Creo que ya va siendo hora de aclarar esta cuestión, y zanjar del debate de una vez por todas. A pesar de las dudas, y algunos odiadores, el núcleo de WordPress es, sin duda alguna, el más seguro de todas las plataformas que puedas elegir para crear una web.
Me dirás que una instalación de WordPress puede verse comprometida por culpa de plugins, pero esa es otra cuestión, que además ya hemos tratado hace tiempo.
Recientemente hemos visto historias acerca de un bot que trataba de hacer ataques de fuerza bruta en sitios WordPress, pero debes tener claro que no podía entrar en sitios donde el usuario tenía contraseñas fuertes, tenían la última versión de WordPress y estaban comprometidos con la seguridad de todos los componentes de su instalación.
Pero cómo hay mucho escéptico, lo que no es malo de suyo, vamos a ver si terminamos de aclarar algunas cosas.
Críticas “amistosas”
Durante el verano de 2009 WordPress recibió algunos “toques” de la comunidad de publicación online, debido a cuestiones de seguridad explotadas esos días. Lo que pasaba es que WordPress estaba creciendo enormemente, y recibió algunas críticas, bien y mal intencionadas, que hubo de todo, cuestionando si WordPress era lo suficientemente seguro para los usuarios a los que atraía de manera importante.
Por decirlo de algún modo, lo que se decía era algo así:
“Eh, WordPress, sabemos que eres ambicioso, y eso nos encanta, pero debes asegurar que tu seguridad es a prueba de balas para los usuarios antes de ser tan popular”
Curioso ¿no?, sobre todo cuando en parte venía de usuarios de comunidades de software de publicación con problemas de seguridad sin solucionar hacía años, pero bueno, vamos al tema.
Los desarrolladores del núcleo de WordPress respondieron, y en los siguientes meses se añadieron parches y ajustes de seguridad para afianzar fuera de toda duda que WordPress es uno de los CMS más seguros de Internet. Eso fue hace cuatro años, una eternidad en términos de innovación tecnológica.
El verano de 2009
En unas pocas semanas, en 2009, el equipo del núcleo de WordPress lanzó una serie de 4 parches de seguridad. El equipo cerró de manera rápida y sistemática cualquier factor remanente de inseguridad en el núcleo de WordPress. A finales de ese verano el código base de WordPress empezaba a parecer Fort Knox.
Sin embargo, si tenías alguna instalación en marcha de WordPress en esa época, tuviste que actualizar WordPress bastante a menudo, cada vez que se lanzaba un nuevo parche de seguridad. En total se emitieron seis versiones de WordPress, desde la 2.8.1 el 19 de Julio hasta la 2.8.6 antes de Navidad. Ciertamente fueron un buen montón de actualizaciones. ¿Te acuerdas?
Vale que actualizar WordPress no es difícil, pero actualizaciones cada pocas semanas se hacía pesado. Cada nueva actualización de seguridad implica comprobar compatibilidad de plugins y temas antes de lanzarse, y eso duele a veces. Y lo mismo en cada nueva actualización. Ahora bien,cualquier software solo es seguro en su última versión, así que hay que actualizar siempre a la última versión publicada, que no se te olvide.
Pero vaya, que tener que revisar todo, cada 2 o 3 semanas, en cada sitio que tengas, se hace cansino, y esto no nos tenía contentos, cómo se reconocía en muchos comentarios del blog, y con razón.
En solo 34 días hubo nada menos que 4 actualizaciones de seguridad para WordPress 2.8, y te recuerdo que esto era antes de que tuviésemos herramientas de gestión que nos facilitaran las instalaciones, así que todas las actualizaciones eran manuales.
Vamos, que era un puto infierno y un coñazo.
Y lo peor es que muchos usuarios no actualizaban … y algunos de los sitios de esos usuarios fueron hackeados al funcionar con versiones de WordPress anticuadas (y hablamos solo de unas semanas), lo que nos trae de nuevo la necesidad de tener WordPress actualizado. Así que grábatelo a fuego:
Si estás actualizado estás seguro.
Si no estás actualizado eres un objetivo.
El hacking es noticia
En 2009 hubo muchas instalaciones de WordPress, cada vez más, y con toda esta retahíla de actualizaciones fuimos noticia. Hubo una buena cantidad de blogueros e incluso diarios digitales generalistas que ese año hablaron, y mucho, acerca de “los problemas de seguridad de WordPress“, yesto ha quedado en la memoria colectiva de Internet, a pesar de que 4 años en la red es una eternidad en términos de software, pero no es así con la mente humana.
Ahora, cuatro años después, aún no es posible tener un debate sobre WordPress sin que alguien te suelte eso de “Eh, espera ¿es WordPress inseguro?“.
De repente, WordPress tenía una reputación, merecida o no, de ser una plataforma que tenía que estar actualizándose constantemente, y que podría no ser lo suficientemente segura.
La realidad es que ya a finales de 2009 WordPress se había convertido en una plataforma segura y sin problemas para los millones de usuarios que la usábamos, lo mismo para sitios de alto tráfico cómo The New York Times.
La popularidad de WordPress se hacía patente en la ingente cantidad de grandes empresas y organizaciones que migraban a WordPress.
Responsabilidad compartida de los usuarios de WordPress
Los usuarios de WordPress debemos ser responsables de nuestra propia seguridad, de usar contraseñas fuertes y de mantener los plugins y el mismo WordPress actualizado.
Esta responsabilidad debemos asumirla cómo responsabilidad compartida, pues en la mayoría de las ocasiones compartimos alojamiento web con otros usuarios y sitios, que pueden también verse afectados por nuestras malas prácticas.
Suficientemente seguro para ser el más popular
El término “popular” quizás no sea el más acertado, pero a fin de cuentas es verdad y hay que asumirlo. Y es que con 64 millones de instalaciones de WordPress (el 17% de todas las webs están creadas con WordPress), y subiendo, los datos confirman que el partido está ganado. No hay ninguna otra plataforma (Ruby on Rails, Python, etc) que se acerque siquiera a tal nivel de aceptación.
El núcleo de WordPress es lo suficientemente seguro para ese uso masivo, lo que hace todavía más sorprendente que aún haya desarrolladores que sigan con la idea, anticuada y falsa, de una supuesta inseguridad de WordPress.
Es más, con el nivel de implantación actual de WordPress, incluso un 0,0001% de inseguridad sería un problema, pero WordPress sigue creciendo sin problemas y dando servicio a millones de usuarios, administradores y desarrolladores satisfechos.
Las evidencias son claras, así que hay que reabrir el debate de manera activa, blogueando sobre ello, explicando al mundo la realidad de que el núcleo de WordPress es seguro, y que todos los sepan, para cambiar esa falsa memoria colectiva, que sigue coleando desde hace nada menos que 4 años.
WordPress sigue creciendo, mejorando, y convenciendo a cada vez más usuarios, y es una plataforma segura, ágil, potente y sencilla de utilizar y mejorar, y además es software libre.
Así que WordPress merece que también Internet reconozca esa reputación de ser un CMS seguro, ¡difúndelo!
