Importancia de la seguridad en WordPress: ¿Vale realmente la pena?

  • Autor Autor nadamas
  • Fecha de inicio Fecha de inicio

¿Realmente merece la pena, y por que?

  • Si

    Votos: 15 57,7%

  • No

    Votos: 6 23,1%

  • Me da igual que me roben

    Votos: 5 19,2%
  • Votantes totales
    26
Meketeke dijo:
Yo creo que WordPress como cualquier otro sitio web o CMS como tal, tiene sus pros y sus contras. La contra más grande es que como es el CMS más usado del mundo, pues la gente que tiene intenciones maliciosas puede buscar en un montón de sitios buscando patrones y se puede encontrar el tuyo. Por eso siempre es recomendable tener tu sitio lo más actualizado posible, renovar las licencias PRO si es que algún día tuviste alguna y la sigues usando, y además, no usar nunca bajo ningún concepto plugins nulled.
Hacer clic para expandir...

Si, esta todo actualizado.

plugins nulled? que va, la primera vez use uno y se me bloqueo la web. Paso de instalarlos.
 
Yo llevo 18 años usando WP y mis sitios no han sido infectados aún. Mis únicas medidas son
  • No Instalar plugin ni themes que no sean del sitio oficial.
  • Cambiar el clásico nombre de usuario admin por otro más complejo.
  • Agregar un prefijo personalizado a la base de datos.
  • No doy acceso a terceros. Si algo, tengo un sitio web espejo para que el programador trabaje.
Nada especial pero efectivo hasta la fecha.
 
sabogal dijo:
Yo llevo 18 años usando WP y mis sitios no han sido infectados aún. Mis únicas medidas son
  • No Instalar plugin ni themes que no sean del sitio oficial.
  • Cambiar el clásico nombre de usuario admin por otro más complejo.
  • Agregar un prefijo personalizado a la base de datos.
  • No doy acceso a terceros. Si algo, tengo un sitio web espejo para que el programador trabaje.
Nada especial pero efectivo hasta la fecha.
Hacer clic para expandir...

Yo creo que lo tengo todo bien. Y no doy acceso a nadie. Si algo no lo consigo, me busco la vida antes de dar claves a nadie.
 
Lo mejor es mantener todo actualizado y revisar bien los plugin de terceros!
 
Depende de la cantidad de tráfico, la importancia de tu web, en el caso hipotético que una web que tengo llegase a tener una gran cantidad de usuarios y tráfico, hago lo mismo que tú, asegurarme con una buena protección.
 
En tres meses de la web, no he tenido problemas, máxima seguridad y estoy tranquilo. Usando ionos como dominio y servidor con wordpress.
Intentan entrar todos los dias, pero todo son fallidos las entradas. No me hackean por ahora.

A mi me da que los que os roban los dominios o web o los cambios. Falta de seguridad. Es que no me entra en la cabeza como os roban. Y yo soy novato.
 
En lo personal me desagradan bastante los usos de la gran mayoría de plugins que se venden como "de seguridad", porque hacen cosas que son demasiado pesadas y realmente no les compete, además de ser casi adware. Pero si estás en un hosting shared en lugar de un VPS, supongo que son una opción viable. Total, la sobrecarga que generan esos plugins se los come el dedicado del shared y ya los del hosting pelearan porque eso no ralentice las webs.

La mayoría de los "ataques" que reportan, suelen ser escaneos de bots que por lo general ya están bastante resueltos de base del lado de la configuración de servidor o incluso por algún otro plugin que no sabes que ayudaba con eso porque no se vende como "de seguridad", por lo que si me lo ponen a bombo y platillo solo me suena a esa estrategia asquerosa que usan los Antivirus de hacer saltar alertas cuando entras en una web y lo que bloquean no es virus ni nada, solo publicidad o un dominio asociado con warez que lo pusieron en lista negra o incluso solo falsos positivos. Todo eso solo para justificar su existencia y que sigas pagando.

kj
 
Bueno, sea cierto o no. La seguridad nunca viene de mas. Además por 2.50€ al mes no me voy a morir si al menos tengo algo de seguridad.
Los ataques por IP para intentar entrar a tu web, yo pienso que son reales al 100%. No tiene nada que ver con virus ni nada de eso. Y esa parte si me interesa protegerla.

Seguramente algún día puedan entrar.

Pero viendo esto que no pago por publicidad ni nada, tengo buenos resultados para una web de casi 3 meses.

Y en Google ya salgo en 4º posición con una de las palabras clave que se suelen usar.

Lo mismo en un año, no lo se, puede que mi web, mi idea y todo lo que estoy haciendo, pueda ser un sitio de muchísimo interés y visitas. Estoy cambiando el sistema hacia una idea mejor y más organizada de las que hay. Por eso, prefiero protegerme en ataques todo lo que pueda.


Captura de pantalla 2024-06-27 132117.webp




Captura de pantalla 2024-06-27 132308.webp
 
Sin duda son escaneos 100% reales, pero son de bots y de bugs ultra conocidos que no tienes, pero el plugin va y se pone la medallita de haberlo detectado para justificar su existencia y el cobro de una licencia.

Te traduzco lo que colocas en la primer imagen:

- Buscando código vulnerable: Literalmente es cualquier tipo de escaneo que tengan en su base de datos (puede que sean 3-4 incluso, total solo hay que reprtar algo y con tener los 4 más comunes seguro que saltan reportes). Por ej. el típico escaneo de la carpeta ".git" (el webserver debería bloquear el acceso a archivos que comiencen con un punto, así que eso suele estar solucionado), ese tipo de carpeta no va a estar en un wordpress, pero el bot solo escanea para ver si hay suerte y el plugin lo reporta como "detuve un ataque" :S.

- Petición a uso de API Rest denegada: Aquí directamente ni siquiera hay un bug ni nada. El API Rest que trae wordpress es una característica del mismo, si bien hay gente que lo bloquea porque facilita el scrapping de su sitio, porque es otro punto de acceso que no se suele usar (si no lo usas, mejor se quita), pero es solo una característica más y luego el plugin te reporta que alguien entró a alguna ruta del API Rest y lo bloqueó como si fuera algo que concierne a la seguridad :S.

Por eso digo que este tipo de plugins me desagrada como funcionan. Te venden la sensación de estarte protegiendo reportanto cualquier cosa, pero la verdad es que si ahora tuvieras alguna vulnerabilidad o una shell ya metida, no la detectaría.

Otra cosas que sí es un ataque y deberías tener mas abajo es algo tipo "intentos de sessión fallidos superados/baneo de la ip" o algo por el estilo. Ya que también es normal que todo wordpress que esté online reciba ataques de bruteforce en sus logins.

Eso si es ataque, pero nuevamente no le compete a un plugin de "seguridad" detenerlo. Te compete a tí el tener una contraseña segura (o usar algo alternativo), ya que si no la tienes, incluso con los baneos que pueda haber de plugins de seguridad o del server, al tener esos bots IPs virtualmente infinitas, realmente poco y nada les quitas en lo que a cadencia de ataques respecta.

kj
 
Gracias, me sirve de ayuda y datos.
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba