Hablar de por que un sitio echo con WordPress se infecta, es un tema muy amplio e involucra cuatro cosas como: Diseñador / desarrollador, Proyecto web, servidor web / hosting, el cliente.
Aqui tratare de descricibir los cuatro puntos del por que un sitio web es vulnerado.
Servidor Web / Hosting:
Un factor importante para la seguridad de un sitio web es el servidor, muchas veces el cliente opta por pagar bajo costo y opta por un servidor compartido y en un servidor compartido basta que un sitio de toda la cuenta compartida es vulnerado, ya todas las demas cuentas estan expuestas a ser infectado.
Diseñador / Desarrollador
Cuando implementan un proyecto web, muchas veces el responsable suele reducir costos y para ello recurre a themes o plugins nulled, es lo peor que puede hacer un especialista, el costo del los recursos (plugns o themes) deben ser asumidos por el clienten o ser parte del presupuesto inicial que se envia al cliente.
Tambien cuando se entrega un proyecto web se debe capacitar al cliente su uso y tambien hacer las recomendaciones necesarias con el tema de seguridad y el tema de actualizacion del core de WordPress y Plugins, aqui el cliente evaluara si paga un feed al especialista o el cliente mismo decida hacerlo bajo sus responsabilidad, pero esto deliverara responsabilidades al especialista si un proyecto es vulnerado.
Proyecto Web:
Para implementar, Diseñar, Desarrollar un proyecto web y cumplir con las especificaciones y/o requerimientos del proyecto, se deben evaluar que cosas se deben solucionar con plugins o desarrollo personalizado, tambien que cosas se solucionan con plugis Free o con plugins de pago.
El Cliente:
Cuando se entrega un proyecto web al cliente este muchas veces llega a manipular el proyecto instalando plugins sin antes de haber revisado la descripcion o el conflicto que pueda ocasionar con el resto de plugins.
Tambien el cliente contrata a especialistas o agecnias de marketing en el cual ellos instalan plugins que ya no estan en el repositorio de WordPress y esto tambien hace vulnerable al sitio web.
Aveces se le entrega al cliente con contraseñas seguras, pero estos son cambiados por el echo que son muy complejas de recordar o copiar cada vez qeu quieran acceder.
Si tu web ya fue infectado te recomiendo revisar los puntos donde comento acerca de la Limpieza de Malware en WordPress.
Deja una respuesta