Blog

Por qué las plataformas CMS son objetivos para los piratas informáticos

Por qué las plataformas CMS son objetivos para los piratas informáticos

Al principio, las páginas web se creaban utilizando archivos de texto plano en formato HTML, básicamente eran estáticas y estaban enfocadas principalmente en mostrar información sin dar la posibilidad a sus visitantes de interactuar con ellas. Pero a medida que crecía la popularidad de Internet, se fueron introduciendo más funciones, como por ejemplo los sistemas de pago en línea.

Como resultado de esta evolución, crear y mantener un sitio web de forma manual se volvió muy difícil.

Para automatizar y optimizar todo el proceso, los desarrolladores crearon algo llamado sistema de gestión de contenido (CMS), la mayoría de ellos de código abierto, como Drupal, TYPO3, WordPress o Joomla.

Estas aplicaciones se centraron principalmente en una cosa: facilitar a las personas sin demasiados conocimientos técnicos la creación y el mantenimiento de sitios web dinámicos.

¿Qué es un CMS?

Un sistema de gestión de contenido (CMS) es una plataforma de software que permite a los usuarios crear y administrar un sitio web mediante una interfaz gráfica de usuario.

Entre otras cosas, permiten realizar un seguimiento de los usuarios que visitan el sitio, manejar búsquedas, recopilar comentarios de los visitantes, organizar foros y mucho más.

Acostumbran a funcionar mediante plantillas y complementos, por lo que si no queremos que el diseño de nuestro sitio web sea un clon exacto de otros, no nos queda otra que «ensuciarnos las manos» para cambiar su diseño modificando los archivos CSS.

Y eso último sí que requiere de ciertos conocimientos.

Un CMS consta principalmente de dos elementos:

  1. La aplicación de gestión de contenido (CMA).
  2. La aplicación de entrega de contenido (CDA).

CMA permite la administración de usuarios para que puedan crear, modificar y eliminar contenido del sitio.

También incluye la interfaz de usuario (frontend) que permite realizar cambios en el contenido del sitio sin tener casi ningún conocimiento de HTML, hojas de estilo en cascada (CSS) o cualquier lenguaje de programación.

La aplicación de entrega de contenido (CDA) recopila esta información y actualiza el sitio web.

Joomla

Las plataformas CMS más populares que se utilizan en la actualidad son WordPress, Joomla y Drupal.

Y la mayoría de ellas pueden tener vulnerabilidades fácilmente detectables mediante herramientas automatizadas.

¿Por qué las plataformas CMS pueden presentar vulnerabilidades?

Los sistemas de administración de contenido tanto de código abierto como de código propietario tienen sus beneficios.

En el caso de las aplicaciones de código abierto, ofrecen un entorno colaborativo para compartir, estudiar y modificar el código fuente con el objetivo de mejorar sus funciones, o aplicar correcciones para mejorar la seguridad.

Pero también dependen de aplicaciones creadas por cientos de desarrolladores independientes, que proporcionan módulos y complementos.

Estas extensiones pueden tener alguna vulnerabilidad en su código y quedar expuestas a ataques como secuencias de comandos entre sitios, inyección SQL, etc.

Y si no se detectan y solucionan a tiempo, un atacante que las haya descubierto puede explotarlas fácilmente.

Antes de que existieran los sistemas de administración de contenido, los villanos tenían que buscar vulnerabilidades en un objetivo en concreto, como un banco o un sitio de comercio electrónico.

Y se limitaban a atacar esta página web.

Con los sistemas de administración de contenido, basta con encontrar una vulnerabilidad en un CMS utilizado por miles de usuarios para poder lanzar un ataque a nivel masivo.

Además de este problema, algunos propietarios de sitios web que usan contraseñas débiles dejan sus cuentas de administrador vulnerables a ataques automatizados de fuerza bruta.

Cuando se instala un CMS, por defecto incluye una cuenta de administrador predeterminada llamada «admin», lo que facilita las cosas a los atacantes, si no se cambia por otro nombre.

Cómo proteger un CMS

El primer paso es alojar la página web en un sitio que ofrezca garantías, y huir del alojamiento web gratuito.

Trabajar con servidores mal administrados o carentes de las mínimas barreras de seguridad aumenta innecesariamente los riesgos de ser víctimas de un ataque.

Probablemente, no darán la opción de poder configurar copias de seguridad, instalar certificados SSL, agregar una dirección de correo electrónico o una cuenta FTP.

Con un alojamiento de pago, los administradores pueden elegir si colocar o no anuncios en su sitio para monetizar la página web.

Pero algunas empresas de hosting insertan su propia publicidad, muchas veces invasiva, y que no tiene nada que ver con la temática del sitio, como condición para ofrecer el servicio de forma gratuita.

Y el propietario de la página no tiene control sobre qué tipo de anuncios se van a mostrar.

Los más infames insertan código oculto en el directorio raíz del sitio que solo ellos saben lo que hace, ya que están más interesados en recopilar información personal y venderla a terceros que en brindar un servicio.

Tampoco habrá nadie para ofrecer apoyo si algo sale mal. Si el servidor falla y la página se va al carajo, se lavarán las manos.

Como mucho, remitirán al sufrido usuario a un «foro de la comunidad» donde todos tienen el mismo problema y nadie da una solución, por lo que es mejor no perder el tiempo.

También es posible que cierren la cuenta sin previo aviso y los administradores pierdan el trabajo de meses.

Este tipo de alojamiento solo sirve para crear un sitio web de prueba o temporal, que no requiera de grandes requisitos ni maneje información confidencial.

Y a veces, ni para eso.

Mantener actualizado el CMS

Cualquiera que sea el CMS que elijas, ya sea basado en software propietario o de código abierto, una de las prioridades debe ser la frecuencia de las actualizaciones.

A medida que las amenazas de seguridad evolucionan, los creadores de los CMS tiene que ser capaces de corregir las vulnerabilidades que puedan ir surgiendo.

Del mismo modo, si el CMS usa complementos de terceros, hay que asegurarse de que también reciban actualizaciones periódicas.

Lo ideal es instalar únicamente los complementos estrictamente necesarios.

Establecer contraseñas únicas y complejas

Cada usuario tiene que tener un nivel de acceso adecuado (invitado, administrador, editor, etc.) mediante una contraseña única y compleja.

También es recomendable activar 2FA (autenticación de dos factores) si dicha opción está disponible.

Instalar HTTPS para todas las URL

Casi todos los CMS requieren que iniciemos sesión para poder trabajar con ellos.

Es importante instalar un certificado de seguridad para asegurarnos de que ninguna de las solicitudes de inicio de sesión pueda ser interceptada, y que la conexión entre el navegador del usuario y la página web sea segura.

Además, HTTPS aumentará el puntaje de SEO en los principales buscadores.

La mayoría de servicios de alojamiento web incluyen esta función dentro del paquete de hosting.

Instalar un cortafuegos

Posiblemente, es una de las mejores maneras de evitar que los piratas informáticos accedan a nuestros datos.

Un firewall también mantendrá alejados a los bots maliciosos (mediante el filtrado de direcciones IP) sin afectar el flujo de trabajo diario.

También ayudará a mitigar posibles ataques DDoS y los intentos de explotación de vulnerabilidades.

Evita las inyecciones de SQL

Generalmente, los piratas informáticos intentarán obtener acceso a los datos de cualquier forma posible.

Cada vez que se produce un intercambio de información entre un sitio web y el servidor, existe la posibilidad de que se produzca un evento adverso.

Por ejemplo, mediante un simple formulario de contacto desactualizado, los piratas informáticos pueden inyectar código malicioso y manipular la base de datos SQL para cambiar tablas, eliminar datos, etc.

Siempre podemos recurrir a auditorías de código para asegurarnos de que no hemos dejado ningún tipo de puerta abierta, aunque suelen ser procesos caros realizados por empresas.

Pero también existen recursos gratuitos para realizar un análisis en línea.

No utilizar extensiones o temas piratas

Los temas o extensiones llamados «nulled» son versiones pirateadas de complementos que se pueden usar para Joomla, WordPress o cualquier otro tipo de plataforma.

Es como usar versiones crackeadas o pirateadas de software para el ordenador.

Son gratuitos, pero a la larga, pueden costarnos muy caros.

Acostumbran a tener código malicioso incrustado que puede inyectar adware en el sitio web, minar criptomonedas en el navegador del usuario, implementar puertas traseras, etc.

Acostumbra a estar ofuscado o codificado en Base 64, lo que hace que sea casi imposible para los administradores detectarlo.

Hacer copias de seguridad

La mayoría de servicios de alojamiento web permiten a sus clientes hacer copias de seguridad periódicas tanto del sitio como de las bases de datos.

Es muy importante utilizar esa función para poder restaurar el sitio en caso de un ataque informático, o de un error fatal.

Implementar un CDN

Una red de entrega de contenido (CDN) es un grupo de servidores distribuidos geográficamente que proporcionan una entrega rápida de contenido de Internet, incluidas páginas HTML, JavaScript, hojas de estilo, imágenes y videos.

Algunos como Cloudflare cuentan con protección contra DDoS integrada y tienen una versión gratuita.

Artículos relacionados

Que es el envenenamiento de SEO y como afecta a nuestra seguridad
Que es el envenenamiento de SEO y como afecta a nuestra seguridad Al igual que no se puede juzgar un libro por su portada, no siempre se puede confiar en los r...
Pasos para proteger un sitio web hecho con Joomla
Pasos para proteger un sitio web hecho con Joomla Joomla, como todos los demás CMS del mercado, puede presentar vulnerabilidades, lo que lo con...
Qué es el phishing de nombres de dominio
Qué es el phishing de nombres de dominio Básicamente, todas las formas de phishing pueden describirse como tácticas de ingeniería soci...
© 2019 - 2022 Infosegur.net - CC-BY 4.0

Buscar