La mayor filtración de documentos de la historia se ha debido a un error de seguridad de sus CMS. 2,6 terabytes de información, 11,5 millones de documentos, 214.000 compañias expuestas y personalidades de 200 países según el diario Süddeutsche Zeitung. Toda esta información es la que se estima que fue extraída de los archivos del bufete de abogados Mossack Fonseca, conocido por facilitar a sus clientes la evasión de impuestos a través de sociedades en paraísos fiscales.
Estas filtraciones ponen en entredicho la seguridad de los sistemas de información que utilizaba la firma panameña, en este caso, dos de los CMS más conocidos: WordPress y Drupal.
La seguridad en el software nunca hay que tomársela a la ligera, ya que no existe ninguna solución que sea «inhackeable». Es un desafío constante que requiere una vigilancia y mantenimiento constante para evitar vulnerabilidades o que comience a funcionar de manera incorrecta. Toda aplicación web necesita ser actualizada y parcheada regularmente para evitar los ataques a vulnerabilidades de seguridad conocidas y es algo de lo que cada vez estamos más concienciados en Hiberus Digital y que intentamos transmitir a todos los clientes de los proyectos que desarrollamos.
El Drupal de Panamaleaks
En los conocidos papeles de panamá, el bufete de abogados Mossack Fonseca estaba utilizando una versión de Drupal con 3 años de antigüedad (Version 7.23). Este portal tenía el changelog.txt público hasta hace unos días, mostrándonos la versión utilizada. Desde que se lanzó la versión 7.23 ha recibido 25 actualizaciones de seguridad incluída, entre ellas, la conocida como drupalgeddon que afecta a las versiones 7.31 e inferiores.
En el caso de WordPress, se cree que podría haber sido una vulnerabilidad en el plugin Slider revolution, descubierta en octubre del 2014, y que tampoco había sido subsanada. Dicha vulnerabilidad afecta a las versiones 3.0.95 e inferiores, permitiendo que usuarios no autenticados suban código malicioso.
Módulos para mejorar la seguridad en Drupal
Drupal cuenta con una gran comunidad de desarrolladores que contribuyen al proyecto con módulos o temas, recibe periódicamente actualizaciones de seguridad así como nuevas características que solucionan los fallos de seguridad. Para mantener nuestro sitio seguro podemos comprobar los últimos avisos del equipo de seguridad, suscribirnos a la lista de correo o seguirlos en twitter @drupalsecurity.
Además de estas alertas de seguridad conviene seguir unas buenas prácticas e instalar módulos que nos permitirán hacer más seguro nuestro sitio:
- Security Review: Este módulo nos muestra un informe que permite revisar rápidamente muchos de los errores que más fácilmente se pueden cometer.
- XFS (cross frame scripting): Uno de los módulos más importantes, añade seguridad contra varias amenazas como el Cross-site Scripting o Clickjacking y mejoras para prevenir ataques man-in-the-middle.
- CAPTCHA: Permite comprobar que el visitante es un humano y no un script automatizado. Uno de los más efectivos para prevenir SPAM.
Plugins de seguridad en WordPress
WordPress es actualmente el CMS con mayor cuota de mercado, lo que lo convierte el el objetivo favorito de los hackers y spammers. A pesar de los parches de seguridad que se publican periódicamente, los temas y plugins de terceros provocan que WordPress sea vulnerable, podemos mejorar la seguridad en nuestro sitio con los siguientes plugins:
- WordFence: Es el plugin de seguridad más utilizado, realiza un escaneo de todos los archivos de WordPress, plugins y temas. En caso de encontrar alguna alguna infección nos lo notifica.
- iThemes Security: Con más de 3000 valoraciones de 5 estrellas, este plugin nos permite múltiples opciones de protección, detección y recuperación en nuestro sitio.
- Securi: Esta herramienta web nos permite escanear y comprobar la seguridad de nuestro sitio sin necesidad de instalar ningún plugin adicional.
Además, debemos seguir otros consejos de seguridad comunes a cualquier sistema como una correcta política de contraseñas y de permisos de usuario, todavía en 2016 las contraseñas más usadas continúan siendo «password» y «123456«.
Desde Hiberus nos tomamos este tema muy en serio, para ello damos asistencia a nuestros clientes para que puedan mantener sus sitios constantemente actualizados a los últimos parches y actualizaciones así como soporte en caso de que el ataque ya se haya producido. Si tienes alguna duda sobre la seguridad de WordPress o Drupal, deja un comentario o escríbenos contándonos tu proyecto y nuestro equipo estará encantado de ayudarte.
