Nuestro primer fallo de seguridad es de Joomla en especial las versiones 2.5.7 y anteriores.
Esto no debería ser en teoría importante, dado que Joomla se encuentra actualmente en la versión 3.0.2, por lo que el fallo ya debería estar subsanado. Lo que ocurre es que muchas veces las empresas se olvidan de contratar un mantenimiento del gestor de contenidos, o si lo hacen va más enfocado a temas de diseño que de actualizaciones del sistema.
Cuando un sistema no esta actualizado este puede ser atacado constantemente, ya que todo el tiempo se encuentran fallos en el código que es usado para alterar los blogs o obtener privilegios de estos.
Los CMS están en constante evolución y muchas de las actualizaciones que sacan son mejoras del sistema,o correcciones de parches de seguridad detectados. En este caso se trata de un problema de podría permitir a un atacante eludir restricciones de seguridad y efectuar ataques a través de la técnica del “clickjacking” o robo de enlaces. De esta forma un usuario podría suplantar a otro sin necesidad de conocer la contraseña, con lo que esto puede implicar para la página de nuestra empresa. Puede parecer complicado, pero en realidad no lo es tanto y sólo por el daño de tener la página web corporativa hackeada, merece la pena la inversión en la actualización.
Otro de los problemas de seguridad que constantemente los
CMS se ven afectados es la enumeración de usuarios, esto quiere decir que
cuando atacan se llevan todos los usuarios y privilegios de estos, afectando la
seguridad del sistema e integridad y disponibilidad de la información.
Algunos consejos para evitar fallas de seguridad en
nuestros CMS:
- Mantener siempre actualizado tu CMS a la última
versión.
- Utiliza los plugins que son extrictamente necesarios y que conoces su procedencia.
- Utiliza los plugins que son extrictamente necesarios y que conoces su procedencia.
- Nunca utilices scripts/themes/plugins nulled.
- Los usuarios descargan e instalan cientos de plugins y
themes sin conocer su origen o procedencia, otros piensan que son más
inteligentes utilizando themes o plugins nulled.Estos son grwndes errores,
antes de instalar algo en nuestro blog es necesario que estemos seguros de la
procedencia de estos.
Se podría decir que el 99% de los casos de vulnerabilidad se debe a problemas con el usuario y no con el proveedor de alojamiento, los problemas ocurren cuando el usuario no cumple con los minimos consejos de seguridad que hemos indicado antes.
Algo importante y que no se menciono es el hacer uso de foros de seguridad: es bueno tener comunicación con gente relacionada con el CMS que estemos utilizando e informarnos sobre problemas para actuar lo más rápido posible.
ResponderEliminarPuede ser un foro nuevo donde sigamos foros que hablen y esten actualizados en temas de seguridad.