Cuando usamos  un gestor de contenidos como Joomla, Drupal o WordPress tenemos una herramienta que nos facilita el diseño y la gestión de un proyecto Web. A las funciones que tiene el núcleo básico de cada plataforma se le añade la posibilidad de usar extensiones que añaden nuevas características. Como Internet es una red mundial podemos recibir visitas de cualquier lugar del mundo. Esto es una ventaja y al mismo tiempo un inconveniente. En la Web que hemos realizado tenemos dos tipos de usuarios: los que son legítimos y quieren consultar los contenidos y los que quieren atacar la página para obtener acceso al servidor. Por esta razón es conveniente actualizar el gestor de contenidos.

No importa que la página sea más o menos conocida, una vez que la encuentran es relativamente normal recibir ataques. En el mejor de los casos la Web resistirá estos ataques y los usuarios no se darán cuenta de su existencia. En el peor de los casos accederán al servidor y harán lo que quieran, desde instalar troyanos a dejar el servidor en modo zombi en espera de futuros ataques.

«No le interesa a nadie atacar mi Web»

Usuarios (gsagri04)Usuarios (gsagri04)

Este pensamiento feliz es lamentablemente erróneo. Cualquier Web tiene tres tipos de recursos: capacidad de cálculo del servidor, ancho de banda y espacio en el disco duro. Un atacante que tome el control de una página consigue esos tres elementos y los puede emplear para su uso e incluso para realizar ataques a otras páginas. Como ejemplo tenemos un ataque de denegación de servicio (DOS). El resultado de este ataque es que la Web victima queda inaccesible para los usuarios legítimos mientras dura el ataque. Un servidor Web está preparado para proporcionar acceso a las contenidos a un número concreto de usuarios.

Supongamos que puede dar servicio a 1.000 usuarios. En un ataque DOS podemos tener en lugar de esos 1.000 usuarios simultáneos, 10.000.  Al recibir tantas peticiones el servidor se ralentiza hasta que el acceso queda bloqueado. Para que este ataque tenga éxito es necesario que muchos equipos accedan de forma sincronizada. Si han conseguido el control de nuestro servidor seremos uno más en el ataque.

¿De que forma pueden atacar una Web?

Hacker (KaMenezes)Hacker (KaMenezes)

Existen muchos vectores de ataque (puntos de entrada) para conseguir el acceso a una Web. La mayoría de ellos dependen de vulnerabilidades (errores) que existan en la Web. Siguiendo el caso de Joomla podemos tener fallos de seguridad en el núcleo o en las extensiones. En el primero de los casos dependemos del provecto Joomla y los parches que solucionan la vulnerabilidad salen en el menor tiempo posible. Con el segundo caso la cosa varía y depende del autor de cada extensión.

No todos los fallos de seguridad tienen la misma importancia. Puede ser que sólo instalen un troyano o que consigan instalar una consola de acceso remoto y tomar el control del servidor. Hay una regla sencilla para minimizar estos casos y es tener actualizada la Web.

Formas de protegerse

Escudo (Chrisdesign)Escudo (Chrisdesign)

Las actualizaciones de Joomla aparecen en el panel del administrador de la Web. Una vez recibimos el aviso de que existe una actualización la tenemos que instalar lo más pronto posible, ya sea usando las opciones de Joomla o mediante FTP. De la misma forma, cuando aparezca una actualización de una extensión recibiremos también un aviso. Hay una matización que quiero comentar para evitar errores. Una extensión que no tenga actualizaciones, ya sea por haberla conseguido de forma no oficial (en extensiones de pago) o porque se haya acabado el tiempo de soporte, no se puede seguir usando en Joomla. Si aparece un fallo de seguridad y no hay nadie que de soporte corremos el riesgo de que entren en el servidor.

El atacante que busca páginas Web vulnerables tiene dos formas de trabajar. La más eficiente es usar Google. Si tenemos un fallo que permite el acceso al servidor en una versión concreta de Joomla, sólo tiene que buscar la cadena de texto que indica la versión en Google para obtener un listado de servidores vulnerables (en las últimas versiones de Joomla el texto que indica la versión de Joomla no aparece). Esta es la razón por la que cuando se encuentra un fallo de seguridad empiezan a caer muchos servidores en poco tiempo.

La otra forma de localizar servidores vulnerables es por fuerza bruta. El bot entra en todas las páginas que encuentra en Joomla y busca rutas de componentes vulnerables. Esto se puede ver en la línea 3 de la siguiente figura. Para ver este tipo de accesos podemos ver los logs de Apache o usar extensiones como sh404sef (comercial pero se amortiza en poco tiempo).

Ejemplo del uso de botsEjemplo del uso de bots

Conclusiones

Con este artículo quiero dejar claro que una página Web no es sólo escribir un par de artículos. Tiene también un trabajo por debajo que no aprecia el usuario pero puede llegar a penalizar su navegación. Si nos instalan un troyano, cualquier usuario de la página lo puede descargar y su ordenador quedaría infectado. Aparte de los problemas que puede traer para el usuario, no queda muy serio tener una página que instale programas peligrosos en sus equipos.

Estos problemas se pueden minimizar si tenemos Joomla actualizado y hacemos copias de seguridad semanales. Esas copias se pueden verificar posteriormente con un software antivirus para descartar la presencia de elementos peligrosos. Cuando han conseguido el acceso a la página muchas veces ponen su logro en páginas de la red. Si al buscar la URL de la página aparece en un sitio de esos lo mejor es desactivar la Web y con calma ver lo que han modificado.

Nota: los cliparts del artículo están sacados de la página http://openclipart.org

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.