Infecciones en CMS's (Wordpress, Joomla, Prestashop, etc

Si eres administrador de un sitio web realizado con aplicaciones CMS tipo Wordpress, Joomla, Prestashop, etc. al igual que otras aplicaciones, estas pueden incluir fallos de programación que podrían hacerlas vulnerables a virus o malware cuya finalidad es siempre maliciosa.

Al tratarse de aplicaciones mundialmente usadas, desarrolladores y hackers las estudian con fines diversos pudiendo encontrar en estas agujeros de seguridad que podrían ser aprovechados para provocar daños en nuestro sitio web y en el servidor donde se encuentre hospedado, problemas como:

- Envió de spam de forma masiva.
- Infección de todo el servidor y escalada de privilegios.
- Penalización por parte de Google con impacto en sus resultados.
- Mensajes de alerta a los usuarios y visitantes que acceden al sitio web.
- Aparición de publicidad no deseada en algunas partes del sitio web.
- Afectar a la reputación del sitio web y hacer que sus usuarios no confíen en él.
 
Es por esto que si administras un sitio web desarrollado con aplicaciones CMS debes prestar especial atención a la seguridad.

La mejor defensa contra la infección.-  Prevención.

Para tratar de evitar en la medida de lo posible o en su mayor parte que nuestro sitio se vea afectado por cualquiera de estas amenazas, los desarrolladores de aplicaciones no cesan en el desarrollo de actualizaciones para corregir los agujeros de seguridad que van siendo conocidos. Por lo tanto, si no queremos que nuestro sitio web y nuestros datos puedan verse afectados por estos problemas, debemos mantener siempre actualizada la aplicación y todos sus módulos a su última versión disponible.

Debes tener en cuenta que en la mayoría de los casos la infección puede producirse por un modulo adicional instalado a la aplicación, un tema o plugin. Como en el caso anterior, asegúrate de mantener actualizados a la ultima versión disponible cualquier modulo añadido a tu aplicación.

Por otro lado, nunca descargues temas, plantillas o plugins de sitios no oficiales. En el 99% de los casos estas contienen infecciones.

Dicho esto, podemos aplicar medidas adicionales de prevención a nivel de aplicación como pudieran ser la instalación de plugins especializados en seguridad de tipo antivirus y/o firewall. En cualquier caso, la mejor opción es descargarlos del sitio web oficial del desarrollador de la aplicación y realizar la elección del plugin a instalar teniendo en cuenta la cantidad de descargas del plugin en cuestión y la valoración de los usuarios.

Si aplicamos una política de seguridad adecuada manteniendo nuestra aplicación y sus módulos siempre actualizados; podemos estar un 95% más seguros de que nuestro sitio no se verá afectado por vulnerabilidades conocidas.

Teniendo en cuenta que la seguridad total no es posible. Ya sea a través de una vulnerabilidad conocida o desconocida, nada puede garantizar al 100% que nuestro sitio no pueda verse afectado por un problema de este tipo, pero si no mantenemos actualizada la aplicación, la probabilidad de infección es muchísimo mayor.

En resumen:

1) Mantén actualizada la aplicación y todos sus módulos a la última versión disponible.

2) No descargues módulos de sitios no oficiales.

3) Asegura tu aplicación mediante la instalación de plugins especializados en seguridad.

4) Realiza copias periódicas de tu sitio y almacénalas en lugar seguro.

Como actuar en caso de infección.

Si nuestro sitio ha sido comprometido, difícilmente podremos conocer el alcance total de los cambios realizados por la infección en nuestra aplicación.

Si tenemos la sospecha de que nuestro sitio web ha sido comprometido, podemos hacer uso de herramientas especificas para tratar de localizar la infección.

Si hemos realizado copias de seguridad periódicas de nuestra aplicación, la solución mas sencilla quizás seria restaurar una copia previa a la infección y proceder con la actualización de la aplicación y sus módulos de manera inmediata.

Si no tenemos copias de seguridad limpias de nuestra aplicación, el único modo de asegurarnos al 100% de que nuestra aplicación e instalación se encuentran limpias será proceder con su reinstalación completa desde 0.

Si por cualquier razón esto no fuera posible, podemos tratar de "limpiar" de forma manual el sitio web a sabiendas de no tener garantías de deshacer o limpiar todos los posible cambios realizados por la infección. ( La infección ha podido provocar perdida de información sensible, modificación del código de la aplicación y base de datos, creación de puertas traseras, etc. ... )

Si deseamos realizar de manera manual la limpieza de nuestro sitio web, en primer lugar debemos localizar la infección. Para ello podemos ayudarnos de herramientas antivirus a nivel de servidor como Linux Malware Detect LMD y/o ClamAV, además de herramientas online como la siguiente:

https://www.virustotal.com


Una vez localizados los archivos maliciosos, dependiendo de la funcionalidad afectada y del tipo de archivo podemos escoger el modo de actuación para limpiar la infección:

- Editar de manera manual y eliminar el código malicioso contenido en el archivo infectado.

- Sustituir el archivo infectado por una copia limpia descargada de una versión oficial de la aplicación o modulo afectado.

- Eliminar el archivo infectado.

En cualquier caso, la eliminación de la infección o archivo infectado no solventara el problema ya que la vulnerabilidad o puerta de entrada continuara existiendo y la infección probablemente reaparecerá en cuestión de días.

Es por esto que, una vez eliminada la infección, debe proceder de manera inmediata con la actualización de la aplicación y plugins asociados a esta esperando con esto que todos los agujeros de seguridad existentes hasta el momento sean corregidos.

Si a consecuencia de la infección nuestro sitio se ha visto bloqueado por google, al visitar nuestra web nos encontraremos con esta pantalla:



Una vez hayamos realizado las tareas necesarias para la limpieza y desinfección de nuestro sitio web, debemos solicitar a google que revise el estado de nuestro Sitio desde Google Webmaster Tools.

Si es la primera vez que te ocurre y no sabes cómo hacerlo, en el siguiente enlace encontraras las instrucciones para llevarlo a cabo.-https://support.google.com/webmasters/answer/168328?hl=es

================================================================================================
Enlaces de interés:

http://cbl.abuseat.org/cmsvuln.html

Sobre infecciones Stealrat

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/wh...

Desinfección de CMS

http://www.melani.admin.ch/dienstleistungen/00132/01593/index.html?
lang=en&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1ad1IZn4Z2qZpnO2Yuq2Z6gpJCDdXt9gWym162epYbg2c_JjKbNoKSn6A--

Medidas de seguridad para sistemas gestores de contenido CMS

http://www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=...
 
Imagen de admin
About the Author

Etiam malesuada velit bibeum donec sit amet orci augue sed tristique amet risus. Mollis malesuada. Quis quis nulla. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia.

Comparte esta página: