WordPress.com, la plataforma de publicación gestionada por Automattic, representa una de las principales puertas de entrada a Internet para millones de sitios web en todo el mundo. Su popularidad la convierte en un objetivo prioritario para los ciberdelincuentes, pero también en un referente en cuanto a medidas de protección. En esta entrevista, José Ramón Padrón, responsable de crecimiento de comunidades hispanohablantes en Automattic, analiza las amenazas más comunes que afectan a los sitios WordPress, la evolución de la ciberseguridad en este entorno y las mejores prácticas que deben adoptar tanto usuarios como desarrolladores para mantener sus proyectos protegidos.
Según los datos recientes, WordPress.com bloquea 480.000 peticiones maliciosas por minuto a nivel global. ¿Cuáles son las amenazas más comunes a las que se enfrentan los sitios en WordPress?
Las amenazas más comunes a las que se enfrentan los sitios en WordPress tienen que ver principalmente con vulnerabilidades en plugins y el uso de contraseñas débiles. En los últimos meses, nuestro Web Application Firewall (WAF) ha bloqueado más de 480.000 peticiones maliciosas por minuto a nivel global.
“Nuestro Web Application Firewall (WAF) ha bloqueado más de 480.000 peticiones maliciosas por minuto a nivel global”
La principal fuente de riesgo sigue siendo la falta de actualización en plugins y temas, sobre todo cuando se trata de desarrollos de terceros o versiones ‘nulled’ que incluyen puertas traseras. Por eso, en WordPress.com hemos reforzado las protecciones automáticas, incluyendo actualizaciones de seguridad sin intervención manual, y escaneos constantes de vulnerabilidades.
Por otro lado, el uso de contraseñas débiles y la falta de autenticación multifactor también abren la puerta a accesos no autorizados. Aunque representan un menor porcentaje de los casos, siguen siendo una amenaza que no debemos subestimar.
Desde WordPress.com apostamos por una seguridad gestionada de forma integral: cifrado, enlaces de un solo uso para restablecimiento de contraseñas, firewalls, copias de seguridad automáticas y certificación SSL, todo con el objetivo de que nuestros usuarios puedan centrarse en su contenido sin preocuparse por su seguridad.
El informe WPScan 2024 menciona que las vulnerabilidades en plugins y temas son el mayor riesgo de seguridad. ¿Por qué ocurre esto y cómo pueden los administradores de sitios protegerse mejor?
Como en cualquier otro tipo de software, cuando éste no es mantenido por sus creadores y deja de recibir actualizaciones y parches de seguridad, suele generar brechas de seguridad ante la aparición de nuevas vulnerabilidades. Por otro lado, cualquier software no actualizado suele presentar problemas de compatibilidad con nuevas tecnologías, lo que impide integrar medidas de seguridad más avanzadas.
Hay decenas de miles de plugins y temas disponibles para WordPress, y no todos siguen los mismos cánones de calidad en el código, o estándares de seguridad. Otros no se actualizan con la frecuencia necesaria. También se producen ataques en instalaciones WordPress que usan software pirateado, ya que suelen incluir puertas traseras que los atacantes aprovechan para instalar malware, robar datos, etc…
“El uso de plugins pirateados es absolutamente innecesario”
Entre otras muchas acciones, los administradores no tienen más que tener actualizado a la última versión todos los componentes de esa instalación, desde el servidor hasta la instalación WordPress, securizado tanto el acceso al escritorio, como el backend, y mantener una política de copias de seguridad efectiva. Actualmente, esto es muy sencillo ya que los proveedores de hosting de servicios gestionados como WordPress.com, facilitan todo lo necesario para blindar sus instalaciones WordPress, así como herramientas de escaneo de ficheros, copias de seguridad en tiempo real, y actualizaciones automáticas de todo el software, de forma que nada queda al azar.
¿Hasta qué punto el uso de plugins pirateados o «nulled» representa un peligro para la seguridad de un sitio web?
El uso de software pirateado tiene implicaciones no únicamente éticas por parte del usuario, o económicas para los creadores de software, sino que también tiene graves consecuencias de seguridad, ya que con frecuencia incluyen puertas traseras, scripts o virus ocultos, que dejan completamente indefenso al responsable de la web ante todo tipo de fechorías. También existe el riesgo de que los buscadores marquen tu web como insegura, afectando seriamente a la reputación de tu sitio.
El uso de plugins pirateados es especialmente frustrante en el ecosistema WordPress porque la mayoría de los plugins de pago tienen precios asequibles en comparación con otras muchas plataformas, con varias opciones tanto en periodicidad, como medios de pago, y no se entiende que el creador de una web tenga que usar este tipo de software salvo por falta de profesionalidad, o ignorancia. Es absolutamente innecesario.
¿Cuáles son las mejores prácticas que un administrador de WordPress debe seguir para proteger su sitio frente a ciberataques?
Hay una serie de prácticas que son comunes a cualquier CMS o cualquier software en el mercado, muchas de sentido común. Por ejemplo disponer de todo el software de la instalación actualizado, incluyendo el núcleo de WordPress, plugins, y temas, uso de certificados LTS/SSL, proteger el acceso con el uso de contraseñas fuertes, la implementación de doble factor de autenticación, escaneo de ficheros, revisar los permisos de ficheros y carpetas, uso de firewall web con reglas actualizadas, y disponer de copias de seguridad fiables en la periodicidad correcta y forma. Con esta lista de buenas prácticas es muy difícil que un ciberdelincuente tenga alguna posibilidad de tener éxito en su actividad.
Aunque parece una lista larga de tareas, la gran mayoría de estas prácticas son facilitadas a través de servicios y funcionalidades incluidas en los servicios de hosting y el propio WordPress. Por lo que casi podemos decir que una excelente práctica sería la de escoger un buen servicio de hosting, ya que nos ahorrará mucho tiempo en estas tareas.
Lógicamente, se puede ir más lejos en cuanto a medidas de seguridad, como accesos restringidos al escritorio de WordPress por IP, y configuraciones de la propia instalación como deshabilitar la edición de archivos desde el panel de WordPress, cambiar el prefijo de la base de datos, desactivar funciones como el XML-RPC, o limitar el número de intentos de login para mitigar ataques de fuerza bruta. Muchos usuarios usan además plugins específicos para seguridad WordPress, que aunque no son críticos para el mantenimiento, si tienen checklists que te permiten saber cuál es tu grado de seguridad y es muy útil para usuarios menos experimentados.
¿Cómo se puede fomentar una cultura de actualización entre los usuarios de WordPress?
La mejor acción a este respecto la ejecutan los proveedores de hosting con sus sistemas de actualizaciones automáticas y sus notificaciones al respecto. Proveedores de hosting como WordPress.com siguen a rajatabla los calendarios de actualización de los componentes de los sitios web de sus clientes, y les avisan con antelación suficiente de la próxima actualización, obligando así a los administradores a revisar periódicamente el estado de sus proyectos.
“Desde WordPress.com apostamos por una seguridad gestionada de forma integral”
Lo cierto es que desde la versión 3.7, las actualizaciones en WordPress son automáticas de forma nativa para versiones menores del núcleo. A partir de la 5.5 también es posible activar actualizaciones automáticas para plugins y temas desde el escritorio y da la opción de escoger el habilitar o no esa automatización para cada plugin o tema de tu instalación. Los proveedores de hosting además suelen añadir funcionalidades que permiten posponer durante un limitado tiempo las actualizaciones automáticas, y además facilitan copias de seguridad extra para ser utilizadas en el caso de que haya que revertir la actualización por cualquier razón.
La autenticación multifactor (MFA) se menciona como una medida clave para prevenir accesos no autorizados. ¿Cree que su adopción en WordPress es suficiente o aún hay muchas cuentas desprotegidas?
No existe un porcentaje oficial de uso de MFA en el mundo WordPress, pero considerando que es el CMS más usado a nivel mundial, seguro que ese porcentaje de uso es bajo aunque sea una funcionalidad muy recomendada y existan multitud de plugins gratuitos que la proporcionan.
Afortunadamente, muchos proveedores de hosting como WordPress.com incluyen de forma nativa la autenticación en dos pasos a través del móvil y el uso de una clave de seguridad física como segundo factor de verificación sin necesidad de instalar plugins adicionales.
¿Qué medidas cree que pueden adoptar los administradores de sitios para detectar intentos de acceso no autorizado?
Existen multitud de herramientas, servicios y plugins que monitorizan intentos de inicio de sesión, actividades sospechosas en la instalación WordPress, y que automáticamente bloquean IPs cuyo tráfico sea sospechoso. Detectar y mitigar accesos no autorizados es posiblemente una de las tareas de seguridad más sencillas de gestionar correctamente ya que la mayoría de los proveedores de hosting incluyen esta funcionalidad por defecto en sus servicios. Si a esta monitorización básica le añade el uso de contraseñas fuertes, el uso de MFA, y una limitación en el número de intentos de login, y realizar una auditoría de los usuarios activos en tu instalación WordPress, es prácticamente imposible que se produzcan este tipo de intrusiones.
Con el aumento de ataques automatizados, ¿cómo ve la evolución de la ciberseguridad en plataformas como WordPress en los próximos años?
En todos los entornos, y WordPress no es una excepción, la inteligencia artificial sigue optimizando la ciberseguridad, fortaleciendo sistemas de detección, análisis y respuesta. Pero los ciberdelincuentes también evolucionan, perfeccionando técnicas cada vez más sofisticadas para superar estas defensas. Este escenario refleja una dinámica en la que tanto las herramientas de protección como los métodos de ataque avanzan simultáneamente. Además, el factor humano continuará siendo el eslabón débil en la cadena de seguridad, desde errores operativos hasta la falta de conciencia sobre riesgos como el phishing.
El desafío principal para el ecosistema WordPress serán los ataques impulsados por IA. Por lo que la adopción de herramientas basadas en IA como JetPack AI assistant, entre otras, con funciones avanzadas de detección de amenazas y respuestas automáticas serán clave para la gestión y mantenimiento de los sitios WordPress. Por otro lado, WordPress, siendo una de las plataformas más utilizadas globalmente, es un blanco frecuente para actores malintencionados, lo que exige una preparación constante en temas de seguridad para los administradores de sitios web.
“El ecosistema WordPress deberá prepararse ante ataques impulsados por inteligencia artificial”
¿Cómo pueden los desarrolladores de plugins y temas contribuir a mejorar la seguridad del ecosistema WordPress?
Todos los plugins disponibles para WordPress y que tienen presencia en su repositorio principal, pasan un test de seguridad bastante efectivo tanto a la hora de publicarlo por primera vez, como en sus posteriores actualizaciones. No solamente existe documentación específica para desarrolladores respecto a los cánones que cualquier plugin WordPress tiene que seguir para poder ser publicado, también hay un equipo de desarrolladores expertos voluntarios que revisa la calidad del código de todos y cada uno de los plugins del repositorio.
Seguir la documentación oficial, insistir en la validación y saneamiento de los datos de entrada y salida, utilizar las funciones nativas de WordPress para la gestión de permisos, así como publicar actualizaciones regulares y facilitar una respuesta rápida en soporte y ante posibles fallos de seguridad son las claves para contribuir no sólo al desarrollo y buen estado de tu plugin, sino que además contribuyes a mejorar la seguridad del ecosistema WordPress en general.
¿Cree que en el futuro WordPress debería imponer más restricciones o requisitos de seguridad para la instalación de plugins y temas de terceros?
Con la llegada de la IA, y teniendo en cuenta que las amenazas, así como las soluciones serán cada vez más sofisticadas, nos lleva a un escenario en el que cada vez habrá mayores restricciones y requisitos para poder publicar plugins en el repositorio oficial de WordPress. El trabajo del equipo de plugins tiene reconocimiento mundial por esta labor, y Automattic, así como como WordPress.com contribuimos al proyecto WordPress para que sea la mejor plataforma de publicación y siga manteniendo estos cánones de calidad, su gratuidad como producto Open Source, y la facilidad de uso que han permitido que WordPress llegue al 45 % de todo Internet.
