WordPress es el gestor de contenidos más usado en la World Wide Web: según datos de W3Techs.com actualizados a 18 de enero, el 25,7% de todas las webs de Internet funcionan con este CMS creado en 2003. El siguiente más usado es Joomla, con un escuálido y menguante 2,8%, dato que contrasta con la pujanza de su rival: WordPress ha crecido 2,4 puntos en sólo un año, y actualmente se crea un nuevo sitio web sobre esta plataforma cada 74 segundos.

Además, esas cifras no provienen únicamente de pequeños sitios web y blogs personales, sino que en ellas están representadas algunas de las webs más visitadas y relevantes a nivel mundial como las de la saga Star Wars, las de las revistas Time y New Yorker, la de la agencia  Reuters, la de la compañía Samsung o la de Suecia (sí, el país).

Con estos datos, no es extraño que las características técnicas de WordPress reciban atención por parte de las compañías que lo usan (o valoran hacerlo) en sus sitios corporativos. Muchas se preguntan si está a la altura en el aspecto más crítico de todos: la seguridad. Intentaremos responder a dicha pregunta a lo largo de este artículo:

El núcleo y los complementos

WordPress se compone, en primer lugar, de un núcleo básico de archivos que podemos descargar en su página web y que son los mínimos necesarios para instalar una web con este CMS. Las vulnerabilidades descubiertas en este núcleo durante los últimos años han sido pocas, y todas han sido rápidamente parcheadas

Pero el mayor atractivo de WordPress es la posibilidad de añadir a dicho núcleo básico algunos de los miles de complementos (‘plugins’ y temas) que la comunidad de desarrolladores de WordPress pone a disposición de los internautas. Cualquiera puede desarrollarlos, y de ahí deriva la mayoría de las vulnerabilidades de WordPress: según datos de WP White Security, el 54% de las mismas se debían a plugins de terceros, mientras que los temas eran responsables del 14,3%.

Sólo en el repositorio oficial de WordPress existen 30.000 plugins y 2.000 temas disponibles para descarga, que son supervisados bien por el equipo de seguridad de WordPress (en el primer caso), bien por el equipo de revisión de temas (en el segundo). Es fundamental limitar el uso de complementos a los que podamos encontrar en este repositorio o en otros de confianza (como ThemeForest o WooThemes).

El equipo de seguridad y los usuarios

A día de hoy, el equipo de seguridad de WordPress está formado por aproximadamente 25 expertos, incluyendo a desarrolladores y profesionales del campo de la ciberseguridad, que a su vez cuentan con el asesoramiento de consultores y grandes compañías de hosting. Dicho equipo (liderado desde el pasado verano por el ‘Security Czar’ de WordPress, el búlgaro Nikolay Bachiyski) como no sólo es responsable de supervisar la seguridad del núcleo de WordPress sino que, tal y como explica su ‘whitepaper’ oficial, permanece al tanto de las vulnerabilidades de la tecnología en la que se basa su CMS.

Estos 25 expertos trabajan en el seguimiento de incidencias y bugs, y anima a los usuarios a reportar cualquier aparente vulnerabilidad (a través del emailsecurity@wordpress.org). Cuando la existencia de la misma se confirma, el parche es programado para la siguiente versión de WordPress, o se ofrece inmediatamente como actualización automática de seguridad, dependiendo de la severidad de la incidencia.

Dichas actualizaciones automáticas están disponibles desde la versión 3.7 (hoy día van por la 4.4.1), y constituyen la mejor garantía de una protección rápida ante cualquier nueva amenaza. Por eso, la mayor vulnerabilidad para un sitio WordPress es la de operar con versiones antiguas del CMS o de sus complementos. Como en tantos otros campos de la tecnología, el eslabón más débil siempre es el usuario humano.

Otros recursos de información sobre seguridad en WordPress

En la web oficial de WordPress podemos encontrar tanto su ‘whitepaper’ sobre seguridad (un documento que constituye “un análisis del desarrollo de del núcleo de WordPress y de los procesos de seguridad relacionados con el mismo”) como un interesante artículo de su ‘Códex’ denominado ‘Hardening WordPress‘, en el que se realiza un repaso a sus principales vulnerabilidades y proporciona consejos para evitarlos reforzando la seguridad de la instalación del CMS.

WP Engine es una compañía de hosting que ofrece soluciones específicas (y una configuración de seguridad optimizada) para aquellos que quieran alojar un sitio web basado en WordPress, y han publicado su propio whitepaper con una recopilación de buenas prácticas que puede ser de gran utilidad para un administrador web.

Por último, cabe destacar un clásico de la comunidad WordPress en español, el blog Ayuda WordPress, con una interesante sección dedicada a la seguridad.

Conclusión: WordPress está a la altura

En definitiva, si WordPress lidera el ranking de gestores de contenido es porque ha mostrado estar a la altura de tal puesto (y algunas de las mayores compañías e instituciones del mundo, como dijimos antes, así lo han entendido). Cuenta con un núcleo de código cuyas vulnerabilidad en los últimos años han sido pocas y rápidamente resueltas, y hasta ahora sus principales vectores de ataque han sido los complementos, opcionales y desarrollados por terceros.

De modo que, contando con una instalación de WordPress actualizada, con un administrador web conocedor de buenas prácticas en materia de seguridad, y con un proveedor de alojamiento fiable, tendremos garantizado un sitio web robusto y fiable, apto para proporcionar todo tipo de servicios online.