Seguridad en WordPress y otros gestores de contenido web

Entrar un día por la mañana a tu web y ver que aparece un mensaje del navegador que indica que contiene malware se está convirtiendo por desgracia en algo habitual, tal como nos indica el último informe de la empresa de seguridad Sucuri.

El informe completo nos desvela que, de todas las webs comprometidas, el 75% utiliza WordPress como gestor de contenido. Al ser uno de los CMS (Content Management System) más extendidos hoy en día es normal que esté en el ojo del huracán de los ataques y sea el que más ofensivas recibe.

A través de un simple plugin para hacer un carrusel de imágenes

La experiencia nos dice, y así lo corrobora el informe de Sucuri, que existen principalmente dos vectores de ataque a un CMS (tanto WordPress como Joomla, Magento, etc.):

• Ataque de fuerza bruta/diccionario al propio núcleo del CMS: intentos de entrar a la administración hasta conseguir la contraseña, etc.

• Búsqueda de vulnerabilidades de plugins: tal y como indica el informe, simplemente utilizando 3 plugins la probabilidad de ser comprometido en caso de ataque aumenta considerablemente.

Si bien el primer punto es bastante sencillo de atajar mediante contraseñas seguras, eliminando el usuario por defecto y limitando el acceso a la parte de gestión del sitio (por ejemplo Magento ya lo hace por defecto), la parte de los plugins es la más difícil de proteger y atajar.

Puede parecer una tontería que un simple plugin para hacer un carrusel de imágenes nos pueda causar problemas, pero no hay más que ver que la filtración de los famosos Papeles de Panamá parece haberse originado a través de plugins de terceros no actualizados. La facilidad que da WordPress tanto a un webmaster como a un desarrollador es una hoja de doble filo: es tan fácil hacer un plugin que realice la función que necesitamos que luego nos olvidamos de revisar la parte de seguridad.

Muchos de estos problemas originados por falta de actualización vienen por el clásico «si funciona no lo toques» y por no entender que una página web requiere de un desarrollo y mantenimiento constante y no se trata de un producto que se compra y paga una vez y dura para siempre. Muchas veces he escuchado el clásico «la web me la hicieron hace 2 años y ha dejado de funcionar» cuando las tecnologías están en evolución constante y se quedan obsoletas a velocidades espectaculares.

La seguridad no es un producto que se pueda comprar

Muchos administradores creen que pueden «comprar» seguridad; que puede instalar un plugin mágico o una «caja negra» que solucione todos los problemas de seguridad. Asimismo, está extendida la creencia de que tras pasar una auditoría de la web y arreglar los problemas que aparecen la página está securizada, cuando realmente «la seguridad no es un producto que puede comprar, si no que consiste en políticas, gente, procesos y tecnología» «Hacking the Xbox», Andrew “bunnie” Huang, No Starch Press – 978-1593270292).

Traducido al desarrollo web significa:

• Políticas: ¿Se actualiza de forma habitual el CMS y sus plugins? ¿Hay alguien que se encargue de revisar y validar lo que se instala?

• Gente: ¿Cuántas personas tienen acceso a la gestión del sitio? ¿Y cuántas por FTP para subir archivos? ¿Agencias de publicidad y freelances? La ingeniera social, si bien es un tema que no nos ocupa en este artículo, es otro de los grandes problemas de seguridad en el mundo de la TI.

• Procesos: ¿Pasamos de forma habitual auditorías de seguridad por una empresa externa? ¿Revisamos que el sitio funcione de forma correcta y notificamos al responsable en caso de ver «algo raro»?

• Tecnología: ¿Hemos pedido al proveedor de hosting la última versión del software sobre el que funciona la web? ¿Tiene algún sistema de defensa proactivo?

Internet es cada día más importante y está presente (y con el Internet de las Cosas cada vez lo estará más) en muchos aspectos de nuestra vida; hay que olvidarse del antiguo concepto de página web estática y pensar que se trata de algo en continua evolución, a la que hay que tratar como se merece. Es una parte más de la empresa a mantener, como las sillas de la sala de reunión o la puerta del almacén que no cierra bien. No queremos que un cliente se caiga de una silla ni que nos roben la mercancía del almacén pero sin embargo nos echamos las manos a la cabeza y nos preguntamos cómo ha podido pasar cuando una web es comprometida o ha dejado de funcionar varios años después de su desarrollo.

PD. Para muestra un botón, mientras redactaba este artículo he recibido un email de spam con un enlace a un wordPress comprometido.