Marc Sureda
WordPress.com sitúa la prevención y la vigilancia continua como elementos centrales para garantizar la disponibilidad y la seguridad de los sitios web. En un escenario de amenazas en aumento, la compañía ha cuantificado el alcance del tráfico no deseado que su Web Application Firewall (WAF) ha bloqueado en los últimos doce meses. A escala global, esta tecnología ha llegado a detener cerca de 12.000 solicitudes por segundo de tráfico considerado no deseado o malicioso y 165 peticiones por segundo que se vinculan con intentos potenciales de explotación de vulnerabilidades. En el caso de España, WordPress.com estima que en el mismo periodo se bloquearon más de 1.100 millones de solicitudes con carácter malicioso y alrededor de 15,3 millones de intentos de ataque que fueron detectados y neutralizados. Estas cifras reflejan que el volumen de intentos de intrusión crece año tras año, pero también que la mitigación automatizada permite mantener la continuidad operativa de los sitios aun bajo presión.
A partir de estos datos, WordPress.com ha identificado los factores de riesgo más frecuentes que exponen a las empresas a brechas de seguridad. La compañía advierte de que muchas de las vulnerabilidades más habituales no proceden de técnicas sofisticadas por parte de los atacantes, sino de una gestión deficiente del mantenimiento digital por parte de los propios administradores de los sitios. La plataforma sostiene que el grueso de las incidencias se origina en prácticas evitables, como el uso de extensiones desactualizadas, contraseñas predecibles o configuraciones de acceso demasiado amplias.
Dentro de este análisis, el primer punto señalado es el estado de los plugins y de los temas instalados. WordPress.com informa de que una parte significativa de los intentos de acceso detectados en el último año tuvo su origen en complementos con vulnerabilidades conocidas o en versiones que no habían sido actualizadas a tiempo. Los atacantes rastrean de forma automatizada la red en busca de componentes obsoletos o con una política de mantenimiento débil, lo que convierte estos elementos en una vía de entrada recurrente. Según WordPress.com, esta situación refuerza la necesidad de mantener el software actualizado, retirar extensiones de procedencia dudosa y revisar periódicamente si siguen siendo necesarias las que permanecen activas.
El segundo gran frente identificado afecta a la gestión de las credenciales de acceso. Pese a la disponibilidad de soluciones de refuerzo, WordPress.com apunta que continúa siendo habitual que los usuarios empleen contraseñas repetidas o fáciles de prever. La ausencia de autenticación multifactor agrava el problema, ya que un único conjunto de credenciales comprometidas puede abrir la puerta a accesos no autorizados. Desde la plataforma se traslada que establecer contraseñas robustas y combinarlas con métodos adicionales de verificación se considera una medida necesaria para reducir el riesgo.
El análisis incorpora también elementos que han cobrado mayor protagonismo recientemente. Uno de ellos es la configuración de los roles de usuario. Cuando cuentas como las de administradores o editores operan con privilegios superiores a los que requieren sus funciones reales, aumenta la superficie de exposición. Si una de esas cuentas resulta comprometida, las opciones de explotación se multiplican. En este sentido, WordPress.com plantea que es clave ajustar los permisos al mínimo imprescindible para cada perfil y revisar de manera periódica si esos permisos siguen siendo adecuados.
Otro foco de riesgo creciente, es el uso de código personalizado sin las debidas salvaguardas. Fragmentos de código desarrollados a medida, integraciones con APIs externas o modificaciones directas en los archivos del tema del sitio pueden introducir vulnerabilidades difíciles de detectar de manera manual. La plataforma subraya la conveniencia de evitar introducir código sin una revisión previa, recurrir a desarrolladores de confianza y someter las personalizaciones a herramientas de análisis que permitan localizar debilidades antes de su puesta en producción.
Cómo proteger la continuidad del sitio
La seguridad del sitio web tiene un impacto directo sobre la percepción de fiabilidad de una organización y sobre su reputación. En este contexto, WordPress.com plantea que proteger un activo digital no depende únicamente de soluciones técnicas avanzadas, sino también de hábitos operativos constantes. Entre las recomendaciones que traslada la compañía figuran la actualización regular tanto del software base como de los plugins instalados, la eliminación de extensiones innecesarias o procedentes de fuentes no oficiales y la realización de copias de seguridad periódicas que se guarden en entornos seguros, de modo que se pueda restaurar la actividad en caso de incidente. A estas prácticas se añaden políticas de contraseñas sólidas, combinadas con autenticación en dos pasos, con el objetivo de reducir las posibilidades de acceso indebido.
En paralelo a estas pautas de gestión, WordPress.com detalla que incorpora en su servicio medidas como copias y actualizaciones automáticas, cifrado de datos y monitorización constante. El planteamiento es que la protección sea continua y no requiera intervención manual para activarse, lo que permite que tanto organizaciones de mayor tamaño como proyectos individuales mantengan la actividad de sus sitios incluso durante intentos de ataque. Según la plataforma, estas funciones buscan que los administradores puedan concentrarse en la operativa diaria y en el contenido del sitio mientras la capa de seguridad permanece activa de forma permanente.
