Por qué es tan importante actualizar tus sitios de WordPress

Tiempo de lectura aprox: 3 minutos, 27 segundos

Por qué es tan importante actualizar tus sitios de WordPress.

Como estos días parece que hay mucho tiempo, ocurren cosas curiosas.

Recibí hace unas horas una llamada de mi hermano, en la que comentamos muchas cosas (vivimos en países distintos) y entre ellas, me comentó que quería dedicar un poco de tiempo a su sitio web (con WordPress, por supuesto).

Así que me conecté a su sitio para ver el estado de las cosas y darle las indicaciones que me había pedido.

Una de las cosas a destacar inmediatamente, fue la falta de actualización de varios plugin y del Tema.

Además de echarle la bronca o «darle la chapa», me decidí a escribir esta entrada para indicarle.

Por qué es tan importante actualizar tus sitios de WordPress

El sitio de mi hermano, tiene un servicio de suscripción para sus lectores y, siguiendo mi sugerencia, tiene instalado uno de los mejores plugins para este propósito.

Como indiqué en 10 de los mejores Plugins gratuitos para WordPress, el plugin Ultimate Member es el plugin de membresía y perfil de usuario n°. 1 para WordPress.

Voy a usar este plugin como ejemplo.

Porqué necesitas actualizar

Al igual que en tu ordenador de sobremesa o portátil, de vez en cuando hay que hacer actualizaciones de software que contiene.

Si eres usuario de las ventanas, estarás acostumbrado a esperar mientras un letrero en la pantalla te dice eso de «Actualizando. 0% completado. No apague su equipo.» y, esperar y, esperar …

Estas actualizaciones podrían ser por una variedad de razones para WordPress, la razón principal son las correcciones de errores y, lo que es más importante, las correcciones de seguridad.

Los hackers de sombrero blanco y las compañías de seguridad recopilan una gran cantidad de información y analizan activamente WordPress, plugins y temas para detectar problemas de seguridad.

Cuando encuentran un fallo, se comunican con los desarrolladores con detalles del problema y les piden que solucionen el error. Solo una vez que se haya lanzado el parche, se publicarán los detalles de lo encontrado.

Sin embargo, este no es siempre el caso y no es raro que un fallo se publique antes de que se desarrolle un parche. Si el desarrollador no parchea el plugin, WordPress puede cerrar el plugin, lo que significa que no se puede descargar desde el repositorio del complemento, pero esto viene con un conjunto diferente de problemas.

Como dije, usaré el plugin Ultimate Member como ejemplo, no porque sea especialmente grave ni significativo, pero me viene a la cabeza un caso ocurrido no hace mucho tiempo.

Además, es un caso ya detallado, conocido y solucionado 😉

No hace mucho, me encontré con el siguiente aviso de seguridad:

The Ultimate Member plugin version 2.0.45 and lower is affected by multiple vulnerabilities, among them is a critical vulnerability allowing malicious users to read and delete your wp-config.php file, which can lead to a complete website takeover.

Cuya traducción podría ser: «El plugin Ultimate Member versión 2.0.45 y versiones anteriores se ven afectadas por múltiples vulnerabilidades, entre ellas hay una vulnerabilidad crítica que permite a los usuarios malintencionados leer y eliminar el archivo wp-config.php, lo que puede conducir a una captura completa del sitio web».

Esto significa que si tienes un sitio de WordPress con el plugin Ultimate Member con una versión anterior a la versión 2.0.46 instalado, el sitio tiene una vulnerabilidad crítica y todos los piratas informáticos saben cómo atacarlo.

El problema con este plugin fue detectado por la empresa de seguridad «Sucuri» e informado a los desarrolladores que lanzaron un parche.

La línea de tiempo a continuación sobre cómo «Sucuri» notificó éticamente a los desarrolladores y esperó a que lanzaran un parche antes de informar al mundo fue:

  • 7 de mayo de 2019 divulgación inicial.
  • 8 de mayo de 2019 Parche parcial lanzado (2.0.45).
  • 10 de mayo de 2019 Parche completo lanzado (2.0.46)
  • 13 de mayo de 2019 Detalles publicados.

No siempre es posible que el desarrollador solucione el problema, puede haber dejado de desarrollar el plugin o simplemente no ser consciente de que hay un problema.

Cuando esto sucede, WordPress puede cerrar el plugin para detener nuevas descargas e instalaciones. Sin embargo, si se publican detalles del fallo de seguridad, entonces el plugin debe eliminarse de tu sitio lo antes posible.

Cómo usan los crackers la información obtenida

Los crackers o los hacker de sombrero negro, siguen a las mismas compañías de seguridad que nosotros, reciben las mismas alertas que nosotros para que saber qué buscar y cómo atacar el sitio.

Por ejemplo, los detalles completos del fallo de «Ultimate» se pueden encontrar en la web para que los piratas informáticos solo modifiquen sus «bot» para verificar la vulnerabilidad.

Mi hermano, al igual que muchas otras personas, aduce como respuesta: «Mis clientes son pequeños, nadie querrá piratear mi sitio web»

No importa cuán grande o pequeño sea el sitio, los piratas informáticos querrán tomar el control y usarlo para beneficiar su causa, es igual usarlo para simplemente enviar correos electrónicos no deseados, participar en un ataque DDOS o simplemente alojar páginas y publicaciones falsas o maliciosas infestadas de malware

Cómo proteger tu sitio

Llevar a cabo actualizaciones periódicas en su sitio es solo una forma de proteger tu sitio.

Recomendamos que tu sitio sea revisado ​​y actualizado al menos una vez por semana. Una copia de seguridad es la mejor seguridad que puedes tener, si no inicias sesión en tu sitio para verificar la actualización antes de que sea pirateada, la forma más rápida y fácil de volver a poner en funcionamiento tu sitio es una restauración rápida de la copia de seguridad más reciente.

Por otro lado, la forma más efectiva de proteger tu sitio es utilizar un «firewall» de aplicaciones web o «WAF» basado en la nube.

Un ejemplo de este tipo de protección es «Sucuri WAF». La ventaja de un «WAF» es el parcheo virtual, cuando se encuentran vulnerabilidades, los técnicos de Sucuri parchean automáticamente el «WAF», lo que te brinda tiempo adicional para reparar tu sitio.

Que deberías hacer

Debes asegurarte de tener copias de seguridad periódicas de tu sitio de WordPress y debes actualizar los plugins, temas y el núcleo de WordPress regularmente.

Si quieres leer más información sobre el problema del plugin «Ultimate Member», puedes diregirte a: https://blog.sucuri.net/2019/05/multiple-vulnerabilities-in-the-wordpress-ultimate-member-plugin.html.

Juega, experimenta y, sobre todo, ¡divertirte!


¡Gracias por leernos!


¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.    Más información
Privacidad