Seguridad en los CMS: prevención de vulnerabilidades
TENDENCIAS ALTO NIVEL, INFRAESTRUCTURA.El Informe de Investigación sobre Amenazas a Sitios Web 2022 de Sucuri destaca las tendencias y amenazas emergentes y actuales en la seguridad de los sitios web. Los expertos en Investigación y Remediación de Sucuri analizaron datos sobre malware basado en web, software vulnerable y ataques para identificar los tipos más comunes de infecciones y amenazas. El análisis reveló que los backdoors de sitios web y el spam de SEO seguían siendo frecuentes en 2022, y que continuaba una campaña de años de redireccionamientos de sitios web a sitios web de spam a través de plugins vulnerables.
El informe también señaló un aumento significativo de los ataques de robo de tarjetas de crédito en sitios web de comercio electrónico, en particular en los que utilizan plugins de WooCommerce, con muchas cargas maliciosas creadas específicamente para el sitio web de la víctima. Los sitios web de nivel medio siguieron siendo los principales objetivos de las amenazas.
La mayoría de los sitios web comprometidos se deben a plugins y extensiones vulnerables más que a archivos CMS obsoletos. Incluso con un sitio web totalmente actualizado, puede seguir siendo vulnerable si un elemento revela su vulnerabilidad y no se remedia con rapidez.
Por qué es importante el análisis de riesgos para la seguridad de los CMS
En los últimos años, se han producido numerosos casos de fallos de seguridad de alto perfil. Algunos de los ataques cibernéticos más destacados del 2022 incluyen a Medibank, una gran aseguradora australiana que sufrió un ataque que afectó a casi 10 millones de clientes, el Consejo Superior de Investigaciones Científicas (CSIC) también fue afectado, y la productora de contenido Bandai Namco Holdings Inc. confirmó que sufrió un acceso no autorizado a sus sistemas internos en varias empresas del Grupo en Asia.
Estos sucesos han servido para recordar que la seguridad es un punto neurálgico del buen desarrollo y que los sitios web y las plataformas CMS deben auditarse y actualizarse periódicamente para hacer frente a los retos de seguridad modernos.
Aunque las plataformas CMS como los blogs suelen pasarse por alto como objetivos potenciales de los piratas informáticos, estos tienen la posibilidad de seguir siendo vulnerables debido al uso de tecnologías de uso común, la interacción con los clientes finales y su gran potencial para crear visibilidad de marca.
Preocupaciones comunes sobre la seguridad del CMS
El CMS puede dar lugar a la inyección de código, una técnica que consiste en insertar código adicional en un sitio web sin el consentimiento del desarrollador, lo que provoca consecuencias no deseadas. Y es uno de los ciberataques más comunes.
La falsificación de peticiones entre sitios es otro tipo de ataque que engaña a los visitantes del sitio para que envíen peticiones no deseadas, lo que puede dar lugar a violaciones de datos, manipulación de cuentas u otros problemas.
Cross-site scripting (XSS) es otra forma de ataque de inyección que se basa en la ejecución de código desde un navegador web en lugar del CMS o los archivos del sitio web. Muchos lenguajes de codificación son susceptibles a los ataques XSS, lo que los convierte en una preocupación importante para los desarrolladores.
Lea también: ¿Cómo saber si tu sitio web es seguro?
Plataformas CMS de código cerrado y de código abierto:
Al elegir un CMS, dentro de la elección también se tendrá que tener en cuenta qué tipo de proveedor y, en parte, si será de código abierto o cerrado.
Los sistemas de gestión de contenidos (CMS) de código abierto están disponibles de forma gratuita y son mantenidos por una comunidad de desarrolladores, que pueden encontrarse en distintas regiones del mundo. Estos CMS permiten a los desarrolladores contribuir al proyecto haciendo público el código fuente. Como resultado, el público puede modificar y mejorar libremente los CMS de código abierto. Aunque el software de código abierto se basa en la posibilidad compartir y tener la posibilidad de mejorar de manera rápida y continua, también puede ser vulnerable a la explotación. Esto se debe a que el código fuente está abierto a todo el mundo, lo que facilita la manipulación del código y el ataque a sitios web o distribución de malware.
Los sistemas de gestión de contenidos (CMS) propietarios, también conocidos como CMS de código cerrado, no son de acceso público y sólo los desarrolladores internos tienen acceso al código fuente. Para mantener los CMS de código cerrado, hay que pagar por su mantenimiento y se distribuyen según un modelo comercial a clientes de pago. Los CMS de código cerrado están protegidos para mantener el valor del producto y se venden a los clientes como un sistema pulido.
En comparativa, los sistemas de gestión de contenidos de código abierto carecen de una directiva de seguridad clara y no se centran principalmente en resolver los problemas de seguridad para el usuario final. A diferencia de los CMS de código cerrado, los CMS de código abierto no cuentan con un equipo de seguridad dedicado a gestionar los problemas de seguridad. Por ejemplo, WordPress, un CMS de código abierto, aconseja a los usuarios que sospechen que su sitio ha sido pirateado que adquieran elementos de ciberseguridad o borren su sitio web. Esto se debe a que no son responsables de la seguridad de los sitios web de sus usuarios.
En cambio, los CMS de código cerrado, cuentan con equipos de seguridad especializados y amplias opciones de soporte para solucionar cualquier posible problema, lo que lo convierte en una de sus características más atractivas.
Medidas para proteger los sistemas de gestión de contenidos
Con la ayuda de los sistemas de gestión de contenidos (CMS), es posible diseñar y poner en marcha un sitio web con sólo unos clics, existen docenas de estos CMS a disposición de particulares, pequeñas y medianas empresas y grandes compañías por igual.
Sin embargo, la proliferación de estos sitios web no ha pasado desapercibida para los ciberdelincuentes, que cada vez los tienen más en el punto de mira en busca de vulnerabilidades. Cuanto más extendido está el software, mayor es el número de posibles objetivos, y más energía y gastos invierten los delincuentes en la búsqueda de posibles puntos débiles.
La pronta instalación de parches de seguridad puede reducir significativamente el riesgo de ataques a los CMS. Sin embargo, hay otras medidas que los propietarios de sitios web pueden tomar para mejorar la seguridad de su CMS. Las copias de seguridad periódicas, las contraseñas seguras y la limitación de los privilegios de los usuarios son algunos ejemplos de buenas prácticas que pueden ayudar a protegerse contra los ciberataques.
Actualizaciones rápidas
Es importante estar atento a las actualizaciones cuando se utiliza un CMS popular, ya que los hackers no tardan en aprovecharse de las vulnerabilidades conocidas. Asegúrese de aplicar las actualizaciones con prontitud, especialmente las que abordan vulnerabilidades conocidas. Sin embargo, las versiones personalizadas de CMS pueden ser difíciles de actualizar, ya que los cambios realizados en el sistema pueden romper su funcionalidad o dejar vulnerabilidades sin corregir. Para evitar estos problemas, se recomienda realizar los cambios en módulos de programa independientes en lugar de en los módulos principales del CMS, que reciben actualizaciones periódicas.
Gestión rápida de parches
Los ataques pueden ser reducidos al instalar parches de seguridad. Se sugiere instalarlos en cuanto se publiquen o activar la función de actualización automática que ya suele ser una oferta predeterminada de muchos fabricantes.
Autenticación de dos factores
Para aumentar la seguridad del acceso al área de administración, se sugiere utilizar la autenticación de dos factores (2FA) junto con el nombre de usuario y la contraseña normales. Esto se puede hacer empleando Google Authenticator, que genera una contraseña única y sensible al tiempo. Para utilizar esta función se necesita una aplicación de smartphone, y la contraseña generada caduca a los 60 segundos. Existe un plug-in para este método en varios sistemas de gestión de contenidos, como Typo3 y WordPress.
Accesos
Se recomienda también restringir el acceso del administrador a determinadas direcciones IP o rangos de direcciones IP mediante extensiones o un archivo .htaccess.
Además, proteger el ordenador del webmaster instalando software antimalware, manteniéndolo actualizado y utilizando una conexión FTP cifrada puede evitar el robo de credenciales FTP.
Para proteger la cuenta de administrador, se sugiere activar todas las funciones de seguridad disponibles, como 2FA, contraseñas seguras y cuentas de correo electrónico dedicadas. También es importante restringir los permisos de usuario a las funciones esenciales y aplicar políticas de seguridad de usuario que requieran 2FA y otras medidas de seguridad.
¿Qué CMS’s tienen el mejor récord de seguridad?
Cuando se trata de sistemas de gestión de contenidos (CMS), la comparación más habitual es entre Drupal y WordPress. Aunque WordPress es más popular que Drupal, depende en mayor medida de plugins de terceros y se considera menos seguro que Drupal. Sin embargo, el problema de los plugins de WordPress es relativamente fácil de solucionar. Actualizar regularmente el sitio y sus plugins puede resolver la mayoría de los problemas de seguridad.
En 2018, un estudio realizado por Sucuri en 25.466 sitios web infectados mostró que el 90% de los sitios infectados se ejecutaban en WordPress. Sin embargo, esta cifra no es muy útil porque refleja la popularidad de cada CMS.
Es por esta razón que cada sitio web necesita ser auditado y actualizado regularmente. Cualquier sitio puede volverse inseguro por numerosas razones y tiene diferentes tipos de activos que proteger. Las plataformas se actualizan con regularidad, y cada actualización puede resolver muchos problemas. Por lo tanto, no siempre es una buena idea elegir un CMS basándose en cifras estadísticas encontradas en línea.
Sin embargo, toda organización debe tomar precauciones para mantener sus sitios web seguros. La cuestión de la seguridad del sitio web y del CMS debe revisarse con regularidad, y deben tomarse medidas si se detecta una debilidad o se espera que aparezca en un futuro próximo. Para los sitios con acceso a información sensible, una auditoría CMS o una auditoría de seguridad del sitio web debe ser realizada por una agencia profesional de desarrollo web cuando los recursos internos no sean suficientes.
El futuro de la seguridad en los CMS’s
De cara a 2021 y más allá, el futuro de la seguridad de los CMS es difícil de predecir. Las versiones obsoletas de CMS seguirán presentando un mayor riesgo, y se espera que surja malware nuevo e innovador. Sin embargo, hay algunas tendencias que probablemente tendrán un impacto positivo. Por ejemplo, el inicio de sesión único (SSO) y la autenticación de dos factores (2FA) se están generalizando y pronto se convertirán en una práctica estándar.
Los propietarios de empresas que no tengan la experiencia o los recursos necesarios para gestionar adecuadamente la seguridad del CMS deberían plantearse contactar con una agencia de desarrollo web para que les realice una auditoría. Un equipo fraccionado remoto puede proporcionar beneficios económicos y comodidad a las organizaciones que carecen de desarrolladores web internos. Al fin y al cabo, la mejor defensa contra los ciberataques es mantenerse alerta y mantener el software actualizado.
¿Es un Headless CMS un CMS seguro?
Un CMS headless se considera más seguro que un CMS tradicional en todos los sentidos posibles. Consta de una capa de backend y se conecta a diferentes frontends mediante API, lo que reduce la posible amenaza para la seguridad.
La falta de una base de datos también reduce las posibilidades de una brecha de seguridad. Además, en los CMS headless se requieren menos actualizaciones, lo que significa que un ligero cambio en un componente puede no afectar a la seguridad y el rendimiento de todo el sistema. Además, la continuidad del sitio web no se ve afectada por problemas temporales. Por último, cuanto más seguro sea el CMS, más fácil será la adaptación a futuras demandas.
Sin embargo, es crucial elegir un sistema CMS headless que tenga un historial sólido y tecnologías y protocolos de seguridad que protejan contra los ciberataques. El software elegido debe seguir los estándares del sector y la infraestructura debe utilizar las mejores prácticas de seguridad.
Aplyca y la ciberseguridad.
Si su organización tiene interés en implementar una solución para su estrategia de contenidos con los más altos estándares de calidad y seguridad, lo invitamos a contactarnos.