Así como el sistema operativo de tu computadora, los CMS están expuestos a constantes ataques y búsqueda de vulnerabilidades por sujetos mal intencionados.
La lógica es la de siempre: “A mayor masividad mayor riesgo”. Es por esto que CMS como Joomla o WordPress, constantemente están actualizando sus sistemas mediante parches de seguridad, apoyado por gigantescas comunidades enfocadas en el desarrollo de sus manejadores de contenido.
Otro asunto no menor, las actualizaciones constantes permiten evolución y adición de nuevas tecnologías, los CMS buscan estar a la par con nuevas tendencias que mejoren la experiencia del usuario, agregando características que: agilizan la carga, permiten un mejor proceso de “indexeo”, compatibilizan con dispositivos mobiles, entre otros.
Pero sin duda, el mayor sustento a los CMS son los parches de seguridad. Actualizaciones que entregan mejoras en aspectos sensibles del código fuente, el que día a día va mutando para ser impenetrable. Entre las mayores amenazas solventadas por estos parches nos encontramos con:
- Ataques de Inyección.
- Romper autenticación y gestionar sesiones.
- Cross-Site Scripting (XSS).
- Referencias inseguras a objetos directos.
- Mala configuración de seguridad.
- Exposición de datos sensibles.
- Falta de la función de control de nivel de acceso.
- Cross-Site Request Forgery (CSRF).
- Uso de componentes vulnerables conocidos.
- Redirecciones y reenvíos inválidos.
Entre las recomendaciones de seguridad, existen varias técnicas y otras ligadas al sentido común, pero podemos enumerarlas en la siguiente lista:
- Mantener siempre actualizado tu CMS a la última versión.
- Utiliza los plugins que son extrictamente necesarios y que conoces su procedencia.
- Nunca utilices scripts/themes/plugins nulled.
Los usuarios descargan e instalan cientos de plugins y themes sin conocer su origen o procedencia, otros piensan que son más inteligentes utilizando themes o plugins nulled. Estos son grandes errores, antes de instalar algo en nuestro CMS es necesario que estemos seguros de la procedencia de estos.
Existen muchas otras recomendaciones, pero cumplir con lo básico te ayudará a mantenerte alejado de los problemas. Se podría decir que el 99% de los casos de vulnerabilidad se debe a problemas con el usuario y no con el proveedor de alojamiento, los problemas ocurren cuando el usuario no cumple con los mínimos consejos de seguridad que hemos indicado antes.
