jueves, junio 30, 2011

¿Es seguro mi Joomla o mi WordPress?

En muchas ocasiones, tras acabar alguna de las demos que solía hacer hace mucho tiempo - tanto que hasta si alguna de ellas infringía alguna ley a día de hoy ha prescrito - alguien se acercaba y me decía:
"Yo tengo en mi web un {Wordpress o un Joomla o un loquesea}, ¿es seguro?"
Lo cierto es que nuestro trabajo cuando hay que hacer la auditoría de seguridad es buscar todas las configuraciones inseguras, pero decirlo a la primera es siempre difícil. De cualquier modo, lo que nosotros hacemos es inventariar lo que hay en un sitio, separando lo que ha sido hecho a mano, es decir, programado sólo para esa web, y lo que es utilizado de un software común.

Una vez inventariado, en los códigos artesanos intentamos encontrar las vulnerabilidades nosotros, haciendo auditoría de caja negra, pero en los códigos comunes, antes de hacerlo, buscamos a ver si hay exploits ya publicados por otros. Uno de los trucos que aparece en el libro de Hacking con Buscadores: Google, Bing y Shodan, es utilizar directamente Shodan para buscar los exploits de los componentes utilizados en los sitios web.

Así, si llegamos a un sitio donde hay un Tomcat, basta con irse a Shodan Exploits y buscar por allí a ver que vulnerabilidades/exploits están disponibles. Shodan está indexando las bases de expedientes de seguridad de muchos sitos para centralizar el proceso de búsqueda.


Figura 1: Búsqueda de exploits para Tomcat

En el caso de aplicaciones Web con CMS, lo más fácil es revisar la lista de plugins y buscar si hay bugs conocidos para ellos. Así, si nos enfrentamos a una web con Joomla, se hace inventario de componentes y luego se busca esta lista.


Figura 2: Exploits para componentes Joomla (aunque no creo que esté el nuestro)

Y pasa exactamente lo mismo con la lista de plugins en Wordpress, para ver si alguno de los que está en la web a analizar está sin parchear y se puede hacer uso de algún XSS, un SQL Injection o un lindo y simpático RFI/LFI.


Figura 3: Búsqueda de exploits para plugins de Wordpress

¿Por que hacemos esto? Pues porque suelen ser los puntos menos controlados de estos CMS. Normalmente, por necesidad, se busca algún componente que haga algo que se quiere poner en el sito, pero luego se suele quedar fuera de los procesos de actualización.

Si tienes un CMS, sea del color que sea, te recomiendo que hagas un inventario de los plugins/componentes que has puesto en él, y busques a ver si hay bugs/exploits conocidos. Te aseguro que los "malos" van a hacer esto mismo.

En el caso de Wordpress y Joomla! aquí tienes algunos recuersos que te pueden ayudar a mejorar su seguridad:

- Listar los plugins de WordPress
- Fortificar WordPress frente a ataques de fuerza bruta
- Instalar Latch en WordPress
- Regístrate en WordPress y evalúa su seguridad
- Cómo robarle las contraseñas a los Administradores de WordPress con XSS haciendo Phishing con Unfiltered HTML
- Guías detalladas de instalación de Latch en Wordpress, Joomla, Drupal, PrestaShop y RoundCube
- Activa o desactiva el acceso al frontend o backend de Joomla 2.5.x y 3.x con Latch
- Hardening GNU/Linux

Saludos Malignos!

4 comentarios:

Alejandro dijo...

Hola Chema,

Las extensiones suele ser lo que más descuidado dejamos los Joomleros. Sobretodo porque las versiones anteriores a Joomla 1.6 no tienen actualizaciones automáticas y si le sumas que algunos somos un poco vagos...

Para mejorar un poco la seguridad existe una extensión llamada RSFirewall. Es de pago (50 euros) pero creo que merece la pena. Publiqué en mi blog un artículo comentando sus funcionalidades http://ayudajoomla.com/extensiones/componentes-joomla/341-rsfirewall-aumenta-la-seguridad-de-joomla.html .

Dado que eres experto en seguridad me resultaría interesante conocer que te parece esta extensión :) A mi me causó muy buena impresión, pero no soy experto en seguridad como para valorarla a fondo. Una pega que tiene es que no te avisa de las vulnerabilidades de las extensiones, solo del core.

Un saludo!

Unknown dijo...

Muy Buena entrada, y gran herramienta es Shodan.
Saludos

marijose dijo...

Hola qué tal, soy M.J. . He encontrado tu blog buscando información acerca de algo que me tiene bastante intrigada y preocupada.
Tengo un blog ( algo muy personal ) nada que ver con el tuyo -que ya me gustaría- puesto que soy una apasionada de la informática.

No sé si debo escribirte este comentario, puesto que lo que necesíto dudo , que alguien esté dispuesto a echarme una mano.

El caso es que, alguien ha publicado un comentario en mi blog que me ha hecho bastante daño y necesíto saber si es algún amigo/a puesto que algunos amigos míos tienen la dirección del blog.

¿Crees que se puede llegar a saber de quien se trata? ¿ Quizá alguien podría ayudarme ?
No sé sobre informática hasta ese punto y no sé si realmente se puede conseguir esto que te expongo .

Un saludo y perdona si no es este el sitio donde me tenía que dirigir pero, lo he intentado puesto que he leído en este blog y realmente se aprende con su contenido.
Un saludo

AGUSTINTXO dijo...

Lo que no es seguro es Skype. Microsoft Patents Spy Tech for Skype. Estos tios de Redmond saben lo que viene, Be what's next ("Sé lo que viene.")y lo que vá. The Eye of Sauron sees all...Y luego hablan de los Chinos. Está todo intervenido, la tecnología aplicada al consumo se ha convertido en una máquina de espionaje a una escala inimaginable. Todas las precauciones son pocas.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares