WordPress y problemas de seguridad ¿De quién es la responsabilidad?

By | Marzo 9, 2015

WordPress ha sido foco los últimos meses de serios problemas de seguridad para las web creadas en dichas plataformas. No solo wordpress sino los creadores de plugins con que los diseñadores web construyen los sitios de los clientes. WordPress por si mismo no es una plataforma insegura si se matiene actualizada, sin embargo muy pocas web continuan siendo actualizadas después de creadas.

Tomar en consideración que no solo wordpress puede tener problemas de seguridad, sino cualquier CMS desactualizado (joomla, drupal, prestashop, etc). En este caso tomaremos de ejemplo wordpress ya que ha tenido problemas de seguridad bastante graves los últimos 6 meses.

Los últimos problemas detectados en wordpress en orden cronológico son:

Septiembre 2014: Se encuentra una vulnerabilidad crítica en las web wordpress que permiten subir archivos maliciosos a través del plugin conocido como revolution slider (slider de fotos en portada). Además ejecutando cierta sentencia en el navegador puede descargar el archivo de configuración completo de wordpress inclusive claves de base de datos que suelen coincidir con las de cpanel. Teniendo la clave de cpanel el atacante puede hacer lo que quiera. El agujero de seguridad es tan peligroso que la empresa de venta de plantillas para wordpress envato (themeforest) suspendió la venta de más de 190 plantillas hasta que solucionaran el problema. Toda web que utiliza este plugin para mostrar sliders de imagenes en la pantalla principal son vulnerables las que se cuentan en cientos de miles de webs.
http://marketblog.envato.com/news/plugin-vulnerability/

Diciembre 2014: Se anuncia el problema de seguridad en el cliente infinitewp de wordpress. El blog de seguridad sucuri.net lo clasifica como: “Esta es una vulnerabilidad muy peligrosa, la actualización de los sitios web afectados debe hacerse de inmediato!”. El problema de seguridad puede robar contraseñas de administración de wordpress.
http://blog.sucuri.net/espanol/2014/12/02/asesor-de-seguridad-alta-gravedad-cliente-de-infinitewp-plugin-de-wordpress.html

 

Diciembre 2014-Enero 2015:  Una nueva amenaza está atacando a sitios de WordPress, haciendo que las visitas sean redireccionadas a páginas que instalan código malicioso. Se clasifica por los expertos como el mayor problema de seguridad desde el año 2009.  Al día siguiente que se descubrió, google puso en lista negra a más de 11 mil dominios.

El malware ataca mediante el plugin RevSlider, el cual tiene una vulnerabilidad que permite ingresar un código de carga sin que los propietarios se percaten de esta acción. Una vez en el sistema, modifica el fichero wp-includes/template-loader.php para forzar la instalación del módulo wp-includes/js/swobject.js en todas las páginas de la web, el cual ejecuta a su vez el código JavaScript que carga SoakSoak.

Ante tanta inseguridad cada uno culpa al resto. El cliente culpa al diseñador y al hosting, el diseñador culpa al hosting y el hosting culpa a ambos. ¿de quién es la culpa? Existen 3 escenarios donde cada uno de los actores busca las responsabilidades, vamos a analizar el caso de cada uno de ellos y las responsabilidades.

El cliente.

Sin lugar a dudas el cliente es el mayor afectado puesto que en la mayoría de los casos no tiene el conocimiento técnico para resolver los problemas de seguridad que afectan a su sitio web. También desconoce que toda web autoadministrable necesita que alguien le realize mantenciones al menos cada 12 meses. Con mantenciones no se refiere a actualizar el contenido, sino que mantener la plataforma con las últimas versiones y parches de seguridad aplicadas (tener su web al día). El cliente al saber que su sitio ha sido hackeado o infectado recurre de inmediato a su proveedor de hosting a menudo asignándole la responsabilidad de la seguridad de su web. Sin embargo, los proveedores de hosting no tienen responsabilidad sobre las web de los clientes puesto que cada cliente es responsable de los cuidados de su web (más de alguno dirá lo contrario). Lo que se ofrece es un servicio de alojamiento, no un servicio de mantención web. Sin embargo los proveedores de hosting deben ofrecer las mayores medidas de seguridad tal que el daño producido sea el mínimo. También deben ofrecer información a los clientes de como poder corregir y en el futuro evitar este tipo de problemas.

Las web autoadministrables son comparables a los vehículos nuevos. Si usted no realiza todas las mantenciones que exige el fabricante, por ejemplo no cambia el aceite y el filtro cada 5000 o 10000 km o no revisa los niveles, sería incorrecto exigir responsabilidades a la consecionaria ¿o no?

Sin embargo, en el caso de los vehículos todo el mundo sabe que se deben hacer mantenciones, ya que así se lo indica el manual y asi se lo explicaron en la consecionaria. ¿A su cliente le explicó que su sitio web necesita mantenciones después de 1 año? si nadie le explicó al cliente ¿cómo va a saber a quién recurrir o como mantener su web al día?

Si bien el cliente no es responsable cuando desconoce el tema de las actualizaciones, si que es responsable una vez que la empresa diseñadora o el proveedor de hosting le avisa que su web tiene problemas de seguridad y no hace nada por resolverlo. Aun más todavía si ya ha sido atacado una vez y sabiendo que su web tiene problemas no hace nada por corregir la situación.  ¿Seguiría conduciendo si alguien con conocimiento le advierte de problemas en los niveles del vehículo? Creo que no, lo más sensato es llevarlo donde un mecánico.

El diseñador

Si el profesional o agencia que diseñó la web lo hizo de manera correcta (últimas versiones, solo plugins seguros, populares y originales, un sistema de protección web, etc) entonces el profesional actuó con toda la cautela para entregarle un sitio seguro al día de su entrega. Por lo general existe un soporte por parte de la empresa o profesional de diseño de 3 a 6 meses a partir de la entrega de los trabajos. El cliente debe consultar antes por el periodo de garantía de su sitio web y posibilidades de soporte luego terminada la garantía. Si algo ocurre dentro del periodo de garantía, entonces es responsabilidad del diseñador responder por daños o problemas de seguridad que ocurran en el periodo de garantía. Terminado el periodo de garantía el diseñador no es responsable de la web entregada y tampoco está obligado a otorgar soporte gratuito aun cuando se detecten problemas de seguridad en las versiones .

Sin embargo, si el diseñador construye la web bajo componentes piratas, en versiones antiguas o instalando plugins con serios problemas de seguridad conocidos a la fecha, entonces si tiene responsabilidad en los daños que tenga la web (por eso importante la reputación de la empresa a la hroa de diseñar una web). Volvamos al ejemplo de los vehiculos. ¿Qué ocurre cuando un fabricante de vehiculos detecta una falla de fabricación? llama a todos los clientes a la consecionaria y repara el problema sin costo alguno para el cliente. En el caso de las web, los fabricantes de plugin ofrecen parches a los diseñadores para que puedan corregir los problemas de seguridad en la web de sus clientes. Si el problema de seguridad es de alto peligro entonces lo correcto es aplicar la corrección a las web que creó asi como los fabricantes de automóviles lo hacen cuando detectan problemas en las piezas de fábrica (no espera a que ocurra un accidente para ofrecer el recambio).

El diseñador es responsable de entregar una web segura a los clientes al momento de la entrega. También es responsabilidad del diseñador advertirle al cliente que las web necesitan mantención cada cierto tiempo. El cliente no es adivino, aconcéjelo.

El otro caso es cuando usted contrata un webmaster para las mantenciones de su web. Si su web se daña es responsabilidad del webmaster ya que es el responsable de mantener la web segura y con los respaldos respectivos.

El hosting (empresa de alojamiento web)

El hosting es como las autopistas, tiene que ofrecer un medio de tránsito seguro, rápido, sin congestión. Es su responsabilidad mantener las carreteras en buen estado tal de minimizar los accidentes pero no puede evitar que usted maneje imprudentemente o con su automovil con problemas. El proveedor de hosting tiene responsabilidades pero esta es limitada y no por que no se quiera sino por que las medidas de seguridad llegan hasta cierto punto. Desde la web del usuario hacia abajo llegando al sistema operativo el proveedor de hosting debe ofrecer el máximo de seguridad. De la web hacia arriba se ofrecen diversas medidas de seguridad pero no es capaz de cubrirla por completo en caso de ser insegura. Es como un castillo fortificado con una puerta de madera en una de sus torres.

Dentro de las responsabilidades del hosting está:

  • Mantener protegido el sistema, eso quiere decir que un usuario por muy vulnerable que esté no puede afectar a otros clientes (si una web suya segura es dañada por causa de otro usuario es responsabilidad del hosting).
  • Mantener protegida las ip del servidor evitando que caigan en lista negra.
  • Mantener la seguridad del resto de los clientes aislando cualquier problema que ponga en riesgo la seguridad del servidor.
  • Eliminar malware del servidor diariamente escaneando las web de los usuarios.
  • Ofrecer toda la ayuda posible a los clientes cuando la necesiten.

Si una web es insegura será blanco de los hackers e intentarán hacer todo lo posible por atacarla e infectarla con phishing que roben datos a otros usuarios. El hosting es responsable de detectar amenazas y comunicar a los usuarios oportunamente o al webmaster encargado de la vulnerabilidad de la web. Si la web presenta problemas críticos que afecten el rendimiento del servidor o la seguridad general (como problemas de reputación de IP) entonces la web será aislada. Hay empresas de hosting que borran la web o suspenden la cuenta, esto es poco recomendable ya que el usuario es una victima involuntaria, lo mejor es aislar el problema a un lugar neutro (una carpeta fuera del directorio público) y avisar a los encargados para que puedan limpiar la web. De esta manera el cliente no perderá conectividad con los correos electrónicos ni acceso a su cuenta de hosting.

Tome en consideración que una web infectada por phishing está regulado por organismos internacionales. Los proveedores de hosting tienen que responder limpiando los archivos maliciosos y ante repeticiones reiteradas, aislar la web. De no hacer esto el proveedor puede ser acusado de cómplice de delito informático o un grado de responsabilidad.

¿De quién es la responsabilidad entonces?

No hay que buscar responsables, se debe actuar ante ataques o infecciones de manera rápida tal de tener una web segura y funcional. Sin embargo hay una serie de responsabilidades para cada uno de los actores involucrados:

  1. El diseñador (o empresa diseñadora): Debe entregar una web segura con los mecanismos básicos para protección de sitios web, contraseñas robustas, firewall y plugins estables. Debe explicar también al cliente las mantenciones que tiene que hacer cada cierto tiempo.
  2. El cliente: Debe ser responsable en tomar las consideraciones de mantención de sus web, esto es, asignar a los profesionales competentes las tareas de mejora de seguridad y actualización de sus plataformas. Mantener respaldos a través de cpanel.
  3. El hosting: Detectar y comunicar al cliente de los problemas de seguridad encontrados. Ayudar en la limpieza y bloquear a los atacantes. Aislar las web en caso de problemas reiterados.

¿Qué opinas? .. Abajo hay una caja de comentarios.

 

Comments