Aunque en el pasado, muchos asesores y consultores (incluido yo mismo) solíamos recomendar Jetpack para WordPress, ahora hay una razón muy importante para eliminarlo de tu sitio web. La razón es que, lamentablemente, Jetpack requiere el XML-RPC, lo que hace que tu sitio web sea mucho más susceptible a posibles ataques. La semana pasada, dediqué unas horas para eliminar Jetpack de los pocos sitios web antiguos que mantengo personalmente y que aún tenían Jetpack instalado. Lo tedioso no fue hacer los dos clics necesarios para desinstalar Jetpack. Lo tedioso fue volver a crear y reinstalar los formularios de contacto que antes gestionaba Jetpack en algunos de esos sitios web antiguos. Hoy en día, siempre creo formularios de contacto junto con Cloudflare Turnstile, la mejor forma que conozco para evitar el spam no humano en los formularios. Quizás recordarás que publiqué una reseña de Turnstile en el 2024. Afortunadamente, al menos dos formularios de contacto gratuitos o freemium ahora son compatibles con Turnstile directamente, sin necesidad de ningún complemento adicional para hacer posible la integración de Turnstile con la plantilla. Dos buenos ejemplos son Contact Form 7 y WPForms.
Después de sustituir los formularios de contacto (que pueden ser varios en sitios web bilingües o multilingües, como era el caso de algunos de los que sustituí recientemente), añadir Cloudflare Turnstile y probar los formularios, puedes celebrarlo:
- Desinstalando Jetpack.
- Desactivando el XML-RPC utilizando tu complemento de seguridad actual o futuro.
Después de eso, también será una buena idea desactivar App Login (Rest API), desactivar REST Endpoint dentro de tu complemento de seguridad y ocultar (es decir, reubicar) la página de inicio de sesión, si aún no has hecho estas tres cosas, a menos que sepas que tienes una muy buena razón para mantenerlas activas.
Observación importante si utilizas Wordfence como complemento de seguridad
Wordfence no ofrece ninguna opción directa para desactivar por completo la API REST de WordPress, ya que su propia funcionalidad, incluida Wordfence Central, depende de ella. Es posible que desees considerar otro complemento de seguridad como FluentAUTH, especialmente si tu servidor web ya incluye Imunify360, como lo hacen todos los planes de mi TecnoTur.LLC.
Una razón por la que podrías encontrar una obligación de mantener el XML-RPC
Si utilizas VideoPress de Jetpack, mi investigación indica que necesitas mantener el XML-RPC, a pesar de su riesgo para la seguridad. Éste no es el caso si utilizas Vimeo o Bunny Stream para tus videos incrustados. Consulta mi reseña de Bunny Stream aquí:
Reseña: Bunny Stream supera a Vimeo Pro por 4 razones, como mínimo (ilustrado arriba)
Sigo recomendando Bunny Stream por las cuatro razones que se exponen en ese artículo.
Muy pronto: la tercera edición de mi libro electrónico WordPress security + multi-backups
La próxima y tercera edición de mi libro electrónico WordPress security + multi-backups incluirá la información que se trata en este artículo y mucho más. La tercera edición se podrá descargar de forma gratuita para todos los compradores de la primera y de la segunda edición. Si compraste tu copia fuera del sitio web directo (YourWebsiteSecurity.com), solicita tu tercera edición gratuitamente (que se concederá cuando esté disponible) a través de este formulario de contacto. Prepárate para proporcionar un recibo de tu compra original, si se te solicita en la respuesta por correo electrónico a tu solicitud inicial.
Read this article in English
Jetpack: A good reason to remove it from your WordPress website
Divulgación para la FTC
Ninguna de las organizaciones mencionadas en este artículo ha pagado por figurar en él. Allan Tépper gana regalías sobre las ventas de sus propios libros. Algunas de las empresas mencionadas anteriormente han contratado a Tépper y/o TecnoTur.LLC para realizar consultorías y/o traducciones/localizaciones/transcreaciones. Algunos enlaces a terceros enumerados en este artículo y/o en este sitio web pueden beneficiar indirectamente a TecnoTur.LLC a través de programas de afiliados. Las opiniones de Allan Tépper son de él mismo. Allan Tépper no es responsable del mal uso o mala comprensión de la información que comparte.
Memo Sauceda
Gracias por el «heads up», creo que mi sitio todavia lo tiene!