Supongamos que desea iniciar su propio blog o configurar un sitio web donde pueda administrar fácilmente su contenido, su apariencia y la frecuencia con la que cambia. Lo que necesita es un sistema de gestión de contenido (CMS).

WordPress, Drupal y Joomla son algunos de los sistemas de administración de contenido más populares utilizados tanto por profesionales como por aficionados. Los tres que mencioné son CMS de fuente abierta, lo que significa que son software con código fuente que cualquiera puede inspeccionar, modificar y mejorar.

El software de código abierto nos da una espada de doble filo. Por un lado, el software de código abierto permite a las personas la opción de adaptarlo a sus necesidades y preferencias específicas, y todos pueden ver lo que hace detrás de la cortina. Pero, por otro lado, aquellos con malas intenciones pueden estudiar y probar el código fuente disponible públicamente hasta que encuentren un error, una debilidad, un defecto o una característica que puedan abusar.

¿Quién usa los sistemas de gestión de contenido?

Los CMS no solo son utilizados por individuos, sino también por empresas. Muchas compañías, desde pequeños grupos hasta grandes empresas, usan un CMS de alguna forma. Son ideales para blogs u otros medios de publicación que cambian y actualizan el contenido a menudo, pero también se pueden usar para cualquier sitio que necesite agregar nueva información regularmente. Básicamente, se utilizan para la creación y gestión de sitios web.

Las ventajas de utilizar un CMS bien conocido de código abierto son claras. Incluyen:

• Un sistema bien documentado que es fácil de instalar y adaptar
• Un diseño UI / UX simple para una fácil administración
• Idoneidad para diferentes tipos de contenido
• Actualizaciones regulares
• Registro integrado (de visitantes, usuarios y enlaces de enlace)

Además, la disponibilidad de muchos complementos y temas con una amplia variedad de funcionalidades adicionales, apariencia y diseños para el CMS puede considerarse una ventaja, la mayoría de las veces. Siempre que no introduzcan vulnerabilidades o incluso puertas traseras en el sistema, pueden ser una buena adición.

Actualiza, actualiza rápidamente y no olvides parchar

Al usar un CMS, y especialmente uno popular, tendrá que estar atento a las actualizaciones. Aplíquelos lo antes posible y asegúrese de hacerlo rápidamente si las actualizaciones están destinadas a corregir una vulnerabilidad que se ha publicado. Los secuestradores del sitio web se asegurarán de que estén al tanto de las últimas vulnerabilidades e ir tras cualquier sitio que no haya sido parcheado.

---

Lea también: Una mirada a los ataques del lado del cliente de Drupalgeddon

---

Un problema con las versiones personalizadas de CMS es que debe tener cuidado durante el proceso de actualización. Según las personalizaciones que haya realizado, las actualizaciones pueden interrumpir la funcionalidad que agregó al sistema. También deberá asegurarse de que sus cambios no mantengan viva la vulnerabilidad que se suponía que estaba aplicando. Lo que ayuda a prevenir estos problemas es hacer los cambios en módulos de programas separados y no en los módulos principales del CMS, ya que estos se actualizarán regularmente.

Copias de seguridad

Si bien es habitual crear una copia de seguridad antes de aplicar actualizaciones u otros cambios importantes, también se recomienda crear copias de seguridad periódicas, semanalmente o incluso diariamente, según la frecuencia con la que publique en el CMS.

Una copia de seguridad semanal es adecuada para muchos sitios web.

Si descubres que algún intruso realizó cambios en tu sitio web, es una buena idea tener una copia de seguridad reciente que puedas restaurar sin perder demasiado trabajo, y sin tener que revisar cada parte del código para comprobar si algo más tiene sido manipulado Elimine los archivos del CMS comprometido antes de restaurar la actualización para asegurarse de que ninguno de los archivos del atacante quede atrás. Recuerde que cuando el atacante obtuvo acceso, también obtuvo la capacidad de cambiar su CMS y ejecutar su código en su servidor.

Seguridad por oscuridad

No estamos diciendo que usar un CMS menos popular sea mejor. Tratar de mantener la seguridad manteniendo un bajo perfil nunca debe ser un objetivo en sí mismo. Si a las empresas les gusta un CMS menos popular, deben asegurarse de que sea seguro y se mantenga de una manera que sea aceptable para su organización.

Si tiene los recursos y el conocimiento interno para construir su propio sistema y mantenerlo seguro, es bueno para usted. Si a su empresa le conviene tener un CMS personalizado, tendrá un socio especializado que podrá mantener todo bajo control y podrá resolver cualquier problema que encuentre con él. Aun mejor. Pero para la mayoría de las compañías, es mucho más fácil usar uno de los sistemas de administración de contenido populares. Si esto es cierto para usted, también será responsable de mantenerlo actualizado y seguro.

Seguridad de CMS en pocas palabras

Hay algunas reglas obvias y fáciles de recordar que debe tener en cuenta si desea usar un CMS sin comprometer su seguridad. Ellos son los siguientes:

• Elija su CMS teniendo en cuenta tanto la funcionalidad como la seguridad.
• Elija sus plug-ins sabiamente.
• Actualiza con urgencia.
• Mantenga un registro de los cambios en su sitio y su código fuente.
• Use contraseñas seguras (o 2FA ).
• Dale a los permisos de los usuarios (y sus niveles de acceso) mucho pensamiento.
• Estate cansado de la inyección de SQL .
• Si permite cargas, limite el tipo de archivos a archivos no ejecutables y vigílelos de cerca.

Para los sitios web que requieren aún más seguridad, existen escáneres de vulnerabilidades especializados y firewalls de aplicaciones que es posible que desee examinar. Esto es especialmente cierto si usted es un objetivo popular para las personas a quienes les encantaría desfigurar o abusar de su sitio web.

Si el CMS está alojado en sus propios servidores, tenga en cuenta los peligros que conlleva esta configuración. Recuerde que confía en el código de código abierto. Ejecutarlo en sus propios servidores debe cumplirse con precauciones especiales para mantenerlo separado de otros servidores de trabajo.

Asegure sus CMS y proteja su hogar o negocio de introducir vulnerabilidades en el corazón de sus redes. ¡Al hacer esto, haces que la web sea un lugar más seguro!

Hemos visto unos pocos correos electrónicos no deseados en circulación esta semana, que van desde phishing hasta manipulación de dinero y sexploitation. ¿Vamos a echar un vistazo?

El FBI quiere devolverte tu dinero

Primero fuera de la puerta, tenemos una misiva que dice ser del FBI. Resulta que perdió una gran suma de dinero de la que de alguna manera no tiene ningún recuerdo, y ahora el FBI quiere devolvérselo a través de Western Union.

Suena 100 por ciento legítimo, ¿verdad? Aquí está el correo electrónico. Mira lo que piensas:

Attn: Beneficiario

Después de varias investigaciones e investigaciones en Western 
Union y Money Gram Office, encontramos su nombre en la 
base de datos de Western Union entre quienes enviaron dinero a través de Western Union 
y esto prueba que usted ha sido estafado por esas 
personas sin escrúpulos al enviarle dinero. a través de Western 
Union / Money Gram en el transcurso de obtener un fondo u otro 
que no sea real.

A este respecto, se celebró una reunión entre la Junta Directiva 
de WESTERN UNION, MONEYGRAM, el FBI junto con el Ministerio 
de Finanzas. Como consecuencia de nuestras investigaciones, se acordó 
que la suma de Un Millón Quinientos Mil 
Dólares de los Estados Unidos (US1) , 500,000.00) debe transferirse de 
los fondos que el Departamento del Tesoro de los Estados Unidos ha 
separado como pago de compensación para las víctimas de estafa.

Este caso sería manejado y supervisado por el FBI. Les hemos 
enviado sus datos para que puedan 
transferirse sus fondos . Póngase en contacto con la oficina del agente de Western Union a 
través de la siguiente información:

Persona de contacto: Graham Collins 
Dirección: Western Union Post Office, California 
Correo electrónico: westernunionofficemail0012 @ [redacted]

Atentamente, 
Christopher A. Wray 
Director del FBI

Lamentablemente, el FBI no va a descubrir que le deben millones de dólares y luego lo enviará a un representante de Western Union para reclamarlo. Además, una búsqueda rápida en varias partes del texto revelará partes del mensaje anterior que datan de hace muchos años. Es una táctica común de estafa agarrar tranquilamente cualquier texto que esté disponible, luego reformularlo un poco para obtener un brillo nuevo. Por ejemplo, este es uno de 2013  que viene con un archivo ejecutable malicioso.

Este no tiene tales perversidades al acecho, pero alguien aún podría estar en riesgo de caer en una estafa de mulas de dinero, o perder una tonelada de dinero de involucrarse. La buena noticia es que la reutilización de texto antigua tiende a enviar las banderas de filtro de correo no deseado para la mayoría de los clientes de correo electrónico, por lo que si encuentra esto, hay una buena probabilidad de que se rellene dentro de su bandeja de correo no deseado, donde pertenece. Si está ahí, martillee el botón Eliminar y olvídese de eso.

Vamos a Apple phishing

A continuación, un par de phishing de Apple:

Click para agrandar

Los primeros enlaces a un sitio que está actualmente fuera de línea, pero trata de atraer a posibles víctimas con una transacción falsa para un conjunto de auriculares de $ 299:

Click para agrandar

Al igual que con la mayoría de estas estafas, esperan que veas la cantidad supuestamente pagada, luego corran al sitio vinculado y completan el formulario de phishing.

El texto del segundo dice lo siguiente:

Su ID de Apple ha sido bloqueada. 
Esta ID de Apple [CORREO ELECTRÓNICO] ha sido bloqueada por razones de seguridad.

Parece que su cuenta está desactualizada y requiere información actualizada sobre la propiedad de la cuenta para que podamos proteger su cuenta y mejorar nuestros servicios para mantener su privacidad.

Para continuar utilizando el servicio de ID de Apple, le recomendamos que actualice la información sobre la propiedad de su cuenta.

Actualizar cuenta ID de Apple 
Por la seguridad de su cuenta, le recomendamos no notificar la contraseña de su cuenta a nadie. Si tiene problemas para actualizar su cuenta, visite Apple Support.

Un enlace en el que se puede hacer clic conduce al siguiente sitio de phishing ubicado en appelid (dot) idnotice (dot) info-account-update-limited (dot) com:

Click para agrandar

Al ingresar un nombre de usuario y una contraseña, el sitio afirma que la cuenta se ha bloqueado y debe restablecerse a su estado de salud completo.

Click para agrandar

Las víctimas potenciales son dirigidas a una página que le pide el nombre, la dirección, fecha de nacimiento, información de pago y una variedad de preguntas de seguridad seleccionables.

Click para agrandar

No queremos que nadie entregue información personal para estafar correos como los anteriores, y mucho menos los falsos portales de inicio de sesión más adelante en la cadena. Siempre tenga cuidado al ver reclamos de pago y órdenes misteriosas que no recuerda; el nombre del juego no se trata tanto de pánico como de pánico, y eso puede llevar a una sola cosa: horas dedicadas a la sección de atención al cliente de los portales de compras o a su banco.

Sexploitation, Bitcoin y contraseñas antiguas

Hablando de un comportamiento misterioso del que no recuerdas haber participado, un reciente y masivo  correo phish primero engancha a los usuarios al divulgar su contraseña anterior en el asunto y luego les dice a los destinatarios que han sido captados por la cámara mirando pornografía y um, haciendo otras cosas.

Ahora, la caída de una contraseña, incluso una antigua, es suficiente para que muchos lectores levanten una ceja y abran el correo electrónico. Una vez abierto, sin embargo, una de dos cosas puede suceder. Aquellos que no han visto pornografía en su computadora pueden respirar aliviados. Para los millones de otros que lo han hecho, sin embargo, puede surgir un poco de pánico, especialmente cuando los estafadores piden $ 7,000 en Bitcoin por dinero de silencio.

El correo electrónico dice lo siguiente:

Soy consciente de que [redacted] es tu contraseña. Vamos a llegar directamente a un propósito. Usted no me conoce y probablemente esté pensando por qué está recibiendo este correo electrónico. Ni una sola persona me ha compensado para que lo revise.

Déjame que te cuente, configuré un malware en el sitio web de videos xxx (material pornográfico) y sabes qué, visitaste este sitio web para experimentar diversión (ya sabes a qué me refiero). Cuando miraba videoclips, su navegador web comenzó a funcionar como un RDP que tiene un registrador de teclas que me proporcionó acceso a su pantalla y a su cámara web. Inmediatamente después, mi software recolectó todos sus contactos de su Messenger, Facebook, así como de su cuenta electrónica. Después de eso, hice un video doble. La primera parte muestra el video que estabas viendo (tienes un buen sabor de ojos), y la siguiente parte muestra la vista de tu cámara web y de ti.

En realidad tienes dos posibilidades diferentes. Deberíamos revisar cada una de estas soluciones en aspectos:

La primera opción es ignorar este correo electrónico. En tal caso, enviaré su material grabado real a cada uno de sus contactos personales y, por lo tanto, pensaré en la vergüenza que verá. Además, si estás en una relación romántica, ¿cómo afectaría?

La segunda solución es darme $ 7000. Lo llamaré una donación. Entonces, con toda seguridad descartaré inmediatamente su video. Continuarás con tu forma de vida como nunca ocurrió y nunca volverás a escuchar de mí.

Realizará el pago con Bitcoin (si no lo sabe, busque «cómo comprar bitcoin» en Google).

Dirección de BTC: 14Fg5D24cxseFXQXv89PJCHmsTM74iGyDb

[CASE-SENSITIVE copia y pega]

Si te estás preguntando acerca de ir a las autoridades, bueno, este correo electrónico no se puede rastrear a mí. Cubrí mis acciones Simplemente no estoy intentando cobrarle demasiado, solo quiero que me compensen. Tengo un píxel especial dentro de este correo electrónico, y ahora sé que ha leído este correo electrónico. Tienes un día para pagar. Si no obtengo los BitCoins, definitivamente enviaré su grabación de video a todos sus contactos, incluidos amigos, familiares, colegas y muchos otros. Sin embargo, si me pagan, destruiré la grabación de inmediato. Es una oferta no negociable, por lo tanto, no pierdas el tiempo y el tuyo respondiendo a este mensaje. Si quieres tener evidencia, responde con Yup!y definitivamente enviaré tu video a tus 9 contactos.

Esta estafa de sextorsión ha existido por bastante tiempo; el nuevo giro es el uso de contraseñas reales. De acuerdo con Krebs on Security, los estafadores probablemente recolectaron estas contraseñas y correos electrónicos de un vertedero de datos posiblemente de 10 años o más. Nuestros propios investigadores de Malwarebytes han estado rastreando varios vertederos de datos en busca de la fuente de la brecha, pero hasta ahora no han encontrado la pistola humeante. El problema es que la mayoría de las credenciales de los usuarios se han pasado de una brecha u otra, sino múltiples, si no docenas. Por lo tanto, es difícil triangular y rastrear a una sola fuente.

La buena noticia es que si recibió uno de estos correos electrónicos, simplemente necesita marcarlo como correo no deseado y eliminarlo. Y si repentinamente te preocupa que alguien pueda ver tus actividades nocturnas, puedes comprar una cubierta de cámara web por entre $ US5 y $ 10.