Actualización 2018: He actualizado el artículo con nuevos enlaces de descarga para los papers que traduje de Blogsecurity.net, ya tienen unos añitos (más de 10), pero veo que sigue llegando gente buscándolos. Lamentablemente el sitio web Blogsecurity.net ya no existe así que he eliminado los enlaces que hacía referencia a este sitio en el artículo.
A menudo la gente se queja de las constantes actualizaciones de seguridad de WordPress, viéndolas como un problema y no como la solución que en realidad son.
Todos los CMS opensource tienen fallos de seguridad, absolutamente todos, pero no todos corrigen esos fallos tan rápidamente. Así que… ¿son más seguros porque lanzan menos parches de seguridad?, la respuesta es no. Simplemente nos enteramos de menos fallos a no ser que suframos un ataque o nos dediquemos a buscar scripts para explotar vulnerabilidades.
La cuestión es, que somos nosotros y no la aplicación que usemos, los que tenemos que dotar a nuestro blog de todas las medidas de seguridad que podamos. Y no limitarnos a que una instalación predeterminada sea suficiente, porque precisamente esto será la base de cualquier ataque… dar por hecho que todo está como viene de manera predeterminada.
Tener una instalación de WordPress segura previniendo muchos ataques no es tan difícil, sólo hay que seguir una serie de pasos que nos harán inmunes a muchos de los ataques conocidos o como poco hará más difícil al atacante culminar su misión con éxito:
A mí, personalmente, por esto de que tendría que ser un usuario válido el que hiciera uso de la vulnerabilidad, no me parece extremadamente urgente la actualización salvo que tengas un blog con varios usuarios de los cuales no tienes muchas garantías de confianza…
Hace unos días ha salido publicada la versión 3.96-7 de la veterana aplicación de seguridad para Windows