Supongamos que desea iniciar su propio blog o configurar un sitio web donde pueda administrar fácilmente su contenido, su apariencia y la frecuencia con la que cambia. Lo que necesita es un sistema de gestión de contenido (CMS).
WordPress, Drupal y Joomla son algunos de los sistemas de administración de contenido más populares utilizados tanto por profesionales como por aficionados. Los tres que mencioné son CMS de fuente abierta, lo que significa que son software con código fuente que cualquiera puede inspeccionar, modificar y mejorar.
El software de código abierto nos da una espada de doble filo. Por un lado, el software de código abierto permite a las personas la opción de adaptarlo a sus necesidades y preferencias específicas, y todos pueden ver lo que hace detrás de la cortina. Pero, por otro lado, aquellos con malas intenciones pueden estudiar y probar el código fuente disponible públicamente hasta que encuentren un error, una debilidad, un defecto o una característica que puedan abusar.
¿Quién usa los sistemas de gestión de contenido?
Los CMS no solo son utilizados por individuos, sino también por empresas. Muchas compañías, desde pequeños grupos hasta grandes empresas, usan un CMS de alguna forma. Son ideales para blogs u otros medios de publicación que cambian y actualizan el contenido a menudo, pero también se pueden usar para cualquier sitio que necesite agregar nueva información regularmente. Básicamente, se utilizan para la creación y gestión de sitios web.
Las ventajas de utilizar un CMS bien conocido de código abierto son claras. Incluyen:
- Un sistema bien documentado que es fácil de instalar y adaptar
- Un diseño UI / UX simple para una fácil administración
- Idoneidad para diferentes tipos de contenido
- Actualizaciones regulares
- Registro integrado (de visitantes, usuarios y enlaces de enlace)
Además, la disponibilidad de muchos complementos y temas con una amplia variedad de funcionalidades adicionales, apariencia y diseños para el CMS puede considerarse una ventaja, la mayoría de las veces. Siempre que no introduzcan vulnerabilidades o incluso puertas traseras en el sistema, pueden ser una buena adición.
Actualiza, actualiza rápidamente y no olvides parchar
Al usar un CMS, y especialmente uno popular, tendrá que estar atento a las actualizaciones. Aplíquelos lo antes posible y asegúrese de hacerlo rápidamente si las actualizaciones están destinadas a corregir una vulnerabilidad que se ha publicado. Los secuestradores del sitio web se asegurarán de que estén al tanto de las últimas vulnerabilidades e ir tras cualquier sitio que no haya sido parcheado.
Lea también: Una mirada a los ataques del lado del cliente de Drupalgeddon
Un problema con las versiones personalizadas de CMS es que debe tener cuidado durante el proceso de actualización. Según las personalizaciones que haya realizado, las actualizaciones pueden interrumpir la funcionalidad que agregó al sistema. También deberá asegurarse de que sus cambios no mantengan viva la vulnerabilidad que se suponía que estaba aplicando. Lo que ayuda a prevenir estos problemas es hacer los cambios en módulos de programas separados y no en los módulos principales del CMS, ya que estos se actualizarán regularmente.
Copias de seguridad
Si bien es habitual crear una copia de seguridad antes de aplicar actualizaciones u otros cambios importantes, también se recomienda crear copias de seguridad periódicas, semanalmente o incluso diariamente, según la frecuencia con la que publique en el CMS.
Una copia de seguridad semanal es adecuada para muchos sitios web.
Si descubres que algún intruso realizó cambios en tu sitio web, es una buena idea tener una copia de seguridad reciente que puedas restaurar sin perder demasiado trabajo, y sin tener que revisar cada parte del código para comprobar si algo más tiene sido manipulado Elimine los archivos del CMS comprometido antes de restaurar la actualización para asegurarse de que ninguno de los archivos del atacante quede atrás. Recuerde que cuando el atacante obtuvo acceso, también obtuvo la capacidad de cambiar su CMS y ejecutar su código en su servidor.
Seguridad por oscuridad
No estamos diciendo que usar un CMS menos popular sea mejor. Tratar de mantener la seguridad manteniendo un bajo perfil nunca debe ser un objetivo en sí mismo. Si a las empresas les gusta un CMS menos popular, deben asegurarse de que sea seguro y se mantenga de una manera que sea aceptable para su organización.
Si tiene los recursos y el conocimiento interno para construir su propio sistema y mantenerlo seguro, es bueno para usted. Si a su empresa le conviene tener un CMS personalizado, tendrá un socio especializado que podrá mantener todo bajo control y podrá resolver cualquier problema que encuentre con él. Aun mejor. Pero para la mayoría de las compañías, es mucho más fácil usar uno de los sistemas de administración de contenido populares. Si esto es cierto para usted, también será responsable de mantenerlo actualizado y seguro.
Seguridad de CMS en pocas palabras
Hay algunas reglas obvias y fáciles de recordar que debe tener en cuenta si desea usar un CMS sin comprometer su seguridad. Ellos son los siguientes:
- Elija su CMS teniendo en cuenta tanto la funcionalidad como la seguridad.
- Elija sus plug-ins sabiamente.
- Actualiza con urgencia.
- Mantenga un registro de los cambios en su sitio y su código fuente.
- Use contraseñas seguras (o 2FA ).
- Dale a los permisos de los usuarios (y sus niveles de acceso) mucho pensamiento.
- Estate cansado de la inyección de SQL .
- Si permite cargas, limite el tipo de archivos a archivos no ejecutables y vigílelos de cerca.
Para los sitios web que requieren aún más seguridad, existen escáneres de vulnerabilidades especializados y firewalls de aplicaciones que es posible que desee examinar. Esto es especialmente cierto si usted es un objetivo popular para las personas a quienes les encantaría desfigurar o abusar de su sitio web.
Si el CMS está alojado en sus propios servidores, tenga en cuenta los peligros que conlleva esta configuración. Recuerde que confía en el código de código abierto. Ejecutarlo en sus propios servidores debe cumplirse con precauciones especiales para mantenerlo separado de otros servidores de trabajo.
Asegure sus CMS y proteja su hogar o negocio de introducir vulnerabilidades en el corazón de sus redes. ¡Al hacer esto, haces que la web sea un lugar más seguro!
Sobre el autor