Resultados de la encuesta de seguridad de WordPress 2022
Publicado: 2022-09-06Recientemente realizamos una encuesta para comprender mejor el estado de la seguridad de WordPress. La encuesta estaba abierta a todos e incluía varias preguntas relacionadas con la seguridad de WordPress. Este informe detalla nuestros hallazgos.
¿Por qué esta encuesta?
La seguridad de WordPress es un tema esencial en la mente de muchos administradores y propietarios de sitios web. Debido a su naturaleza abierta e iterativa, no siempre es fácil comprender si sus esfuerzos van lo suficientemente lejos o si hay áreas que requieren mayor atención y desarrollo. Esto es especialmente cierto cuando se hacen malabares con varias cosas a la vez, como suele ser el caso con la administración de sitios web de WordPress.
Con este fin, buscamos obtener una instantánea del estado de seguridad de WordPress. Si bien la encuesta no cubre todos los aspectos, es suficiente para proporcionar una imagen general de la seguridad general de WordPress.
¿Qué tan importante es la seguridad de WordPress para ti?
La primera pregunta que hicimos analizó la importancia de la seguridad de WordPress para los administradores de WordPress y los propietarios de sitios web. Como era de esperar, la gran mayoría de los encuestados considera que la seguridad de WordPress es esencial. De hecho, el 96 % de los encuestados considera que la seguridad de WordPress es muy importante, mientras que el 4 % de los encuestados la considera algo importante.
Si bien la gran mayoría considera que la seguridad de WordPress es muy importante, la cantidad de tiempo dedicado a proteger WordPress varía considerablemente. Veremos estas cifras a continuación.
Tiempo total dedicado a tareas de seguridad
Un porcentaje más significativo de administradores dedica entre una y tres horas al mes a tareas de seguridad, mientras que el 35 % de los encuestados dedica más de tres horas. El 22% dedica menos de una hora al mes. Si bien esta es la minoría, todavía representa un porcentaje considerable de todos los encuestados.
Una cosa que es importante tener en cuenta aquí es que el tiempo dedicado a las tareas de seguridad tiende a variar con el tiempo. Por lo general, se dedica mucho tiempo a la configuración inicial. Una vez que todo está en funcionamiento, generalmente se dedica menos tiempo a las tareas relacionadas con la seguridad, con unas pocas horas al mes suficientes para cubrir el mantenimiento continuo. El tamaño y la complejidad de los sitios web también pueden desempeñar un papel considerable en la cantidad de tiempo que se dedica.
Fortalecimiento de WordPress y mejores prácticas
El endurecimiento de WordPress es un proceso de mejores prácticas que tiene como objetivo reducir la superficie de ataque de los sitios web de WordPress. Ningún estándar acordado define lo que sucede en un ejercicio de endurecimiento; sin embargo, esto generalmente involucra actividades como restringir la API REST y deshabilitar el editor de archivos, entre otras cosas.
Cuando les preguntamos a los encuestados si alguna vez realizaron algún ejercicio de fortalecimiento de la seguridad de WordPress, la gran mayoría (el 85 %) respondió que sí. El 28% fortaleció manualmente su sitio web de WordPress, mientras que el 26% usó un complemento o servicio. El 31% usó un complemento y realizó procesos manuales. Solo el 15% de los encuestados no realizó ningún ejercicio de endurecimiento.
Actualizaciones y pruebas
Las actualizaciones son otro aspecto crítico de la seguridad de WordPress. El propio WordPress, así como los complementos y los temas, reciben actualizaciones periódicas, o al menos deberían. La gestión de estas actualizaciones es esencial, ya que a menudo incluyen correcciones de errores y agujeros de seguridad presentes en la versión actual (instalada).
El 52 % de los encuestados tiene habilitadas las actualizaciones automáticas para componentes que incluyen WordPress, complementos y temas, mientras que el 48 % no tiene habilitadas las actualizaciones automáticas. Por supuesto, no habilitar las actualizaciones automáticas no es necesariamente un riesgo de seguridad, ya que muchos administradores optan por probar las actualizaciones antes de implementarlas en el entorno en vivo.
De hecho, el 25 % de los encuestados siempre prueba las actualizaciones en un entorno de prueba o ensayo, mientras que el 26 % solo prueba las actualizaciones principales. Además, el 32 % de los administradores encuestados a veces prueban las actualizaciones, mientras que el 17 % nunca prueban las actualizaciones, independientemente del impacto que puedan tener en sus sitios web.
Estrategia de actualizaciones
Si bien tanto las actualizaciones automáticas de WordPress como las pruebas de actualización tienen sus méritos, la estrategia que se use puede depender del entorno. Un sitio web de comercio electrónico de alto riesgo puede querer probar las actualizaciones antes de implementarlas, ya que una interrupción puede significar una pérdida de ingresos. Por otro lado, el propietario de un sitio web que prefiere no intervenir tanto como sea posible puede activar las actualizaciones automáticas para mantener su sitio web seguro sin tener que administrarlo activamente.
Como tal, pensamos que sería interesante ver qué estrategia general emplean los administradores cuando se trata de actualizaciones.
| Actualizaciones automáticas y pruebas | Porcentaje |
|---|---|
| Actualizaciones automáticas habilitadas y, a veces, pruebas de actualizaciones | 19 |
| Actualizaciones automáticas deshabilitadas y siempre prueba las actualizaciones | dieciséis |
| Actualizaciones automáticas deshabilitadas y solo prueba actualizaciones importantes | 15 |
| Actualizaciones automáticas deshabilitadas y, a veces, pruebas de actualizaciones | 13 |
| Actualizaciones automáticas habilitadas y nunca prueba las actualizaciones | 13 |
| Actualizaciones automáticas habilitadas y solo prueba actualizaciones importantes | 11 |
| Actualizaciones automáticas habilitadas y siempre prueba las actualizaciones | 9 |
| Las actualizaciones automáticas están deshabilitadas y nunca prueban las actualizaciones | 4 |
Si bien la mayoría de las personas tienen algún tipo de actualizaciones automáticas habilitadas, muchos administradores aún realizan algún tipo de prueba antes de implementar actualizaciones en su entorno en vivo. De hecho, solo el 17% de todos los encuestados nunca prueban las actualizaciones.
Uso del complemento de seguridad
A los participantes de la encuesta también se les preguntó sobre el uso de complementos de seguridad. Se prestó especial atención a los cortafuegos, 2FA, registros de actividad de WordPress y complementos de seguridad de contraseña.
La gran mayoría de los encuestados tiene un complemento de firewall instalado en sus entornos, y el 81 % afirma tener uno o más instalados. Por el contrario, el 19% no tiene ningún complemento de firewall instalado.
2FA no es tan popular como los cortafuegos, a pesar de que empresas como Microsoft y Google respaldan esta forma más segura de iniciar sesión en WordPress. De hecho, solo el 64% de los encuestados usa 2FA en su sitio web, mientras que el 36% no lo hace.
Los complementos de registro de actividad son tan populares como los complementos 2FA, con el 65% de los encuestados usando uno.
Cuando se trata de seguridad de contraseñas, el 38% de los encuestados confía en que sus usuarios usen contraseñas seguras de WordPress. Por otro lado, el 40% usa un complemento de seguridad de contraseña de WordPress, mientras que el 22% está considerando usar uno.
Complementos principales
| Los tres mejores complementos de firewall | Los tres mejores complementos 2FA | Los tres principales complementos de registro de actividad |
|---|---|---|
| WordFence - 49% | Wordfence - 25% | Registro de actividad de WP - 42% |
| Sucurí - 7% | WP 2FA - 22% | Historia simple - 7% |
| Seguridad de iThemes - 2.5% | iTemas - 2.5% | Registro de actividad - 7% |
Sacar conclusiones y un camino a seguir
Los resultados muestran un gran interés en la seguridad de WordPress, lo cual es alentador. Del mismo modo, muchos administradores y propietarios de sitios web están tomando medidas para garantizar que sus sitios web sean seguros. Sin embargo, aún queda trabajo por hacer.
Si bien 2FA, de una forma u otra, ha existido durante bastante tiempo, aún necesita ponerse al día. Los complementos de firewall continúan gozando de una gran popularidad y, por muy buenos que sean, no pueden proteger los sitios web de WordPress de las infracciones de credenciales. Esto hace que los complementos 2FA sean esenciales para la seguridad general de los sitios web de WordPress.
Hay que decir que esto no es más que una instantánea de cómo los administradores de WordPress y los propietarios de sitios web ven la seguridad. También es importante tener en cuenta que las preguntas de esta encuesta cubren los aspectos básicos de la seguridad de WordPress. Si se toma en serio la protección de sus sitios web, asegúrese de seguir nuestro blog, donde tratamos numerosos temas sobre la seguridad de WordPress.