Vulnerabilidades del Joomla: Cómo Prevenirlas y Qué Puede Ocurrir
Vulnerabilidades del Joomla: Cómo Prevenirlas y Qué Puede Ocurrir Imagen gratuita tomada de Internet

Vulnerabilidades de Joomla!: Cómo Prevenirlas y Qué Puede Ocurrir

Destacado

El Gestor de Contenidos Joomla!, es un sistema OpenSource GPL/GNU, lo cual significa dos cosas, que por su parte GPL/GNU, es un software de libre descarga con costo cero.  Esto quiere decir que el software es descargado por todas las personas que lo deseen, cuándo lo deseen, y desde donde lo deseen, en cuanto a que sea OpenSource, quiere decir que el código de programación que permite la ejecución de este Gestor, se encuentra abierto, permitiendo las modificaciones que quien lo descarga desee hacer simplemente leyendo el código fuente, y modificando lo que necesite.

A esta consideración, podemos sumar, que:

Joomla! cuenta con muchos módulos “3th. Party”, esto significa, módulos o extensiones para aplicaciones concretas que son desarrollados por terceras personas que nada tienen que ver con el grupo de Desarrollo Oficial de Joomla!.  Estos módulos, normalmente son adicionados por algunos Webmasters, para “mejorar” la funcionalidad del Sitio Web basado en Joomla!.

No todas las ofertas de descarga gratuita, son de origen sano y confiable, por el contrario, debemos aprender a dudar sobre ofertas que nos hagan en paquetes de descarga como por ejemplo, redes P2P o de BitTorrent como  uTorrent, Ares, Limeware, Kazaa, o incluso de descargas por emule y sitios warez, donde ofrecen paquetes con 80, 100 y hasta 1000 extensiones que normalmente son de pago, pero que se “obsequian” por gusto de alguien.  

Tengamos cuidado, ya que estos “Regalos” normalmente tienen un fin único, y es apoderarse de su cuenta de hosting, para poder aplicar algún tipo de metodología de delitos informáticos.

Podemos correr el riesgo de quedarnos atrasados en versiones, si no estamos al día en las noticias del Gestor.  Por ejemplo, cuando se liberó la versión Joomla! 1.5.12, no tardó una semana para que fuera liberada la nueva versión 1.5.13., y quince días más para la 1.5.14, algo similar ocurrió con las versiones de la 2.5.11 a la 2.5.14.  

Esta liberación de versiones, conocidas como Latest Stable Release Version (Última Versión Estable Liberada), permite mejorar los bugs (fallos de seguridad en el código fuente), que con el tiempo y uso, logran ser detectados a nivel mundial.  Una vez liberada la última versión estable, TODA LA COMUNIDAD DE USUARIOS JOOMLA!, debe aplicar sus propias actualizaciones a los portales de su propiedad de inmediato, casi que tan pronto como sea liberada la nueva actualización, so pena, se recibir sorpresas en su cuenta de hosting.  Por tanto se recomienda estar al tanto de las últimas actualizaciones, ya sea por Feeds, o por suscripción a los Boletines Electrónicos "Joomleros".

Estas consideraciones técnicas, nos deben llevar a pensar en las diferentes responsabilidades a las que conlleva la administración técnica de un sitio web con la implementación de “Buenas Prácticas Tecnológicas”, esto incluye, análisis de estadísticas, gestión del correo electrónico, creación permanente de backups (copias de seguridad), gestión de las bases de datos y por último pero no menos importante, la actualización permanente de su gestor de contenidos cualquiera que sea, porque a TODOS les pasa lo mismo: se desactualizan y luego, con el tiempo, se vuelven inseguros.

1. ¿Hasta dónde llega la responsabilidad de Empresas Virtuales, o cualquier proveedor de hosting, o incluso, el Data Center donde alojamos nuestras máquinas?

La responsabilidad de cualquier empresa que diseñe el sitio web corporativo de un cliente suyo, normalmente se limita al levantamiento de información, construcción del sitio, y montaje de contenidos, posteriormente, ocurre la publicación del sitio en línea, y hasta ahí llega el contrato inicial, normalmente, dependiendo de las condiciones en que el contrato se realice, y dependiendo de igual manera, de los servicios relacionados en el mismo.

Por favor, no caigamos en un enredo de ideas que normalmente suele ocurrirle a los usuarios de sitios web con Joomla!, que piensan que la web es eterna, y que los problemas de seguridad, solo los viven los bancos y las entidades de gobierno.

NO y ROTUNDAMENTE NO, y esto es precisamente por el concepto OpenSource y GPL/GNU, ya que al ser de libre descarga y tener el código abierto, los sistemas gestores de contenido en general, están siendo sometidos de manera permanente a análisis concretos sobre su evolución, para lograr evidenciar fallas por parte de los hackers del mundo entero.  Aún así, Joomla sigue creciendo permanentemente, por considerarse uno de los mejores gestores de contenidos existentes en el mercado, que permite abaratar los costos de implementación de sitios web profesionales.

Esto quiere decir, que lamentablemente, cualquier web que utilice un Gestor de Contenido, se encuentra en la mira implacable de los terroristas cibernéticos.

2. ¿Tiene cura esto o sencillamente es un problema y debo acabar con mi sitio web?

SI TIENE CURA, y es muy fácil, ya que usted, al tener la propiedad de un sitio web basado en Joomla!, debe:

  1. Suscribirse a los boletines electrónicos de actualizaciones Joomla!.
  2. Recurrir a los sitios de descarga de material.
  3. Verificar la versión de su Joomla!.
  4. Y empezar a aplicar los parches correspondientes.

Si este protocolo de actualización Joomla!, es realizado inmediatamente es liberada una última versión, usted puede tener la certeza de que la seguridad de su sitio web, se mantiene al día y le va a hacer mucho más difícil, el trabajo a los delincuentes virtuales.

3. ¿No existe otra forma de hacer las cosas, para evitar estos inconvenientes?

Es factible que si usted traza un plan de soporte técnico con la empresa que le está prestando el servicio de diseño y actualización de su sitio web, usted pueda descansar de la forma más tranquila, pero de lo contrario tendrá que hacerlo por su propia cuenta.

Por ejemplo, Empresas Virtuales provee un servicio de Hosting Antihacking en donde le garantiza la seguridad, o en su defecto el restablecimiento de su sitio web en caso de ser atacado.

4. ¿Qué tipo de delitos informáticos se pueden presentar en caso de que hayan hackeado mi cuenta?

  1. Defacement.
  2. Phishing o Fishing.
  3. SQL Injection o Inyección SQL.
  4. Denial Of Service.
  5. SPAM – Envío de correo electrónico NO autorizado.
  6. Robar información personal de clientes.

5. ¿Por qué hackean entonces mi cuenta de hosting?, ¿no se supone que los estándares de seguridad son internacionales y por tanto excelentes?

Efectivamente, la seguridad de los servidores en Empresas Virtuales es excelente, ya que utiliza estándares internacionales, por estar ubicados en un Centro de Datos (DATA CENTER) especializado para este tipo de prestación de servicios.

El inconveniente se presenta cuando en esa cuenta de hosting ocurre alguna de las siguientes incidencias:

  1. Instalación de cualquier tipo de software que no sea desarrollo propio.
  2. Instalación de software libre que no corresponda a la última versión estable liberada de ese software.
  3. Descarga de software de sitios warez, ilegales, sin garantía y sin respaldo, en cambio si, con alta probabilidad de alteración de código malicioso.
  4. Instalación de software libre sin sus respectivas actualizaciones.
  5. Aplicación de permisos 777 en archivos y/o carpetas del servidor.
  6. No hay eventos de actualización de claves de acceso.

Todo esto, favorece el acceso de terceros al servidor, permitiendo la violación de la seguridad, por tanto, se debe tener cuidado en la administración de la cuenta de hosting, para que su cuenta no presente accidentes o inconvenientes.

6. ¿Qué ocurre con mi cuenta cuando esta ha sido hackeada y quién responde por esto?

Aunque en algunas ocasiones, el riesgo de un ataque hacking realizado sobre una cuenta de hosting, es tan bajo, que no hace incurrir a la cuenta en proceso de eliminación, si puede verse penalizada en cuanto a la prestación del servicio, mientras la cuenta es revisada por los expertos del Data Center.  Estas penalizaciones no tienen un tiempo determinado, ya que no es responsabilidad directa ni del Data Center ni de Empresas Virtuales, entregar ningún tipo de reporte detallado a los usuarios, adicional al correo de comunicación de los hechos.

En algunos casos, los ataques ocurridos comprometen en alto grado la seguridad completa  del servidor, por tal razón, en estos casos, una vez se descubre el inconveniente, la cuenta es eliminada directamente por el Data Center, para evitar reclamaciones directas de las entidades internacionales regulatorias antes de que ocurran incidentes delictivos de talla internacional, como la realización efectiva de robos bancarios internacionales por ejemplo.

En caso de que su cuenta fuese eliminada por cuestiones de seguridad, el Data Center no responde por copias de seguridad ni por pérdida de información derivada de la eliminación de la cuenta, ya que para esto, el sistema administrador del hosting CPanel Accelerated, cuenta con una opción para la creación de copias de seguridad, que puede ser accesible desde cualquier lugar geográfico, a cualquier momento, y además, su uso, hace parte de las buenas prácticas tecnológicas y de administración de la información.

Por tal razón, y como el Data Center no responde por este tipo de acciones, Empresas Virtuales, tampoco se hace responsable de los daños ocasionados por estas ocurrencias.

Por este motivo, se invita a toda la comunidad de clientes y de usuarios de Joomla!, a que revisen  el tipo de software que están utilizando, la versión, los módulos, y todo contenido de software que se maneje, ya que en este momento podemos prevenir desastres en el manejo de la información, si tomamos las medidas necesarias a tiempo.

Agradecemos a todos por su amable comprensión, y esperamos mantenernos en contacto.

Modificado por última vez enJueves, 15 Enero 2015 00:17
(0 votos)
Visto 1148 veces

Más en esta categoría:

¿Es bueno migrar de Mysql a MariaDB? »

Log in

fb iconLog in with Facebook
create an account