A medida que se suceden las noticias relacionadas con las brechas de seguridad en diferentes CMS, principalmente en WordPress, no debemos dejar de recordar que mantener actualizada nuestra herramienta CMS así como los distintos complementos y temas que estemos usando es la mejor acción de seguridad que podemos realizar.
Como ya comentamos en una entrada anterior en relación a varios tópicos relacionados con los Sistemas de Gestión de Contenidos, siendo el de la seguridad quizá el más recurrente, según un informe de Securi Remediation Group la gran mayoría de las vulnerabilidades encontradas en los sitios analizados en su informe se encuentran en módulos de terceros y en elementos desactualizados.
Y en relación a este último punto, la desactualización, en un reciente post publicado por Catalin Cimpanu en Bleeping Computer se señala que tres años después de que se alertara de la existencia de 14 plugins de WordPress en los que se establecían puertas traseras (Backdoored) que permitían ejecutar de manera remota código malicioso dentro de nuestro sitio con el cual poder sustraer datos sensibles, cientos de instalaciones todavía emplean estos complementos, lo que pone de relevancia la poca importancia que le damos al mantenimiento las herramientas que hacen funcionar nuestro sitio en Internet.
Los plugins en cuestión y el número de instalaciones de cada uno de ellos se detallan a continuación:
- return-to-top (50+)
- page-google-maps (500+)
- gallery-slider (300+)
- g-translate (60+)
- share-buttons-wp (200+)
- mailchimp-integration (menos de 10)
- smart-video (70)
- seo-rotator-for-images (70+)
- ads-widget (40+)
- seo-keyword-page (200+)
- wp-handy-lightbox (500+)
- wp-popup (menos de 10)
- google-analytics-analize (70+)
- cookie-eu (menos de 10)
Todos estos pugins se encuentran eliminados del repositorio desde hace mucho tiempo, pero como podemos ver todavía existen cientos de sitios en los que se encuentran activos. Muchos son los que demandan que WordPress alerte de manera directa a los usuarios de un determinado complemento de su eliminación de los repositorios oficiales por problemas de seguridad. Sin embargo, desde el equipo de seguridad de este CMS descartan esta idea por los problemas de seguridad que esto acarrearía al dar a conocer muchos problemas de seguridad para los que todavía no existen parches para su solución.
Por lo tanto, y hasta que se desarrollen medidas más efectivas, está en nuestra mano, primero, mantener nuestras herramientas y sus complementos actualizados con sus últimas versiones, y en especial aquellas de seguridad, y además mantenernos atentos de las alertas de seguridad que se producen tanto desde los equipos de seguridad de los diferentes CMSs o de otros sitios especializados en estas labores.
Añadir nuevo comentario