¿Qué tan seguro es WordPress en comparación con sus competidores?

Preguntar qué tan seguro es WordPress, incluso en comparación con sus competidores, es como preguntar “qué tan alto está ‘arriba’”

WordPress es un sistema de gestión de contenido, diseñado para permitir que las personas sin habilidades informáticas significativas proporcionen actualizaciones constantes a la información de un sitio web simplemente escribiendo y pegando en imágenes y similares. A medida que su popularidad se disparó, también lo hizo la cantidad de personas que intentaban instalarlo y administrarlo, y como resultado ahora es un sistema que puede ser instalado y operado por personas sin experiencia significativa también.

Ahí es donde surgen los problemas.

WordPress se basa en lo que llamamos la pila LAMP: Linux, el Servidor Apache HTTP, la base de datos MySQL y el lenguaje de programación PHP. Y también se ejecuta en algún servidor o servidor virtual en algún lugar, lo que agrega otra capa.

Si sabe lo que está haciendo, puede instalar Linux, endurecerlo para que solo ejecute el mínimo de cosas que necesita ejecutar, y que tenga iptables configuradas para bloquear y registrar todo el acceso que no sea necesario para permitir que su sitio funcione.

Luego puede instalar Apache y reducir su seguridad. Hay más de dos docenas de cosas que hago, desde deshabilitar la lista de directorios y deshabilitar los módulos DSO predeterminados hasta ejecutarlos como un usuario y grupo predeterminados. Todo lo que haces hace que el sitio sea mucho más seguro.

Una vez hecho esto, instala MySQL. O no. Si estoy ejecutando en AWS, normalmente hago girar una instancia de RDS en lugar de ejecutarla localmente en el mismo servidor. Obtendrá un rendimiento enormemente mejor al hacer esto. En cualquier caso, debe fortalecer su implementación de MySQL, y eso no es terriblemente fácil ni conveniente.

Hay casi tres docenas de pasos para fortalecer MySQL a lo que considero “niveles razonables de seguridad”, dependiendo de si está ejecutando una instancia local o una instancia RDS separada en AWS. Muchas pruebas para asegurarse de que al apretar las cosas, no haya roto las cosas.

Una vez que hayas hecho todo eso, ahora estás listo para instalar WordPress. El script de instalación predeterminado no funcionará si ha dividido MySQL a RDS, por lo que tiene algunos ajustes allí, pero una vez que tenga instalado WordPress, puede comenzar a protegerlo. Eso viene en cuatro partes.

Primero, tiene que arreglar la instalación principal, algo de eso es algo fácil, como “no use contraseñas estúpidas”, algo es más difícil como cambiar los prefijos predeterminados de la base de datos. En total, hay unas veinte cosas que debe hacer para asegurar la instalación central predeterminada.

En segundo lugar, necesita algunos complementos de seguridad. No puedo imaginar no ejecutar Wordfence, algún tipo de autenticación de dos factores y algún tipo de registro de actividad. La configuración y la configuración dependerán de lo que elija.

Tercero, necesitas respaldo. Como en “respaldar su sitio de WordPress a algo que no está en WordPress”. Existen varias soluciones, pero debe instalar y configurar una, y asegurarse de que al hacerlo no abra otros agujeros de seguridad.

Finalmente, necesita auditar su sitio regularmente. Preste atención a lo que le dicen los registros: solía tomar rutinariamente direcciones IP de actores malos y bloquearlas en la capa de Grupos de seguridad en AWS, por lo que nunca tuvieron la oportunidad de atacar el servidor, por ejemplo. Asegúrese de que el núcleo de WordPress esté actualizado. Asegúrese de que sus complementos y temas estén actualizados. Se asegura de que su software principal (Apache, MySQL, PHP, Linux) esté completamente actualizado y actualizado. Tenga en cuenta que al hacer estas actualizaciones, debe asegurarse de no crear una fuga inadvertidamente en su seguridad, ya que su configuración actual podría no ser exhaustiva, o podría no ser apropiada, para una actualización.

El nivel de complejidad que debe realizar depende de su caso de uso. Si tienes un blog de fanáticos para alguna franquicia de películas, no tienes mucha exposición. Si está ejecutando un blog con una parte solo de suscripción que tiene contenido que no desea poner a disposición de los no suscriptores, eso es un poco más complicado. Si ha integrado Shopify y está ejecutando un sitio de comercio electrónico completo fuera de WordPress (mucha gente hace eso, por cierto), eso es probablemente en el extremo superior de la escala.

Bien hecho, puede hacer que WordPress sea tan seguro como cualquier recurso de Internet disponible públicamente.

Hecho mal … no tanto.

WordPress es tan seguro como la contraseña más débil. Como con cualquier cosa, el error del usuario es donde se originan la mayoría de los problemas de seguridad.

Debido a que WordPress es respaldado por una empresa rentable cuya existencia depende de la reputación y la capacidad de la plataforma para proporcionar una experiencia estable y extensible, hay un equipo dedicado dedicado a parchear los agujeros de seguridad.

Debido a que WordPress ejecuta ~ 25% de Internet, millones de globos oculares encuentran agujeros de seguridad RÁPIDAMENTE.

Por el contrario, Drupal no tiene un equipo de seguridad dedicado, ni empleados asalariados. Está completamente dirigido por voluntarios. Esto significa que cuando se encuentra un agujero de seguridad, su empresa depende de un grupo de voluntarios para encontrar una solución después de llegar a casa del trabajo. (¡Es por eso que Drupal 8 se lanzó varios AÑOS tarde!) Y dado que Drupal solo admite ~ 2% de la web, menos usuarios pueden informar agujeros de seguridad, lo que significa que los agujeros pueden durar mucho más sin ser reparados.

Nunca confiaría mi negocio a una plataforma dirigida por un grupo de voluntarios sin ningún interés tangible y personal en la viabilidad continua de la plataforma. ¿Qué hay de tí?

En 2013, el 73% o los sitios de WordPress eran vulnerables a los piratas informáticos.

Hay pocas razones para creer que esta situación ha mejorado tanto, porque el entorno para las instalaciones de WordPress es menos que óptimo (esa es una descripción caritativa …). Además, los usuarios tienden a ser poco sofisticados con respecto a los problemas de seguridad e ignoran el valor de sus servidores para la comunidad de piratas informáticos (¿Por qué alguien querría piratear mi sitio “Amo a los cachorros”?)

Uno supondría que los competidores de WordPress estarían en el mismo barco.

Aparte de eso, WordPress puede ser más seguro en relación con sus competidores simplemente debido a su experiencia en parchear vulnerabilidades confirmadas y abordar una plaga de calzones.

WordPress debe instalarse en un servidor Linux reforzado con un DMBS debidamente asegurado. Uno debe instalar la última versión y parchear rápidamente cuando haya actualizaciones disponibles. Mire esos complementos, que vienen con sus propios problemas de vulnerabilidad.

Entonces WordPress es básicamente inseguro por defecto. No porque haya más problemas en el núcleo que en otras plataformas, sino porque permite ataques básicos por defecto. Cosas que están habilitadas por defecto:

1. La capacidad de encontrar publicaciones por ID de usuario (Detener la enumeración de usuarios en WordPress)
2. Sin control de inundaciones para intentos de inicio de sesión
3. Sin registro para intentos de inicio de sesión
4. Sin registro para inicios de sesión de usuario
5. La capacidad de modificar archivos directamente a través de la interfaz de usuario

Básicamente, el sistema, por defecto, permite a un atacante descubrir un nombre de usuario, realizar ataques de diccionario ilimitados en la página de inicio de sesión, no proporciona ninguna pista de auditoría y permite a un atacante exitoso modificar archivos y cargar shells web directamente a través de la interfaz de usuario. Ah, y dado que la función de contraseña está basada en hash y es bastante rápida, ni siquiera tiene el aumento de velocidad de un método de autenticación lento. La seguridad del sistema está literalmente a merced de la contraseña más débil. Es tan trivial que puede ser, y ha sido, automatizado.

Sí, hay formas simples de mejorarlos. Pero debe saber hacerlo o pagarle a alguien (tos, automático) para que lo aloje y lo evite.

Hola amigos,

Desde mi punto de vista, Webbazaar es un complicador para Word Press. Porque Webbazaar también tiene una opción para obtener sitios web basados ​​en diseño previo, con sus propios
plantillas diseñadas por los miembros del equipo de webbazaar.

Webbazaar CMS (sistema de gestión de contenido) es muy fácil de usar por cualquier cliente. Una persona no necesita ser técnicamente fuerte para usar este CMS.

Es una versión actualizada y cualquier cliente puede hacer los cambios en el contenido y las imágenes siguiendo las sencillas instrucciones.

Como el mercado está cambiando rápidamente, muchos clientes necesitan actualizar su sitio regularmente para que no pierdan ningún negocio potencial. Esta característica de CMS ayuda al cliente a hacer los cambios cuando quiera, siguiendo las instrucciones.

Webbazaar también tiene sus propias plantillas para cada categoría de negocios. Estas plantillas son muy profesionales y atractivas, por lo que cuando el sitio web está alojado, aparece como un sitio web completamente profesional y creativo según los requisitos del cliente.

Se brinda soporte completo de extremo a extremo a los clientes, para que estén 100% satisfechos con el servicio.

Obtener en línea. Ser advertido

–

No soy un experto en seguridad, por lo que alguien con más experiencia puede brindarle más detalles, pero esto es lo que sé.

WordPress es el CMS más popular y, como resultado, sufre la mayoría de los ataques. Esto los pone en desventaja para los competidores, porque el esfuerzo total dedicado a encontrar vulnerabilidades es, con mucho, el más alto para WP. Además, significa que hay más complementos y extensiones creados por terceros que sus competidores, y que a menudo se explotan para detectar vulnerabilidades.

Tienen un equipo de seguridad dedicado que está constantemente monitoreando y respondiendo a las amenazas, y estadísticamente, están en el mismo estadio que competidores como Drupal o Joomla.

En general, Drupal se considera más seguro, pero no es un amplio margen. En todos estos casos, hay un equilibrio entre la flexibilidad / usabilidad y la seguridad. Cuanto más quieras hacer posible, mayores serán las posibilidades de que alguien pueda encontrar una manera de explotarlo.

Es menos seguro entre sus competidores.

¿Por qué? … porque es el más popular entre sus competidores.

Seguridad es un término relativo, tan pronto como obtienes más popularidad, más ojos malvados están sobre ti.

… pero solo un truco puede hacerlo más seguro. Mantenga su código solo en formato legible y ejecutable (Chmod 555) y no permita ningún archivo ejecutable en la carpeta de carga.

Mira, es menos seguro, pero hacerlo un poco más seguro también es fácil 🙂

(Si mantiene sus archivos solo en readbale, entonces no podrá realizar actualizaciones de código o complemento desde la sección de administración, por lo que siempre que necesite actualizar la base de código o los complementos básicos, debe volver a escribir su base de código, no lo olvide para eliminar el permiso de escritura después de que haya terminado con las actualizaciones)

Pido disculpas por haber escrito esto basado en el producto / compañía y su posición general, no tanto en una definición tradicional de seguridad.

Squarespace y Wix parecen tener una ventaja de diseño sobre WordPress. Lo que he visto del trabajo más reciente de Go Daddy I

El primero (Squarespace y Wix), según mi mejor estimación, parece mucho más WYSIWYG y plug and play que WordPress.

WordPress quizás tenga una mayor flexibilidad, pero esa flexibilidad tiene un costo.

Para ser justos, WordPress parece mejor que blogger, pero no estoy seguro de que sea una barra particularmente alta.

Es tan seguro y vulnerable como los competidores. El núcleo es bastante sólido en cuanto a seguridad. Donde el riesgo tiende a entrar es con todos los desarrolladores de complementos, cuyas extensiones pueden o no ser seguras, o cuyas prácticas de seguridad han quedado en el camino porque el complemento no se ha actualizado con los cambios recientes.

Es un acto de equilibrio.