad no intencionales. Entonces, en teoría, es posible que alguien pueda agregar complementos a la biblioteca de WordPress con código malicioso. En otras palabras, un pirata informático puede revisar el código de un complemento, encontrar esos agujeros de seguridad involuntarios e insertar su propio fragmento de código que abusa del sitio web de una persona. Si bien esto rara vez sucede, puede suceder.
Así como depende de cada desarrollador de complementos administrar y mantener su respectivo complemento, depende de usted, como propietario del sitio web de WordPress, hacer su debida diligencia antes de instalar.
Como se mencionó anteriormente, PHP es un lenguaje de programación del lado del servidor. (Y da la casualidad de que gran parte de WordPress se ejecuta en PHP). Debido a que las nuevas versiones de código PHP se lanzan cada pocos meses, tener una versión desactualizada significa que se está abriendo a un posible ataque de malware.
¿Necesitas otra razón para actualizar? La actualización le ayuda a eliminar los complementos defectuosos que no son compatibles con la última versión de PHP. Si su respectivo complemento no es compatible con la última versión, simplemente puede bloquear su sitio web y hacer que no esté disponible para sus visitantes. En otras palabras, al estar al tanto de las últimas actualizaciones de PHP, continuará manteniendo seguro su sitio web de WordPress.
Ahora es un momento tan bueno como cualquier otro para hacer un inventario rápido de sus complementos de WordPress.
¿Tienes demasiados?
¿Tienes algunos que nunca has usado?
¿Tiene algunos que solo ha usado una o dos veces?
Si tiene complementos obsoletos (es decir, los que nunca usa), esta es una señal de bienvenida para los piratas informáticos. Si no ha deshabilitado la exploración de directorios para su carpeta wp-plugins , un simple rastreo les permite a estos posibles piratas informáticos encontrar archivos de origen de su antiguo complemento deshabilitado, solo para insertar un script malicioso y dejar que funcione hasta sus archivos principales .
Tenga en cuenta que los complementos también pueden ralentizar considerablemente su sitio web . De hecho, por cada complemento que agrega a su sitio web, más código se agrega al navegador web para procesar. A veces se debe a complementos mal codificados o que no son compatibles con su configuración actual. Cualquiera sea la razón, tener demasiados complementos hará que su sitio web tarde más en cargarse.
Así que recuerda, ¡menos es más! Ahora, en el futuro, no olvide tomar nota mental de lo siguiente:
Dado que los complementos desactualizados son una de las principales causas de ciberataques, asegúrese de configurar actualizaciones automáticas para evitar cualquier violación de código.
Aunque instalar docenas de fantásticos complementos de WordPress puede parecer tentador, intente resistir. Demasiados complementos pueden provocar una brecha en la seguridad de su sitio web, dejándolo completamente expuesto. Esto va desde el bloqueo de su sitio web hasta tiempos lentos de carga del sitio web , incluso ataques de malware PHP (preprocesador de hipertexto), en los que profundizaremos un poco más adelante.
Es por eso que estamos aquí, para brindarle una descripción general que lo ayude a determinar cuáles son confiables y cuáles debe omitir.
¿Son seguros los complementos de WordPress?
La belleza de WordPress , y su abrumador éxito al impulsar cerca del 40% de los sitios web en Internet , radica en su plataforma gratuita de código abierto.
Esto significa que cualquier usuario, ubicado en cualquier lugar, puede crear su propio código y cargar su complemento personalizado en la biblioteca de WordPress en constante expansión. Suena genial, ¿verdad?
En teoría, sí.
Sin embargo, este enfoque "por personas" significa que miles de complementos de WordPress (y sí, hasta cierto punto temas de WordPress) se crean en muy poco tiempo, a menudo sin pasar por rigurosos controles de calidad. Estas sencillas extensiones a menudo parecen atractivas, especialmente para aquellos que buscan una característica interesante o útil que aún no se ha creado.
Y debido a que estos códigos fuente de complementos son públicos en la biblioteca de WordPress y están escritos en PHP, un lenguaje de codificación simple, esto significa que cualquiera puede leerlo y modificar el código localmente una vez que lo haya descargado para su sitio web respectivo.
Debido a que los desarrolladores de complementos no siempre mantienen su código actualizado, esto a veces puede dejar brechas de seguridad no intencionales. Entonces, en teoría, es posible que alguien pueda agregar complementos a la biblioteca de WordPress con código malicioso. En otras palabras, un pirata informático puede revisar el código de un complemento, encontrar esos agujeros de seguridad involuntarios e insertar su propio fragmento de código que abusa del sitio web de una persona. Si bien esto rara vez sucede, puede suceder.
¿Pueden los complementos de WordPress ser peligrosos?
Intente imaginar que su sitio web de WordPress es el mismo que su teléfono inteligente de confianza. No instalarías cualquier aplicación allí, ¿verdad?
Lo mismo ocurre con cualquier complemento de WordPress que parezca demasiado bueno para ser verdad. Aunque no podemos ayudarlo a evitar todas las manzanas podridas dentro de los complementos de WordPress, podemos ayudarlo a ser más selectivo. Antes de descargar cualquier complemento, hágase las siguientes preguntas:
- ¿Cuántas instalaciones tiene este complemento?
- ¿La gente le está dando buenas críticas?
- ¿Se actualiza periódicamente?
- ¿Fue probado con la última versión de WordPress ?
- ¿Se responden las preguntas de soporte de manera oportuna?
- ¿Puede evitar el uso de un complemento agregando su propio fragmento de código en el sitio web que cubre la funcionalidad del complemento?
Así como depende de cada desarrollador de complementos administrar y mantener su respectivo complemento, depende de usted, como propietario del sitio web de WordPress, hacer su debida diligencia antes de instalar.
¿Qué es el malware PHP?
Como se mencionó anteriormente, PHP es un lenguaje de programación del lado del servidor. (Y da la casualidad de que gran parte de WordPress se ejecuta en PHP). Debido a que las nuevas versiones de código PHP se lanzan cada pocos meses, tener una versión desactualizada significa que se está abriendo a un posible ataque de malware.
¿Necesitas otra razón para actualizar? La actualización le ayuda a eliminar los complementos defectuosos que no son compatibles con la última versión de PHP. Si su respectivo complemento no es compatible con la última versión, simplemente puede bloquear su sitio web y hacer que no esté disponible para sus visitantes. En otras palabras, al estar al tanto de las últimas actualizaciones de PHP, continuará manteniendo seguro su sitio web de WordPress.
¿Qué pasa con los temas de WordPress?
Los temas de WordPress, en esencia, alteran la apariencia visual de su sitio web o blog, mientras que los complementos de WordPress alteran lo que puede hacer.
Sin embargo, para todos los efectos, los temas de WordPress son muy similares a los complementos de WordPress .
Ambos permiten que cualquiera cree su propio código de tema y muchos de los temas "gratuitos" personalizados tienen codificación base64 , que podría ocultar código malicioso. Desafortunadamente, esta es solo otra forma para que los piratas informáticos obtengan acceso a los archivos de su sitio web y carguen malware.
Sin embargo, los temas de WordPress se diferencian de los complementos de WordPress de varias formas:
- La creación de temas suele ser más complicada que la creación de complementos
- Los usuarios pueden instalar varios temas, pero solo se puede activar un tema a la vez
- Los temas suelen ser más ligeros en términos de almacenamiento que los complementos
Mantenga su sitio web de WordPress seguro
Ahora es un momento tan bueno como cualquier otro para hacer un inventario rápido de sus complementos de WordPress.
¿Tienes demasiados?
¿Tienes algunos que nunca has usado?
¿Tiene algunos que solo ha usado una o dos veces?
Si tiene complementos obsoletos (es decir, los que nunca usa), esta es una señal de bienvenida para los piratas informáticos. Si no ha deshabilitado la exploración de directorios para su carpeta wp-plugins , un simple rastreo les permite a estos posibles piratas informáticos encontrar archivos de origen de su antiguo complemento deshabilitado, solo para insertar un script malicioso y dejar que funcione hasta sus archivos principales .
Tenga en cuenta que los complementos también pueden ralentizar considerablemente su sitio web . De hecho, por cada complemento que agrega a su sitio web, más código se agrega al navegador web para procesar. A veces se debe a complementos mal codificados o que no son compatibles con su configuración actual. Cualquiera sea la razón, tener demasiados complementos hará que su sitio web tarde más en cargarse.
Así que recuerda, ¡menos es más! Ahora, en el futuro, no olvide tomar nota mental de lo siguiente:
- Solo instale los complementos que realmente necesita
- Instale solo complementos confiables
- Actualice siempre a las últimas versiones (¡esto también significa PHP!)
- Actualizar siempre el núcleo de WordPress
Dado que los complementos desactualizados son una de las principales causas de ciberataques, asegúrese de configurar actualizaciones automáticas para evitar cualquier violación de código.
Comments
Post a Comment