Recientemente realizamos una encuesta para comprender mejor el estado de la seguridad de WordPress. La encuesta estaba abierta a todos e incluía varias preguntas relacionadas con la seguridad de WordPress. Este informe describe nuestros hallazgos.
¿Por qué esta encuesta?
La seguridad de WordPress es un tema esencial que preocupa a muchos administradores y propietarios de sitios net. Debido a su naturaleza abierta e iterativa, no siempre es fácil comprender si sus esfuerzos van lo suficientemente lejos o si hay áreas que necesitan mayor atención y desarrollo. Esto es especialmente cierto cuando hace malabarismos con varias cosas a la vez, como suele ser el caso cuando se administran sitios net de WordPress.
Con ese fin, intentamos obtener una instantánea del estado de seguridad de WordPress. Si bien la encuesta no cubre todos los aspectos, es suficiente para pintar una imagen common de la seguridad common de WordPress.
¿Qué tan importante es la seguridad de WordPress para ti?
La primera pregunta que hicimos fue sobre la importancia de la seguridad de WordPress para los administradores de WordPress y los propietarios de sitios net. Como period de esperar, la gran mayoría de los encuestados considera que la seguridad de WordPress es esencial. De hecho, el 96% de los encuestados considera que la seguridad de WordPress es muy importante, mientras que el 4% de los encuestados la considera algo importante.
Si bien la gran mayoría considera que la seguridad de WordPress es muy importante, la cantidad de tiempo que lleva proteger WordPress varía significativamente. Veremos esos números a continuación.
Tiempo complete dedicado a tareas de seguridad
Un porcentaje más significativo de administradores dedica entre una y tres horas al mes a tareas de seguridad, mientras que el 35% de los encuestados dedica más de tres horas a ello. El 22% dedica menos de una hora al mes. Si bien se trata de una minoría, todavía representa un porcentaje appreciable de todos los encuestados.
Una cosa que es importante tener en cuenta aquí es que el tiempo dedicado a las tareas de seguridad tiende a variar con el tiempo. Normalmente se gasta mucho tiempo durante la configuración inicial. Una vez que todo está en funcionamiento, generalmente se dedica menos tiempo a las tareas relacionadas con la seguridad, ya que unas pocas horas al mes son suficientes para cubrir el mantenimiento continuo. El tamaño y la complejidad de los sitios net también pueden tener un impacto significativo en el tiempo requerido.
Fortalecimiento de WordPress y mejores prácticas
El endurecimiento de WordPress es un proceso de mejores prácticas destinado a reducir la superficie de ataque de los sitios net de WordPress. Ningún estándar acordado outline lo que sucede en un ejercicio de endurecimiento; Sin embargo, esto generalmente implica actividades como restringir la API REST y deshabilitar el editor de archivos, entre otras.
Cuando les preguntamos si alguna vez habían reforzado la seguridad de WordPress, la gran mayoría, el 85 %, respondió que sí. El 28% fortaleció manualmente su sitio de WordPress, mientras que el 26% usó un complemento o servicio. El 31% usó un complemento y realizó procesos manuales. Solo el 15% de los encuestados no realizó ningún ejercicio de resiliencia.
actualizaciones y pruebas
Las actualizaciones son otro aspecto crítico de la seguridad de WordPress. El propio WordPress, así como los complementos y los temas, se actualizan con regularidad, o al menos deberían hacerlo. La gestión de estas actualizaciones es esencial, ya que a menudo contienen soluciones para errores y vulnerabilidades de seguridad presentes en la versión precise (instalada).
El 52 % de los encuestados tiene habilitadas las actualizaciones automáticas para componentes que incluyen WordPress, complementos y temas, mientras que el 48 % no tiene habilitadas las actualizaciones automáticas. Por supuesto, no habilitar las actualizaciones automáticas no es necesariamente un riesgo de seguridad, ya que muchos administradores eligen probar las actualizaciones antes de implementarlas en el entorno en vivo.
De hecho, el 25 % de los encuestados siempre prueba las actualizaciones en un entorno de prueba o ensayo, mientras que el 26 % solo prueba las actualizaciones importantes. Además, el 32 % de los administradores encuestados a veces prueban las actualizaciones, mientras que el 17 % nunca prueban las actualizaciones, independientemente del impacto que puedan tener en sus sitios.
estrategia de actualización
Si bien tanto las actualizaciones automáticas de WordPress como las pruebas de actualización tienen sus méritos, la estrategia utilizada puede depender del entorno. Un sitio de comercio electrónico de alto riesgo puede querer probar las actualizaciones antes de implementarlas, ya que una interrupción podría significar una pérdida de ingresos. Por otro lado, el propietario de un sitio net que prefiere dejar ir todo lo posible puede activar las actualizaciones automáticas para mantener su sitio net seguro sin tener que administrarlo de manera demasiado activa.
Así que pensamos que sería interesante ver qué estrategia common usan los administradores cuando se trata de actualizaciones.
| Autoactualizaciones y pruebas | porcentaje |
|---|---|
| Las actualizaciones automáticas a veces habilitan y prueban las actualizaciones | 19 |
| Actualizaciones automáticas deshabilitadas y siempre prueba las actualizaciones | dieciséis |
| Deshabilita las actualizaciones automáticas y solo prueba las actualizaciones principales | quince |
| Deshabilita las actualizaciones automáticas y, a veces, prueba las actualizaciones | 13 |
| Las actualizaciones automáticas nunca se encienden y nunca prueban las actualizaciones | 13 |
| Habilita las actualizaciones automáticas y solo prueba las actualizaciones principales | as soon as |
| Las actualizaciones automáticas siempre se encienden y prueban las actualizaciones | 9 |
| Actualizaciones automáticas deshabilitadas y actualizaciones nunca probadas | 4 |
Si bien la mayoría de las personas tienen algún tipo de actualizaciones automáticas habilitadas, muchos administradores aún realizan algún tipo de prueba antes de implementar actualizaciones en su entorno en vivo. De hecho, solo el 17% de todos los encuestados nunca prueban las actualizaciones.
Uso de complementos de seguridad
También se preguntó a los encuestados sobre el uso de complementos de seguridad. Se prestó especial atención a los cortafuegos, 2FA, registros de actividad de WordPress y complementos de seguridad de contraseña.
La gran mayoría de los encuestados tiene un complemento de firewall instalado en su entorno, y el 81 % informó tener uno o más instalados. Por el contrario, el 19% no tiene complementos de firewall instalados.
2FA no es tan fashionable como los cortafuegos, aunque empresas como Microsoft y Google están detrás de esta forma más segura de iniciar sesión en WordPress. De hecho, solo el 64% de los encuestados usa 2FA en su sitio net, mientras que el 36% no lo hace.
Los complementos de registro de actividad son tan populares como los complementos 2FA, con el 65% de los encuestados usando uno.
Cuando se trata de la seguridad de las contraseñas, el 38 % de los encuestados confía en que sus usuarios utilicen contraseñas seguras de WordPress. Por otro lado, el 40% usa un complemento de seguridad de contraseña de WordPress, mientras que el 22% está considerando usar uno.
Principales complementos
| Los tres mejores complementos de cortafuegos | Los tres mejores complementos 2FA | Los tres mejores complementos de registro de actividad |
|---|---|---|
| WordFence – 49% | Wordfence – 25% | Registro de actividad de WP – 42% |
| Sucurí – 7% | WP2FA-22% | Historia sencilla – 7% |
| Seguridad iThemes – 2.5% | iTemas – 2.5% | Registro de actividad – 7% |
Sacar conclusiones y camino a seguir
Los resultados muestran un fuerte interés en la seguridad de WordPress, lo cual es alentador. Asimismo, muchos administradores y propietarios de sitios net toman medidas para garantizar la seguridad de sus sitios net. Sin embargo, todavía queda trabajo por hacer.
Si bien 2FA ha existido de una forma u otra durante bastante tiempo, todavía tiene que ponerse al día. Los complementos de firewall siguen siendo muy populares y, por muy buenos que sean, no pueden proteger los sitios de WordPress de las credenciales de inicio de sesión. Esto hace que los complementos 2FA sean esenciales para la seguridad common de los sitios net de WordPress.
Hay que decir que esto es solo una instantánea de cómo los administradores de WordPress y los propietarios de sitios net ven la seguridad. También es importante tener en cuenta que las preguntas de esta encuesta solo cubren los aspectos básicos de la seguridad de WordPress. Si realmente quiere proteger sus sitios net, asegúrese de seguir nuestro weblog donde cubrimos una variedad de temas de seguridad de WordPress.
Los resultados de Put up WordPress Safety Survey 2022 aparecieron primero en WP White Safety.
*** Este es un weblog sindicado de WP White Safety Safety Bloggers Community escrito por WP White Safety. Lea la publicación authentic en: https://www.wpwhitesecurity.com/wordpress-security-survey-results-2022/
