Ante los múltiples fallos de seguridad reportados en WordPress durante este año, muchos hemos publicado artículos sobre problemas de seguridad tanto del core de WordPress como de algunos plugins, también se publicó material sobre como desarrollar plugins seguros y hasta dado consejos para mejorar la seguridad de un blog; sin embargo, parece que este esfuerzo no parece reflejarse en los usuarios de a pie.
Esta racha de vulnerabilidades, se debe no sólo a que éste CMS es cada vez más complejo y popular, sino también, como mencionaba anteriormente, a la falta de interés o desconocimiento (¿falta de documentación?) de aspectos relacionados a la seguridad por parte de los desarrolladores de temas y plugins.
WordPress has become one of the most popular blogging packages on the Internet; this is largely due to its ease of use and its object oriented design which allows the user to easily extend its capabilities in the form of WordPress Plugins.
Unfortunately, "ease of use", and "security" are to often like lemon and milk.
David Kierznowski hizo público los resultados de una pequeña encuesta realizada sobre 50 blogs que usan WordPress, de los cuáles 49 de ellos eran potencialmente vulnerables porque usan versiones desactualizadas.
Versión de WordPress | N° de Blogs |
---|---|
1.2 | 2 |
1.2-beta | 2 |
1.2.1 | 3 |
1.2.2 | 4 |
1.5 | 7 |
1.5-gamma | 1 |
1.5.1.1 | 1 |
1.5.1.2 | 1 |
1.5.2 | 1 |
2.0 | 4 |
2.0.1 | 3 |
2.0.2 | 1 |
2.0.3 | 1 |
2.0.4 | 6 |
2.0.5 | 3 |
2.0.6 | 2 |
2.1 | 2 |
2.1.2 | 2 |
2.1.3 | 3 |
2.2 | 1 |
Total | 50 |
Está claro que el principal problema al igual que otro tipo de aplicaciones, es que no hay una forma efectiva de que el usuario final se entere y aplique, sin mayor esfuerzo y con menos dolores de cabeza, las actualizaciones de seguridad que se liberan...
Luego de presenciar y reportar varios problemas de seguridad de WordPress en este año, ya no creo que éste CMS (+plugins) sea lo suficientemente estable como para poner mis manos al fuego y ser [tan] audaz como algunos para decir que es seguro 🙂
4 replies on “Seguridad de WordPress y la [triste] realidad”
El problema, es que un actualizador automatico hace vulnerable al blog. ¿Por qué crees que la mayoría de los foros, wiki, cms no tienen un actualizador automático?
Estamos de acuerdo en eso, además que las actualizaciones automáticas tampoco son la panacea para los problemas de seguridad (un claro ejemplo es Windows).
Yo todavía no estoy seguro de por que mucha gente no actualiza su WordPress. No es muy difícil hacerlo.
No es dificil pero creo que como alex decia es la falta de informacion, otro punto seria que cada poco tiempo sale una nueva version de wordpress.
Deberian darse mas tiempo en testear las nuevas versiones antes de lanzarlos, como ah pasado ultimo con la version 2.2 demoro en salir, pero la presion de haver dicho cuando saldria... les jugo encontra. miren ahora....