Si aún lo dudas, nosotros lo confirmamos. WordPress es muy seguro. Pero eso sí, debes tener en cuenta que su grado de seguridad está directamente relacionado con el código que emplees para los plugins o las funciones personalizadas de la web que estés preparando.

¿Qué son los nonces y cómo se usan para proteger tu sitio WordPress?

Los nonces son una parte realmente importante de la seguridad de WordPress. El término significa algo así como ‘número que se utiliza una sola vez’, por lo que este código que incluye combinaciones de números y letras de forma aleatoria, se utiliza una sola vez y trabaja para mantener tu código de seguridad.

Se utilizan sobre todo para proteger URLs. Se generan cada 12 horas y tienen una validez de 24 horas, por lo que una vez expirado este tiempo, ya no se pueden volver a emplear.

Su principal misión es proteger una web de WordPress frente a ataques de los hackers, que envían peticiones a los servidores sin darnos cuenta, y podemos correr el riesgo de quedarnos sin página sin previo aviso de ningún tipo.

Para crear un nonce y añadirlo a la URL, a fin de evitar cualquier tipo de ataque, se deberá emplear la función wp_nonce_url(), con dos valores: uno de ellos con la URL, y el otro con una acción que represente la acción del usuario (por ejemplo: borrar comentario ‘wp_nonce_field ( ‘delete-comentario _’ $ comment_id.);)’. 

El CSRF (Cross-site request forgery)

Traducido del inglés como ‘falsificación de petición en sitios cruzados’ y conocido también como ‘one-click attack’, es una de las vulnerabilidades más frecuentes en webs creadas con WordPress. De ahí la utilización de nonces.

Entre los ataques más frecuentes que se pueden producir se incluyen:

  • La creación de cuentas de usuarios sin que el administrador las detecte.
  • Completar formularios de contacto con info falsa.
  • Borrar toda la información de la web.
  • La desaparición de cuentas de usuario.
  • Compras ficticias en caso de que la web sea un tienda online.