Como evitar plugins y themes peligrosos

Posted on by admin

Plugins de wordpress obsoletos

WordPress puede parecer sencillo por fuera, pero por dentro es un sistema complejo que sirve simultáneamente su contenido, gestiona las transacciones de los clientes y administra enormes cantidades de datos. Y aunque WordPress es una plataforma increíblemente estable, no es inquebrantable.

Los usuarios de WordPress tienen mucho donde elegir: los administradores de sitios web disponen de un gran número de plugins. No existe un número mágico de plugins que deberías o no deberías tener instalados, pero es importante entender que cada uno de ellos tiene un impacto en tu sitio. ¿Por qué?

Cada plugin que instalas aumenta las posibilidades de que te encuentres con un problema. Cuantos más plugins tenga, más probable es que uno “bloquee” su sitio. Un sitio web se convierte en un “ladrillo” cuando ya no puede proporcionar la funcionalidad para la que fue construido.

Las actualizaciones de plugins pueden bloquear un sitio web con código defectuoso, porque entran en conflicto con otro plugin o tema, o chocan con la configuración de su servidor. En estas situaciones, no es raro ver mensajes de error como: “Error al establecer la conexión con la base de datos”, “Error interno del servidor” y “Tiempo de espera de la conexión agotado”. Incluso puede ver cadenas de código en su sitio.

¿Son los plugins un riesgo para la seguridad?

Aunque los plug-ins varían mucho, todos tienen el potencial de crear problemas de seguridad que suelen comenzar con la pérdida de control del dispositivo: aparición de anuncios emergentes, comportamiento errático, etc. También pueden provocar la pérdida de datos, dado que recopilan información personal, incluida la de inicio de sesión, y la envían en secreto.

  Yahoo Buzz – Plugin para WordPress

¿Cómo sé si un plugin es seguro?

WPScan Vulnerability Database es un buen lugar para comprobar si algún plugin es una amenaza para la seguridad. El servicio enumera los plugins y sus vulnerabilidades conocidas. Puedes buscar un plugin por su nombre o filtrar todas las vulnerabilidades por orden alfabético.

Cómo comprobar si un plugin de wordpress es seguro

Después de que mi sitio pasara horas alternando entre la lentitud de carga y la falta total de respuesta, decidí ponerme en contacto con mi proveedor de alojamiento. Todo lo que pudieron decirme fue que el problema parecía estar relacionado con uno de los plugins de mi blog.

Le ha pasado a casi todo el mundo que ha estado usando WordPress durante un periodo de tiempo significativo: problemas con los plugins que hacen que tu sitio web funcione mal. Sin embargo, muchos de nosotros seguimos instalando y desinstalando plugins con desenfreno, ignorantes de los riesgos potenciales que ello conlleva. Peor aún, algunos de nosotros sabemos muy bien en qué nos estamos metiendo y seguimos alimentando nuestra insaciable hambre de plugins sin tener en cuenta las trampas que nos esperan a la vuelta de la esquina.

En resumen, la mayoría de los usuarios de WordPress son demasiado arrogantes con sus sitios web. En este post quiero destacar los peligros potenciales de los plugins (especialmente los gratuitos) y proporcionar lo que espero sea un argumento convincente contra la proliferación desenfrenada de plugins en su sitio web de WordPress.

El tema de WordPress ya no es compatible

Los plugins son necesarios para mejorar la funcionalidad de cada sitio WP, pero cuantos más plugins añadimos, mayor es el riesgo ante posibles amenazas. ¿Cómo podemos limitar este riesgo y qué podemos hacer para prevenir en general este tipo de ataques (a través de los plugins instalados)?

  Desactiva todos los plugins de golpe

Esta es una gran pregunta. Según los resultados de una encuesta que publicamos el año pasado, los plugins vulnerables son la principal forma que tienen los atacantes de acceder a los sitios de WordPress. Reducir el riesgo de seguridad de los plugins es uno de los aspectos más importantes de la protección de su sitio. Hay varias cosas que puede hacer para limitar este riesgo.

Cada plugin que instalas en tu sitio web aumenta tu “superficie de ataque”. Se está ejecutando más código, por lo que aumentan las probabilidades de que se explote una vulnerabilidad de seguridad. Cada plugin que añades a tu sitio también representa otro desarrollador en el que confías para mantenerte seguro. Eso incluye escribir código seguro, responder rápidamente a los informes de vulnerabilidad y tener en cuenta tus intereses.

Si es posible, te recomendamos que limites tus descargas de plugins al directorio oficial de plugins de WordPress.org. Un gran equipo de voluntarios lo gestiona, junto con una gran comunidad de usuarios e investigadores de seguridad que colaboran.

Base de datos de vulnerabilidad de plugins de WordPress

Los plug-ins son complementos desarrollados para todo tipo de soluciones y aplicaciones. Los más conocidos proporcionan nuevas funciones para navegadores, servicios de mensajería y herramientas como WordPress. Todos ellos, sin excepción, pueden provocar importantes brechas de seguridad en su empresa.

El uso generalizado de determinados plug-ins es la principal razón por la que algunos hackers han centrado su atención en la adquisición o el uso de plug-ins para lanzar ataques. Cabe señalar que la naturaleza de estos complementos, así como su objetivo, es muy variada. Todos los plug-ins son susceptibles de sufrir brechas de seguridad, independientemente de su objetivo.

  Revisiones de plugins y temas en WordPress-org

Por ejemplo, en el caso de WordPress, complementos como Display Widgets (con más de 200.000 usuarios), Appointments (8.000 usuarios), Captcha (300.000 usuarios) y NextGEN Gallery (más de un millón de usuarios) ponen de manifiesto la creciente tendencia a utilizar estos complementos para albergar ataques son insertar código malicioso Estos afectan a todos los usuarios que visitan una página que tiene activado el complemento.

Los complementos de navegador para Chrome, Firefox e Internet Explorer no son menos peligrosos. Por ejemplo, el conocido LastPass (gestor de contraseñas) ha recibido críticas debido a graves problemas de seguridad en el último año. En este tipo de plug-ins han aparecido programas maliciosos como adware y software de secuestro. Uno de los mejores ejemplos es del año pasado, cuando Fireball consiguió infectar más de 250 millones de ordenadores.

Relacionados

Bushim un plugin inservible
Como desactivar los emails de actualizaciones automáticas de plugins y temas
Plugin que notifica errores 404
Desactiva todos los plugins de golpe
¿De verdad es buena idea incluir plugins en los temas?
Los mejores plugins de aviso de cookies gratis para WordPress
Plugin para identificar TROLLS
Vulnerabilidad grave en el plugin Better WP Security
¿Cuál es el mejor plugin SEO para WordPress?
Los 4 plugins esenciales de WordPress
El plugin imprescindible para WordPress multisitio
Batcache nuevo plugin de cache a escena
Plugins para integrar Picasa
Crear un Plugin WordPress 2
Crea tu primer plugin WordPress
Ocultar plugins de la pantalla de plugins (actualizado)
Como crear un plugin (vídeo)
Bbpress ya es un plugin
Cómo debería ser el directorio de plugins de WordPress
Plugin WordPress traducido – Dashbar