Seguridad en la web: mejor no asumir riesgos

En los últimos años, los ataques a sitios web han aumentado a un ritmo alarmante. Estamos en un punto en el que entre 30.000 y más de 100.000 sitios web están siendo hackeados cada día en promedio.

Aunque esta es una estadística aterradora en sí misma, aún más aterradora es la facilidad con la que estos atacantes acceden a los sitios web a través de diversos medios maliciosos. La razón es que los propietarios de los sitios web o bien no son conscientes de las vulnerabilidades que existen en sus sitios web, o bien toman la seguridad de los sitios web como una idea tardía, y los dejan expuestos a tales ataques, debido a la falta de planificación y protección.

Una loca historia que queríamos compartir, porque era demasiado aterradora para no contarla, sucedió hace unos 6 meses. Acabábamos de asumir la seguridad web de uno de nuestros clientes que se tomaba la seguridad web en serio. Su anterior equipo de seguridad web les aseguró que su sitio web era seguro, y esas vulnerabilidades inherentes a WordPress, y los plugins que el sitio web estaba usando, estaban siendo parcheados y actualizados. Sin embargo, cuando echamos un vistazo “bajo el capó” del sitio web, encontramos que no era el caso en absoluto.

Como es típico en el servicio de seguridad de sitios web que ofrecemos, primero entramos, creamos múltiples copias de seguridad, y creamos una copia del sitio web en cuestión a uno de nuestros servidores de desarrollo antes de cavar profundamente y empezar a palear nuestro camino a través de lo grueso de las cosas. Una vez copiado en uno de nuestros servidores de desarrollo, echamos un vistazo a los plugins, así como al núcleo de WordPress, para ver si alguno de ellos estaba desactualizado y necesitaba ser actualizado, y lo que se nos presentó fue como mínimo impactante.

WordPress informó que todos los plugins están totalmente actualizados. Sin embargo, esto está lejos de la verdad. La forma más fácil de saberlo es mirando una de las versiones de los plugins, por ejemplo “Formulario de contacto 7” que informa que utiliza la versión 4.9, y que está “actualizado”. Cuando comparas eso con el registro de lanzamiento de Contact Form 7 aquí puedes ver que la versión 4.9 fue lanzada el 18 de agosto de 2017. La siguiente versión del Formulario de Contacto 7, la versión 4.9.1 fue lanzada el 31 de octubre de 2017, o un poco más de un mes después de la versión 4.9. Lo que esto significa es que el plugin estaba casi 2 años desactualizado mientras que el anterior equipo de seguridad web se aseguró de que el cliente estaba actualizando los plugins, y el cliente también se aseguró de que este era el caso, cuando se registró en el backend de su sitio web para administrarlo. Como se detalló en anteriores entradas de nuestro blog, los plugins obsoletos, especialmente las versiones realmente antiguas son una de las formas más comunes en que los hackers pueden obtener acceso no autorizado a WordPress y otros sitios web basados en CMS. Dado lo que hemos descrito en lo anterior, y armado con este conocimiento, debería ser capaz de pintar un cuadro de lo asustados que estábamos al ver esto. Entonces, la pregunta es, ¿cómo sucedió esto, y por qué?

En cuanto al cómo, después de una profunda investigación del código del sitio web, encontramos que el anterior equipo de seguridad puso en marcha un código personalizado que fue diseñado específicamente para bloquear WordPress de ser capaz de determinar qué plugins, y también el propio núcleo de WordPress, estaban desactualizados y necesitaban ser actualizados.

Esto hizo que WordPress pensara que todo estaba actualizado, y lo reportara como tal al cliente, básicamente dándole la falsa impresión de que todo estaba bien. Esto es algo muy malo, porque para uno hace que la actualización de los plugins y WordPress sea un esfuerzo algo dudoso debido a que no se sabe cuando se lanzan nuevas actualizaciones, y por lo tanto no se sabe cuando una actualización necesita ser puesta en marcha. El segundo aspecto de esto, que tocaremos un poco más adelante, es que elimina una capa de transparencia, y esencialmente engaña al cliente final en términos del trabajo que se está haciendo.

En cuanto al por qué, es nuestra opinión personal que cada vez que este nivel de esfuerzo se pone en ocultar la transparencia del trabajo relacionado con la seguridad, es que el trabajo simplemente no se está haciendo. En cuanto a los hechos, sabemos que la empresa anterior fue contratada para asegurar específicamente el sitio web, con la directiva de que se hagan actualizaciones frecuentes a WordPress y sus plugins. También sabemos que antes de que nos hiciéramos cargo de la seguridad, la empresa anterior había sido contratada por más de un año. La única conclusión que se puede sacar, basada en los hechos, y en que el plugin del Formulario de Contacto 7 (y muchos otros) está desactualizado desde hace más de 2 años, es que el trabajo de asegurar el sitio web por la empresa anterior simplemente no se hizo.

Todo esto quiere decir que al decidir con quién trabaja para asegurar su sitio web, siempre debe pedir un nivel mínimo de transparencia en términos de lo que se está haciendo, así como una forma de comprobar y asegurar, desde un nivel al menos alto, y a lo sumo un nivel granular, que lo que se requiere para garantizar la seguridad de su sitio web.

En Tu Estudio Web – Diseño web en Valencia tenemos un amplio conocimiento y experiencia en lo que se refiere a la seguridad del sitio web, y estamos más que contentos de discutir cualquier punto o preocupación que tengas respecto a la seguridad de tu sitio web. Siempre estamos a un correo electrónico o una llamada rápida de distancia. Si desea discutir esto con nosotros, por favor haga clic aquí para enviarnos un correo electrónico.

Ir arriba