Vulnerabilidades comunes de WordPress y por qué no usarlo

Introducción

WordPress es uno de los CMS más populares, pero también uno de los más atacados. Muchos sitios funcionan con configuraciones por defecto y plugins inseguros, lo que lo convierte en un blanco fácil para hackers.

Vulnerabilidades más comunes

• Plugins inseguros: La mayoría de los ataques provienen de plugins mal desarrollados o abandonados.
• Temas vulnerables: Temas gratuitos o nulled que incluyen puertas traseras o código malicioso.
• Inyección SQL: La falta de saneamiento en formularios o consultas puede permitir el acceso a la base de datos.
• Cross-Site Scripting (XSS): Inyección de scripts maliciosos que afectan a usuarios y administradores.
• Contraseñas débiles: Un admin con contraseña sencilla es la puerta principal para muchos ataques.
• Falta de actualizaciones: No actualizar el núcleo, plugins o temas deja vulnerabilidades sin parchear.

¿Por qué no usar WordPress?

Si bien WordPress es accesible y fácil de usar, tiene sus desventajas:

• Es un blanco constante para atacantes debido a su popularidad.
• Requiere mantenimiento continuo para evitar vulnerabilidades.
• Puede volverse pesado y lento sin optimizaciones.
• La dependencia de terceros (plugins y temas) aumenta los riesgos.

Para proyectos que requieren máxima seguridad, es preferible optar por CMS más ligeros, frameworks personalizados o soluciones menos expuestas.

Consejos para mejorar la seguridad si usas WordPress

• Usa únicamente plugins oficiales y con buena reputación.
• Mantén todo actualizado a la última versión disponible.
• Configura correctamente los permisos de archivos en el servidor.
• Utiliza contraseñas fuertes y activa la autenticación de dos factores (2FA) en cuentas de administrador.
• Realiza copias de seguridad periódicas y revisa los registros de actividad.
• Considera usar plugins de seguridad como Wordfence o Sucuri.

Cosas que deberías quitar si tienes WordPress configurado

xmlrpc.php es una puerta de entrada para atacantes si saben cómo explotarlo correctamente. Se recomienda deshabilitar o restringir el acceso a este archivo para mejorar la seguridad de tu sitio.

• Acceso al archivo readme.html: Puede revelar la versión exacta de WordPress que usas, facilitando ataques dirigidos.
• Carpeta /wp-admin/install.php: Si tu sitio ya está instalado, esta debería estar protegida o eliminada para evitar reinstalaciones o exploits.
• Desactivar listado de directorios: Para impedir que atacantes puedan ver el contenido de carpetas vacías o con archivos accesibles.
• El archivo wp-config.php debe estar protegido: Es vital evitar que pueda ser descargado o leído desde el navegador.
• API REST sin restricciones: Algunos endpoints de la API REST pueden exponer información sensible, conviene limitar su acceso o deshabilitar lo innecesario.
• Deshabilitar edición de archivos desde el panel: Evita que un atacante con acceso admin pueda modificar archivos PHP directamente desde el backend.