Jugar a Whack-a-Mole con la seguridad de WordPress

Asegurar un sitio web en la actualidad (incluso uno pequeño) es cada vez más difícil. Y si está utilizando WordPress, también podría tener una gran diana en la espalda. Entre gente nefasta y bots implacables, cada minuto de cada día se ha convertido en un campo de batalla.

La parte realmente sorprendente de esto es que puedes hacer prácticamente todo lo correcto y aun así terminar con un sitio pirateado. Continúe y mantenga sus complementos y temas actualizados. Ejecute un complemento de seguridad o coloque otras barreras de entrada. Haga todo eso y aún puede encontrarse en una posición comprometida.

Recientemente, descubrí este hecho duro por mí mismo. Ayudé a un colega con un sitio que enfrentaba numerosos problemas, a pesar de que pensábamos que estábamos haciendo las cosas de la "manera correcta". Me inspiró a sentarme y pensar en la experiencia. Con eso, aquí hay algunos pensamientos sobre lo que aprendí y algunas teorías sobre los pasos adicionales que podemos tomar para proteger mejor un sitio web de WordPress.

El pasado puede perseguirte

El núcleo, los complementos y los temas de WordPress tienen sus propias fallas de seguridad. El núcleo generalmente se repara rápidamente, mientras esperas y rezas para que los complementos y los temas reciban el mismo tipo de tratamiento. Pero como hemos visto, tapar agujeros no siempre es suficiente.

Si su sitio se creó hace algunos años, es posible que haya estado sujeto a vulnerabilidades que ni siquiera conocía. Tal vez estaban parcheados... o tal vez no. Incluso si el problema se ha solucionado, es posible que su sitio haya estado expuesto durante un período de tiempo hasta que instaló un parche o eliminó un elemento por completo. ¿Qué pasó en el tiempo entre? Es posible que no lo descubras durante bastante tiempo.

Por ejemplo, mientras revisaba ese sitio problemático que mencioné anteriormente, se encontraron archivos maliciosos en el directorio /wp-includes/. Cada uno eran archivos .php que imitaban el nombre y la fecha de modificación de otros archivos legítimos en ese directorio. Ahora, es posible que los archivos fueran de alguna manera retroactivos para que pareciera que habían estado allí todo el tiempo. Pero tomándolo al pie de la letra, parecería que tenemos un caso de malware inactivo. Al igual que un virus informático que entrega una carga útil en una fecha y hora específicas, este código malicioso puede haber "recibido la llamada" para entrar en acción.

El punto es que tener el complemento incorrecto instalado en el momento equivocado puede causarle dolores de cabeza en el futuro. Mantenerse actualizado es una gran estrategia, pero no es infalible. Solo ver el puñado de complementos que distribuyen intencionalmente código malicioso muestra que estás en un catch-22.

Un paisaje en constante cambio

Si me preguntan, creo que muchos de nosotros diríamos que somos mejores en nuestro trabajo ahora que hace unos años. Aprendemos, evolucionamos y aplicamos ese nuevo conocimiento a nuestro trabajo. Como tal, nuestras elecciones al construir un sitio web también evolucionan. Las herramientas y técnicas que utilizamos rara vez son las mismas año tras año.

WordPress y su ecosistema pasan por este mismo proceso, pero a un ritmo mucho más rápido. El complemento imprescindible de ayer puede convertirse en polvo mañana. Una sola actualización torpe puede alejar a los usuarios en masa.

Por lo tanto, un sitio que creó hace unos años y entregó a un cliente bien podría estar ejecutando complementos que no pensaría usar hoy. Como dice el viejo refrán: "Fuera de la vista, fuera de la mente".

Se necesita cierto grado de vigilancia para asegurarse de que no solo está usando las últimas versiones, sino también reemplazando elementos que ya no son la mejor opción. Desafortunadamente, ese tipo de atención constante no siempre es práctico para muchos diseñadores. No siempre tenemos el tiempo y los clientes no siempre tienen el presupuesto para dedicarse a esto. Sin mencionar el hecho de que reemplazar un complemento puede ser una tarea bastante grande en algunos casos. Un tema puede ser aún más difícil.

En realidad, todo es como un juego gigante de golpea un topo. A veces parece que tu única defensa es estar listo con el mazo en la mano, listo para golpear a la próxima criatura que aparezca. Tiene que haber una mejor manera.

¿Qué más podemos hacer?

Por lo tanto, aplicamos actualizaciones periódicamente y aplicamos medidas de seguridad adicionales. Usamos contraseñas seguras y tratamos de hacer que el acceso no autorizado a nuestro sitio sea lo más difícil posible. Sin embargo, todavía nos enfrentamos a ataques constantes, algunos de los cuales pasan.

Admito que no soy el máximo experto en seguridad. Pero tengo algunas ideas sobre los pasos adicionales que podemos tomar para mantener nuestros sitios libres de malware y similares. Tal vez algunos estén un poco descabellados, pero mi esperanza es provocar una discusión en lugar de salvar a toda la humanidad.

Auditorías de complementos
Esto es algo que podemos hacer nosotros mismos de forma rutinaria y, de hecho, cobrar a los clientes. La idea es revisar de forma rutinaria (quizás 2 o 3 veces al año) qué complementos están instalados y descartar los potencialmente problemáticos. Busque complementos que se consideren abandonados (sin actualizaciones durante al menos dos años) o eliminados del Repositorio de complementos de WordPress por completo. Luego, haga reemplazos cuando sea necesario.

Acceso a mejor información
Aún mejor sería un servicio a gran escala que nos mantenga informados sobre qué complementos son antiguos/maliciosos/eliminados. Los desarrolladores y propietarios de sitios podrían beneficiarse enormemente de tener este tipo de recurso al alcance de la mano. El simple hecho de saber lo que sucede dentro del ecosistema de WordPress puede ayudarnos a evitar más problemas.

Tome decisiones más sabias
A menudo tomamos lo que creemos que son las mejores decisiones en ese momento en particular. Pero lo podemos hacer mejor. Por ejemplo, elegir un complemento a menudo se trata de encontrar la solución más rápida a un problema. Pero la solución más rápida no siempre es la mejor. Verificar la calidad de los complementos debería ser tan importante como su funcionalidad. No siempre lo haremos bien, pero mirar los registros de cambios y los foros de soporte puede ser de gran ayuda para tomar decisiones.

entender el juego
Cuando lanzamos un sitio recién construido, eso no significa que nuestro trabajo haya terminado. Para mantener las cosas seguras, debemos seguir prestando atención a lo que sucede. Parte de eso puede ser el uso de complementos de seguridad automatizados que nos envían un correo electrónico cuando algo anda mal. Pero también se trata de echar un vistazo manualmente de vez en cuando. Revise el tablero de WordPress y también revise la estructura de archivos del sitio para buscar cualquier cosa sospechosa.

Alojamiento proactivo
Me gustaría pensar que la mayoría de los servidores web hacen de la seguridad una prioridad máxima. Pero eso no significa que no haya margen de mejora. Según mi propia experiencia, parece que los hosts a menudo reaccionan a los problemas después de que han ocurrido. Creo que podríamos beneficiarnos de hosts que sean más proactivos en su enfoque de la seguridad. Por ejemplo, alertar a los clientes sobre información sobre las últimas amenazas de seguridad y cómo fortalecer su sitio contra ellas.

Capacitar a los clientes
Por último, es importante capacitar a los clientes sobre lo que se debe y no se debe hacer con WordPress. Si acceden al back-end del sitio, deben conocer los riesgos potenciales de instalar complementos o dar información de su cuenta a otros. Tienen un papel importante que desempeñar para mantener su propio sitio sano y salvo.

Siempre un objetivo

WordPress es tan ampliamente utilizado que no es de extrañar por qué se ha convertido en un objetivo para los piratas informáticos. Desafortunadamente, esto es algo que viene junto con todo ese gran éxito.

Por eso, todos debemos subir de nivel en lo que respecta a nuestras prácticas de seguridad. Idealmente, eso significa revisiones regulares del sitio y, lo que es más importante, acceso a información crítica. El conocimiento es la clave para cualquier desafío. Sin él, estaremos atrapados para siempre jugando ese juego de carnaval.