Content Management Systems Security And Associated Risks

Artículo: Content Management Systems Security and Associated Risks

Autor: Official website of the Department of Homeland Security

Fecha: 24 de enero de 2013

Liga: http://www.us-cert.gov/ncas/alerts/TA13-024A

 Justifica a detalle por qué has seleccionado este material en particular.

Elegí este artículo debido a la creciente demanda en cuanto a CSM, hay que tener conciencia de las vulnerabilidades que presentan al ser víctimas de ataques cibernéticos. Generalmente los servidores web ofrecen la creación de redes y el aumento de la capacidad de cómputo en comparación con estaciones de trabajo de usuario medio, y por lo tanto un objetivo de elección de los agentes maliciosos para construir su infraestructura de ataque. Por esta razón, es imperativo para servidores seguros de acuerdo a las mejores prácticas, y así limitar su exposición al control de los actores potencialmente maliciosos.

En concreto, y de acuerdo a TUXSECURITY (s/f) los servidores infectados que aplican sistemas de gestión de contenidos (CMS) son constantemente utilizados para lanzar ataques cibernéticos.

CMS’s son paquetes de software que permiten a los administradores del sitio para administrar fácilmente el diseño, la funcionalidad y el funcionamiento de los sitios web con experiencia técnica mínima. En años recientes ha habido un aumento en el número de despliegues de software CMS en Internet. Esto ha sido impulsado por los populares proyectos de código abierto que están disponibles libremente bajo el modelo de Licencia Pública General (GPL). Por desgracia, algunos operadores del servidor web de la CMS no están siguiendo las mejores prácticas de seguridad, exponiéndolos y otros riesgos de seguridad cibernética como el compromiso y la denegación de servicio.

 Identifica las que consideres que son las principales 2 ideas del material, y justifica por qué son importantes.

1. Resaltar la importancia de las prácticas de seguridad cibernética en lo que se refiere a los sistemas de gestión de contenidos.

Para crear conciencia sobre esto, el artículo menciona el caso del Centro Canadiense de Respuesta Cibernética y US-CERT, en el cual, agentes maliciosos explotaron instalaciones CMS sin parches, principalmente instalaciones Joomla!, para obtener el control de los servidores web y lanzar denegaciones de servicio (DDoS) contra las organizaciones de infraestructura crítica.

De acuerdo con Miguel Ángel Álvarez, CMS son las siglas de Content Management System, es un sistema que nos permite gestionar contenidos, permitiendo administrar contenidos en un medio digital así como gestionar los contenidos de una web.

No solo Joomla! es uno de los CMS’s más ampliamente utilizados en el mundo, básicamente es un sistema gestión de contenidos que permite desarrollar sitios web dinámicos e interactivos, está basado en PHP y permite un rápido despliegue de contenido dinámico en sitios web. Es reconocido por su simplicidad de implementación y uso al tiempo que ofrece amplias características y plugins. Sin embargo, al igual que muchos otros paquetes de software grandes, Joomla! ha sido objeto de una serie de vulnerabilidades en los últimos años y, si se deja sin parche, puede representar un riesgo para los propietarios de sitios web, y cualquier usuario de internet.

Los mayores problemas de seguridad de los gestores de contenido más populares como Wordpress o Joomla!, suelen venir por la instalación de plugins de terceros que no están lo suficientemente revisados y auditados. Analizar uno de estos CMS es sinónimo de conocer que plugins tiene e identificar las vulnerabilidades que les afecta.

2. Propuesta de Soluciones

El artículo también propone una serie de soluciones que los administradores de sitios web deben esforzarse por seguir, sobre todo en lo relacionado con las instrucciones de parcheo de sus proveedores de software. De igual forma, realizar prácticas adicionales y orientaciones de seguridad están a disposición de la comunidad tales como The Open Web Application Security Project (OWASP) y US-CERT's Technical Information Paper on Website Security.

De igual forma, Joomla! y otros paquetes de CMS actualizan regularmente su software como vulnerabilidades se presentan y desarrollan los parches. The National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) proporcionan evaluaciones de vulnerabilidades de este tipo, acompañados de enlaces a actividades de remediación específicas para usuarios y administradores a seguir.

Por que cuando hablamos de sistemas de gestión de contenidos, tenemos que pensar en la seguridad de los mismos, no importando cual CMS estemos usando, ya sea el mismo Joomla!, Wordpress, Drupal, ya sea de cualquier gestor nadie se escapa de ser atacado y de no tener sus vulnerabilidades.

Referencias:

Álvarez, Miguel Ángel (2008). Definición y ejemplos de sistemas CMS: Content Manager System (Sistema gestor de contenidos). Desarrollo Web. Recuperado el 12 de marzo de 2013 en: http://www.desarrolloweb.com/articulos/que-es-un-cms.html

Official website of the Department of Homeland Security. (24 de Enero de 2013) Content Management Systems Security and Associated Risks. Recuperado el 12 de Marzo de 2013 en: http://www.us-cert.gov/ncas/alerts/TA13-024A

OzX. Identificación de vulnerabilidades en CMS: Joomlascan y Plecost. Recuperado el 12 de Marzo de 2013 en: https://foro.undersecurity.net/read.php?15,9819

TUXSECURITY Seguridad Informática y GNU/Linux (s/f) Joomscan un escáner de vulnerabilidades para joomla. Recuperado el 12 de Marzo de 2013 en: http://tuxsecurity.com/joomscan-un-escaner-de-vulnerabilidades-para-joomla-2/

Sistemas Afectados

Basadas en Web Content Management Systems, específicamente Joomla! instalaciones.

Visión de conjunto

Esta alerta fue desarrollado como un esfuerzo de colaboración entre Seguridad Pública de Canadá y los EE.UU. Departamento de Seguridad Nacional . La presente nota informativa tiene como objetivo crear conciencia sobre importantes prácticas de seguridad cibernética en lo que se refiere a los sistemas de gestión de contenidos, específicamente Joomla!

...