¿Por qué WordPress es un objetivo popular para los hackers?

WordPress es un objetivo popular:  WordPress es el CMS más popular en el mundo con más del 30% de los sitios web globales.

Ya sea una pequeña empresa o una gran empresa, cualquiera que piense en construir un sitio web considerará WordPress. Y por una buena razón también porque es un software de código abierto, es personalizable y respaldado por una comunidad global activa. Pero tal popularidad también pone un objetivo en la parte superior.

¿Qué tan popular es WordPress exactamente?

Para comprender el alcance de WordPress, echemos un vistazo a algunas de las estadísticas. En este momento hay 75 millones de sitios web de WordPress en Internet. Y según W3Techs, se crean 714 nuevos sitios WP cada día.

Demuestra el alcance de WordPress que siempre se está expandiendo. Ha sido nombrado el sistema de administración de contenido (CMS) de más rápido crecimiento durante 8 años consecutivos. Esto demuestra que WordPress no desaparecerá en el corto plazo.

Para comprender el rápido crecimiento de WordPress, debemos entender que es una receta de éxito no tan secreta. Su naturaleza de código abierto lo hace transparente, cualquiera puede aprender cómo usarlo de manera efectiva.

Lo que lo hace mejor que otras plataformas de creación de sitios web de código abierto como Drupal y Joomla es su simplicidad. WordPress está diseñado para ser fácil de usar, especialmente para personas sin ningún conocimiento técnico.

WordPress se lanzó por primera vez en 2003 y, como proyecto de código abierto, agradecieron la contribución de las personas con el objetivo de satisfacer diferentes necesidades.

Pronto una comunidad giró alrededor de la plataforma y es una de las razones clave detrás de la popularidad de la plataforma. En los últimos 15 años, la comunidad de WordPress ha crecido en número, lo que ha ayudado a WordPress a ser aún más popular. Pero tal popularidad hace que WordPress sea un objetivo obvio.

Razones para ser un objetivo obvio

Cuando se lanzó WordPress como plataforma de publicación, cualquier persona con un poco de conocimiento técnico podría utilizarlo. Con la entrada de WordPress, la creación de sitios web ya no era un privilegio limitado a los desarrolladores web. Esto hizo que la plataforma fuera muy popular.

Pero WordPress dio un paso adelante e invitó a las personas a contribuir con su código. La gente se unió al carro y surgió una comunidad. Los complementos como temas y complementos hicieron que la plataforma fuera personalizable y más funcional, lo que agregó combustible a su popularidad.

De esta manera, WordPress saltó a la fama y llamó la atención de la comunidad de hackers.

Las estadísticas de W3Techs muestran que, de todos los sitios web del mundo, el 48,1% no utiliza un sistema de gestión de contenido. Y del resto, WordPress es el CMS preferido utilizado por el 31.1% de los sitios web.

No es sorprendente que con la popularidad logre un alcance generalizado, por eso tenemos actores que venden productos para empresas. El producto X se venderá mucho mejor si lo anuncia un actor popular que si lo promocionara una persona al azar.

No obstante, uno no solo llama la atención del público objetivo sino también de los agentes con intención maliciosa. Dado que el CMS está siendo tan ampliamente utilizado, los hackers buscan vulnerabilidades que los ayudarán a ingresar en cientos de miles de sitios web. Apuntar a sitios de WordPress garantiza que podrán dañar más sitios web que si se dirigieran a otros CMS menos populares.

Sacando ventaja

Para aprovechar al máximo los intentos de hacking, hackers a menudo automatizan el proceso. Raramente los hackers se dirigen y hackean manualmente un sitio web.

Programan bots para encontrar y explotar una vulnerabilidad en los sitios web de WordPress. Luego, los bots replican el proceso en otros sitios web con el mismo tipo de vulnerabilidad.

Supongamos que hay una vulnerabilidad en un complemento. Debido a la naturaleza de código abierto de WordPress, la vulnerabilidad se hace pública muy pronto. Si los hackers aprenden rápidamente a explotar la vulnerabilidad antes de que los desarrolladores del complemento puedan lanzar un parche, entonces miles de sitios podrían ser víctimas de ataques de hacking.

Muchas veces los sitios web se ven comprometidos porque los sitios no están actualizados. Una vez que los desarrolladores lanzan un parche a una vulnerabilidad, corresponde a los propietarios del sitio actualizar el complemento que solucionará la vulnerabilidad. De lo contrario, el sitio es vulnerable a un ataque de hacking común. Como era de esperar, los temas y complementos obsoletos son la causa número uno detrás de los sitios web hackeados.

Podemos desglosar las razones exactas de por qué los sitios web de WordPress son el objetivo principal de los intentos de hacking en tres partes: 1. Amplio alcance, 2. Base de usuarios de WordPress y, 3. Los desarrolladores. Profundicemos un poco más para comprender cada uno de estos puntos.

Razón 1 – El amplio alcance garantiza más oportunidades para causar daños

Según WordPress, más de 409 millones de personas ven más de 21.9 mil millones de páginas de WordPress cada mes. Esto hace de WordPress una plataforma perfecta para explotar.

Supongamos que un grupo de hackers políticos quisiera promover su agenda política. Explotar los sitios web de WordPress los ayudará a llegar a una gran audiencia.

Dicho esto, diferentes comunidades de hacking tienen diferentes razones para lanzar intentos de hacking. Dependiendo del tipo de ganancias que los hackers estén buscando, el alcance del daño puede variar. Empero, el hecho es que, con cada exploit, los hackers tienen como objetivo ganar tanta visibilidad, extraer información o utilizar tantos recursos como sea posible.

Por lo tanto, los hackers buscan vulnerabilidades que afectarán la cantidad máxima de sitios. Tomemos, por ejemplo, el caso TimThumb (era un complemento de cambio de tamaño de imagen).

Como era una herramienta popular, muchos temas ofrecían TimThumb como parte de su paquete. Esto significa que no tienes que instalar TimThumb por separado. Se instala cuando instala el tema en tu sitio.

Obtener herramientas de paquete puede parecer atractivo, pero muchos propietarios de sitios no saben qué herramientas específicas obtienen en el paquete. Cuando TimThumb fue víctima de un exploit, varios sitios fueron hackeados porque los propietarios del sitio no sabían que había un código malicioso en su sitio. Elegir explotar herramientas (complementos) o CMS que tiene un amplio alcance ayuda a maximizar el rango de daño.

Razón 2 – Los usuarios de WordPress no suelen dar mantenimiento al sitio

Dado que es tan fácil crear un sitio web con WordPress, atrae a todo tipo de usuarios. Aunque está diseñado para ser fácil de usar, mantener la seguridad de un sitio de WordPress requiere atención a los detalles y vigilancia.

Muchos propietarios de sitios web no están listos para dedicar el esfuerzo y el tiempo necesarios para mantener su sitio seguro. Algunos ni siquiera son conscientes de los riesgos que implica porque un producto popular debe ser seguro, o de lo contrario no será tan popular.

La comunidad se enfoca en hacer que WordPress pueda ser utilizado por personas sin experiencia técnica. Por lo tanto, el mantenimiento del sitio requiere cierta idea de los conceptos básicos de un sitio de WordPress.

Por ejemplo, actualizar los complementos y los temas es la precaución de seguridad más recomendable, pero muchas actualizaciones pueden dañar un sitio. Si uno se familiariza con la forma de probar las actualizaciones antes de realizarlas en el sitio, es posible que te salve de muchas molestias.

Una gran parte de los propietarios de sitios de WordPress no tienen conocimiento técnico y no se preocupan por aprender cómo mantener sus sitios web. Esto los convierte en un blanco fácil.

Los hackers en estos días no están empecinados solo con grandes sitios web. También han ideado formas de explotar sitios pequeños. Esto significa que, si posees un sitio web pequeño, tienes una probabilidad de ser atacado tanto como cualquier otro sitio.

Esta es la razón por la que tiene sentido usar un complemento de seguridad. Si no tienes tiempo para aprender a administrar un sitio, ¿por qué no automatizar el proceso mediante el uso de una solución de seguridad?

Razón 3 – Diferentes tipos de desarrolladores

Como resultado de su filosofía de código abierto, WordPress tiene varios desarrolladores que contribuyen a su código. Atrae tanto a expertos como a novatos, lo que deja margen para el error. 

Por supuesto, hay pautas, recursos útiles (como WordPress Codex, foros, etc.) que las personas pueden seguir. Empero no hay garantía de que los colaboradores realmente los sigan. Con cientos de miles de contribuyentes distribuidos en todo el mundo, no hay forma de monitorear a todos y cada uno de ellos.

WordPress mantiene un registro público de todas las vulnerabilidades y sus parches. Cualquiera que quiera estudiar una vulnerabilidad y cómo trabaja puede acceder fácilmente a ella. Con esta información, los hackers pueden explotar sitios web que aún conservan esas vulnerabilidades.

Entonces, ¿qué tan seguro es WordPress?

Ahora que conoces mejor WordPress, es natural preguntarse si WordPress es una plataforma segura.

Es una pregunta difícil sin respuesta definitiva. Todas las cosas que discutimos anteriormente no hacen que WordPress como plataforma sea inseguroPero está claro que WordPress funciona en un ecosistema (donde uno puede usar complementos y temas) que son en parte responsables de su popularidad. También son responsables de hacer que el CMS sea susceptible a los intentos de hacking.

Para garantizar la seguridad de tu sitio de WordPress, debes educar a tus administradores sobre cómo usar WordPress correctamente.

Aquí hay un buen recurso para los tutoriales de WordPress, debes tomar precauciones y mantenerte alerta

Dicho esto, también es cierto que no existe un sitio web completamente seguro. La seguridad nunca es absoluta, por lo tanto, el objetivo de las medidas de seguridad es reducir las posibilidades de una violación de seguridad.

Mantener actualizado tu sitio web contribuirá en gran medida a mantener a raya a los hackers.

Otro paso importante a seguir es instalar un complemento de seguridad que escanee tus sitios web de WordPress diariamente. Si tu sitio es hackeado, el complemento te ayudará a limpiar tu sitio. Incluso se asegurará de que tu sitio web esté protegido contra futuros ataques de hacking.