El Informe de Investigaciรณn sobre Amenazas a Sitios Web 2022 de Sucuri, llevado a cabo por sus expertos en Investigaciรณn y Remediaciรณn, analizรณ las amenazas actuales y tendencias futuras en seguridad online. Este equipo de expertos analizรณ datos sobre malware basado en web, software vulnerable y ataques para identificar los tipos mรกs comunes de infecciones y amenazas. El anรกlisis revelรณ que los backdoors de sitios web y el spam de SEO mantienen su vigencia, y que se presentan grandes riesgos como consecuencia del redireccionamiento de sitios web a pรกginas web de spam, mediante plugins vulnerables.ย
El informe tambiรฉn seรฑalรณ un aumento significativo de los ataques de robo de tarjetas de crรฉdito en sitios web de comercio electrรณnico. Dentro de esta categorรญa, se destacan los sitios que utilizan plugins de WooCommerce, que experimentaron cargas maliciosas creadas especรญficamente para el sitio web de cada vรญctima. Asimismo, los sitios web de nivel medio se mantuvieron como los principales objetivos de las amenazas.
Por otra parte, la mayorรญa de los sitios web se encuentran comprometidos a causa de plugins y extensiones vulnerables, mรกs que a archivos CMS obsoletos. Incluso en caso de sitios web actualizados puede existir el riesgo de vulnerabilidad si la misma no se remedia a tiempo.
Por quรฉ es importante el anรกlisis de riesgos para la seguridad de los CMS
En los รบltimos aรฑos, se han multiplicado las amenazas a la ciberseguridad. Entre los ataques cibernรฉticos mรกs destacados del 2022 se encuentra el caso de Medibank, una aseguradora con sede en Australia vรญctima de un ataque que afectรณ a casi 10 millones de clientes. Asimismo, el Consejo Superior de Investigaciones Cientรญficas (CSIC) tambiรฉn fue afectado, y la productora de contenido Bandai Namco Holdings Inc. afirmรณ haber sufrido un acceso no autorizado a sus sistemas internos en varias empresas del Grupo en Asia.ย
Estos sucesos marcaron la relevancia de la seguridad a la hora de alcanzar un buen desarrollo web, destacando la importancia de la auditorรญa y actualizaciรณn periรณdica de los sitios web y las plataformas CMS con el fin de poder hacer frente a los retos de seguridad modernos.ย
Aunque las plataformas CMS como los blogs suelen pasarse por alto como objetivos potenciales de los piratas informรกticos, estos pueden ser vรญctimas de ciberataques mediante la aplicaciรณn de tecnologรญas de uso comรบn, la interacciรณn con clientes finales y su gran potencial para aumentar la visibilidad de las marcas.ย
Preocupaciones comunes sobre la seguridad del CMS
En primer lugar, el CMS puede dar lugar a la inyecciรณn de cรณdigo, una tรฉcnica consistente en insertar cรณdigo adicional en un sitio web sin el consentimiento del desarrollador, lo que puede ocasionar consecuencias no deseadas, constituyendo uno de los ciberataques mรกs frecuentes.ย
Por otra parte, la falsificaciรณn de peticiones entre sitios es otro tipo de ataque que consiste en engaรฑar a los visitantes del sitio para que envรญen peticiones no deseadas, lo que puede dar lugar al robo de datos y la manipulaciรณn de cuentas, entre otros riesgos.ย
Finalmente, Cross-site scripting (XSS) es otro tipo de ataque de inyecciรณn, que consiste en la ejecuciรณn de cรณdigo desde un navegador web en lugar del CMS o los archivos del sitio web. Muchos lenguajes de codificaciรณn son susceptibles a este tipo de ataques, lo que los convierte en un grave problema para los desarrolladores.
Plataformas CMS de cรณdigo cerrado y de cรณdigo abierto
Al elegir un CMS, dentro de la elecciรณn tambiรฉn se deberรก tener en cuenta el tipo de proveedor y si serรก de cรณdigo abierto o cerrado.ย
En primer lugar, los sistemas de gestiรณn de contenidos (CMS) de cรณdigo abierto se encuentran disponibles de manera gratuita y su mantenimiento es realizado por una comunidad de desarrolladores que pueden encontrarse en distintas regiones del mundo. Estos CMS brindan a los desarrolladores la posibilidad de contribuir al proyecto al hacer pรบblico el cรณdigo fuente. Como consecuencia, el pรบblico puede modificar y mejorar con libertad los CMS de cรณdigo abierto. Aunque el software de cรณdigo abierto ofrece la posibilidad de compartirse y asรญ mejorar de manera rรกpida y continua, tambiรฉn puede ser vulnerable a la explotaciรณn, debido a que el cรณdigo fuente estรก abierto a todo el mundo, lo que facilita la manipulaciรณn del cรณdigo con fines maliciosos y el ataque a sitios web o distribuciรณn de malware.
Por otro lado, los sistemas de gestiรณn de contenidos (CMS) propietarios o CMS de cรณdigo cerrado, no son de acceso pรบblico, por lo que solo los desarrolladores internos tienen acceso al cรณdigo fuente. Para mantener los CMS de cรณdigo cerrado, debe abonarse una suma dineraria por su mantenimiento, pudiendo adaptar la distribuciรณn segรบn el modelo comercial de cada cliente de pago. Los CMS de cรณdigo cerrado se encuentran protegidos con el objetivo de mantener el valor del producto, y se comercializan como un sistema pulido.ย
En comparaciรณn, los sistemas de gestiรณn de contenidos de cรณdigo abierto carecen de una directiva de seguridad clara, por lo que no tienen por objetivo principal resolver los problemas de seguridad para el usuario final. A diferencia de los CMS de cรณdigo cerrado, los CMS de cรณdigo abierto carecen de un equipo de seguridad dedicado exclusivamente a esta cuestiรณn. Como ejemplo, WordPress es un CMS de cรณdigo abierto que recomienda a los usuarios que sospechen que su sitio ha recibido un ciberataque que adquieran elementos de ciberseguridad o eliminen su sitio web. Esto se debe a que no se hacen responsables de la seguridad de los sitios web de sus usuarios.ย
En contraposiciรณn, los CMS de cรณdigo cerrado cuentan con equipos de seguridad especializados, ademรกs de amplias opciones de soporte para solucionar cualquier posible problema, lo cual constituye una de sus caracterรญsticas destacadas.
Medidas para proteger los sistemas de gestiรณn de contenidos
Gracias a los sistemas de gestiรณn de contenidos (CMS), es posible diseรฑar y poner en marcha un sitio web con facilidad, por lo que existe una gran variedad de estos CMS a disposiciรณn de todo tipo de clientes, sin importar el tamaรฑo de la empresa o si se trata de particulares.
Sin embargo, debido a la gran difusiรณn de este tipo de software, el riesgo de ciberataques es mayor, ya que los delincuentes eligen invertir mรกs energรญa en encontrar los puntos dรฉbiles de estos sistemas.
Una de las soluciones disponibles es la instalaciรณn de parches de seguridad, que es capaz de reducir significativamente el riesgo de ataques a los CMS. De todas formas, existen otras medidas que los propietarios de sitios web pueden tomar para mejorar la seguridad de su CMS. En este sentido, algunas de las alternativas disponibles son las copias de seguridad periรณdicas, las contraseรฑas seguras y la limitaciรณn de los privilegios de los usuarios.
Actualizaciones rรกpidasย
Es importante estar atento a las actualizaciones cuando se utiliza un CMS popular, ya que los hackers se mantienen al tanto de las vulnerabilidades conocidas. En este sentido, cobra relevancia la pronta aplicaciรณn de actualizaciones, especialmente las que abordan vulnerabilidades conocidas. Sin embargo, los CMS personalizados pueden ser difรญciles de actualizar, ya que los cambios realizados en el sistema pueden afectar su funcionalidad o dejar vulnerabilidades disponibles. Para evitar estos problemas, es recomendable la realizaciรณn de cambios en mรณdulos de programa independientes, y no en los mรณdulos principales del CMS, que reciben actualizaciones periรณdicas.ย
Gestiรณn rรกpida de parches
Una alternativa para reducir los ataques a la seguridad es la instalaciรณn de parches de seguridad. Para ello, se sugiere su instalaciรณn apenas se publiquen, o activar la funciรณn de actualizaciรณn automรกtica que la mayorรญa de los fabricantes incluyen.
Autenticaciรณn de dos factores
Para producir el aumento de la seguridad del acceso al รกrea de administraciรณn, es recomendable la utilizaciรณn de la autenticaciรณn de dos factores (2FA), en combinaciรณn con el nombre de usuario y la contraseรฑa habituales. Esto es posible mediante el empleo de herramientas como Google Authenticator, capaz de generar una contraseรฑa รบnica y sensible al tiempo. Con este fin, se necesita una aplicaciรณn de smartphone, y la contraseรฑa generada caduca a los 60 segundos. Asimismo, existe un plug-in para este sistema en varios programas de gestiรณn de contenidos que incluyen Typo3 y WordPress.
Accesos
Otra recomendaciรณn frecuente es la restricciรณn del acceso del administrador a determinadas direcciones IP o rangos de direcciones IP mediante extensiones o un archivo .htaccess.ย
Sumado a ello, se sugiere proteger el ordenador del webmaster instalando software antimalware, que debe mantenerse actualizado. Asimismo, utilizar una conexiรณn FTP cifrada puede evitar el robo de credenciales FTP.ย
Para proteger la cuenta de administrador, se recomienda activar todas las funciones de seguridad disponibles de manera simultรกnea, como 2FA, contraseรฑas seguras y cuentas de correo electrรณnico dedicadas. De la misma manera, es relevante la restricciรณn de los permisos de usuario a las funciones esenciales y la aplicaciรณn de polรญticas de seguridad de usuario que requieran 2FA ademรกs de otras medidas de seguridad.
ยฟEs un Headless CMS un CMS seguro?
Un CMS headless es considerado mรกs seguro que un CMS tradicional desde todas las perspectivas. El mismo se conforma por una capa de backend y se conecta a diferentes frontends mediante API, lo cual permite reducir las amenazas a la ciberseguridad.
La ausencia de base de datos tambiรฉn contribuye positivamente a la reducciรณn de posibilidades de una brecha de seguridad. Otro beneficio de estos sistemas es que los CMS headless requieren menos actualizaciones, lo cual implica que los cambios ligeros en determinados componentes pueden no afectar a la seguridad y el rendimiento de todo el sistema. Ademรกs, la continuidad del sitio web se encuentra protegida ante problemas temporales. Finalmente, a medida que el CMS sea mรกs seguro, mรกs fรกcil serรก la adaptaciรณn a futuras demandas.ย
Debe tenerse en cuenta que es crucial elegir un sistema CMS headless que tenga un historial sรณlido, y aplique tanto tecnologรญas como protocolos de seguridad que minimicen o eviten los ciberataques. Asimismo, el software escogido debe respetar los estรกndares del sector, y es importante que laย infraestructura utilice las mejores prรกcticas de seguridad.
Aplyca y la ciberseguridad
A la hora de implementar soluciones en estrategia de contenidos bajo altos estรกndares de calidad y seguridad en las organizaciones, Aplyca invita a todos aquellos que busquen alcanzar estos objetivos a comunicarse con ellos con el fin de implementar CMS seguros.
