WordPress objetivo predilecto para ataques
WordPress es objetivo predilecto para ataques básicamente por dos razones:
- Es open-source, por lo tanto su código puede ser inspeccionado sin ninguna traba en busca de vulnerabilidades. Lo mismo se aplica a casi todo su ecosistema de plugins y themes.
- Es popular, por lo tanto encontrar una vulnerabilidad permite atacar muchos sistemas y las vulnerabilidades descubiertas quedan a disposición de cualquier interesado, no sólo es utilizada por su descubridor.
vs. Programación a medida
Cuando el código de una web es propietario, el atacante ha de estar especialmente motivado, no dispone de mucha información sobre el código que ataca, debe tratarlo como una caja negra y probar técnicas convencionales como SQL-Injection, Cross-site scripting, etc. o buscar vulnerabilidades en los servicios instalados en el servidor como Apache, Nginx, FTP, SSH, etc.
Riesgos que existen igualmente en una web con WordPress puesto que en el fondo no es más que un software programado en PHP+MySQL y requiere un servidor con los mismos servicios que cualquier otra página web y está expuesto a los mismas negligencias humanas.