Vulnerabilidades de la CMS Plug-Ins están viniendo
Los sistemas de gestión de contenidos están en el foco de los cibercriminales debido a la disponibilidad de los plug-ins, gran ataque superficies de temas y extensiones. Los informes de prensa en los últimos meses revelan un aumento del número de vulnerabilidades y ataques a los más populares de gestión de contenidos systems.Being el más popular de estas plataformas, los sitios web que se ejecutan en WordPress recibieron el mayor número de ataques - en el promedio 24 % más que el resto de los sitios web que se ejecutan en otras plataformas CMS. Los investigadores de malware afirman que esto es normal, desde hace más de 75 millones de sitios se están ejecutando en WordPress, en comparación con Drupal con sólo un poco más de 1 millones de sitios. Los ataques, sin embargo no quieren decir que WordPress es menos seguro, sólo que es el sistema de gestión de contenidos más populares.
Todas las plataformas conocidas, Incluido WordPress, Drupal y Joomla han sido objeto de diversas fallas, donde la mayoría de ellos provienen de los plug-ins de terceros utilizados para el sitio web de personalización y no desde el código.
Thee desarrolladores de Automática que se custodiaban la base de código de WordPress ha sido altamente valorada por los expertos en seguridad. El investigador independiente Ryan Dewhurst ha lanzado recientemente la vulnerabilidad de base de datos WPScan. Presenta la vulnerabilidad de WordPress que había recogido en los últimos años. A pesar de estos defectos, el probador tiene opinión muy positiva sobre el equipo de desarrollo de la prensa de la palabra y piensa que este equipo está haciendo todo lo posible para desarrollar software seguro, sin defectos en el código.
De acuerdo con el experto en TI Ryan Dewhurst, las vulnerabilidades graves provienen de los plug-ins y los temas, que son escritos por los desarrolladores de terceros, que se carece de experiencia en el campo de la seguridad. La superficie de los ataques también es bastante grande. Los desarrolladores automáticas afirmar que la comunidad de WordPress cuenta con más de 33 000 diferentes plug-ins y otros en la tubería. Sin embargo,, no es sólo para WordPress que tiene un problema con los plug-ins. Estos defectos son tema general para las otras plataformas CMS así.
50 000 sitios web hackeados vía MailPoet Boletines plug-in para WordPress
Los principales marcos de CMS se caracterizan por un código abierto y son extensibles, así que la gente decide añadir módulos, extensiones y plug-ins. Naturalmente, Este gran número de plug-ins es muy difícil de controlar, ya que están escritos por diferentes personas de diferentes orígenes. Debido a todo lo que, los reportes de vulnerabilidades relativas a los marcos de la CMS son abundantes en hacks maliciosos y prueba de conceptos. En el verano de 2014, más que 50 000 sitios web fueron hackeados debido a la vulnerabilidad que se encuentra en los Boletines MailPoet plug-in para WordPress. En septiembre 2014 más que 60 000 sitios web se vieron afectados por la vulnerabilidad de secuencias de comandos que se encuentra en Mollum – el módulo de la moderación del contenido de Drupal. Durante el mismo mes también se encontró una vulnerabilidad en la extensión VirtueMart del Joomla que podría darle a los atacantes el control completo de un sitio afectado y base de datos.
El CEO de High-Tech Bridge Ilia Kolochenko dice que la dificultad viene con el hecho de que los plug-ins no se podrían evitar. Este es el fin de la página web de los propietarios siempre buscarán características personalizadas en sus sitios web que el CMS regular no puede ofrecer. Naturalmente, las principales plataformas CMS también luchan de nuevas vulnerabilidades, sin embargo, estos son sólo una minoría en comparación con el resto de los ataques y son bastante fáciles de explotar. Los especialistas de TI y los investigadores dicen que las empresas no deben ser tan vigilantes en la actualización de sus marcos de CMS. También deben trabajar con plug-ins creados por las empresas de desarrollo de mayor tamaño.