Ciberseguridad: Actualizaciones de seguridad en los gestores de contenido

Copias de seguridad, gestión de logs, antivirus, firewall… son muchas las medidas de seguridad que se pueden implementar en los gestores de contenido para reducir las posibilidades de sufrir un incidente de seguridad, pero todas ellas serán menoscabas si el ecommerce o gestor de contenido, y el software que lo sustenta, no se encuentran actualizados a la última versión disponible. Implantar en la empresa una política de actualizaciones donde se considere todo el software que permite a la organización mostrar sus productos y servicios a través de Internet, será clave para mantener unos adecuados niveles de seguridad.

La gran mayoría de las aplicaciones de correo electrónico, están soportadas por lo que se conoce como gestores de contenido o  CMS (por sus siglas en inglés «content management system»). Los desarrolladores de los CMS liberan actualizaciones regularmente, las cuales pueden considerar mejoras o nuevas funcionalidades, aunque estas también pueden corregir vulnerabilidades o problemas de seguridad. En este segundo escenario, las actualizaciones corrigen debilidades que un ciberdelincuente podría explotar, vulnerando así la seguridad de CMS y de toda la información que gestiona.

Otra casuística a tener en cuenta en la utilización de gestores de contenido de uso extendido, como es el caso de WordPress, Drupal, Shopify, etc., es que estos cuentan con un gran número de instalaciones públicas en Internet. Los ciberdelincuentes son conscientes de ello, e invierten grandes esfuerzos en rastrear gestores de contenido vulnerables para utilizarlos en su propio beneficio, como puede ser alojar campañas de phishing o malware, o simplemente robar la información que se almacena en sus bases de datos para venderla al mejor postor. Debido a esto, y a otras muchas situaciones, mantener actualizado el CMS será esencial para proteger la seguridad de los datos y el correcto funcionamiento con independencia del propósito de uso del gestor de contenidos.

Una página web puede estar alojada en un servidor propio de la empresa. En estos casos la política de actualizaciones debe contemplar todo el software que permite el funcionamiento de la web. Para ello, se debe mantener actualizado a la última versión el sistema operativo utilizado en el servidor, así como el software que permite el funcionamiento del portal como los propios servicios web (Apache, Tomcat, Nginx, etc.), sistemas gestores de bases de datos (MariaDB, MySQL, etc.) y cualquier otro que sea necesario. Además es recomendable desinstalar del servidor todas las herramientas que no sean necesarias para el correcto funcionamiento del CMS, de esta forma se evitará que el servidor utilice recursos en herramientas innecesarias, a la vez que se evita sufrir cualquier incidente de seguridad relacionado con vulnerabilidades asociadas a estas. En los casos que la web se encuentre alojada en un proveedor externo, es recomendable conocer su política de actualizaciones del proveedor y decantarse por aquellos que mantengan todas sus herramientas siempre al día.

Una cuestión reseñable, es que las comunidades y las empresas que desarrollan CMS, publican con regularidad actualizaciones. Estas siempre debemos procurar instarlas lo antes posible, y sobre todo, si corrigen vulnerabilidades que pueden comprometer la seguridad del portal web. Para estar al tanto de estas actualizaciones, es recomendable monitorizar las páginas oficiales de los desarrolladores, ya que en ellas se informa a los usuarios cuando se libera una de estas actualizaciones. Otra alternativa es monitorizar o suscribirse a algún servicio de boletines como los que ofrecen las organizaciones dedicadas a la ciberseguridad. Los CMS suelen estar complementados por plugins, que proveen nuevas funcionalidades y temas que modifican su aspecto visual. La política de actualizaciones también debe contemplar estos elementos, ya que al igual que el resto de software, pueden contener debilidades que un ciberdelincuente podría aprovechar. Como sucede con el software no utilizado en el servidor que compone la arquitectura sobre la que se soporta el CMS, es recomendable desinstalar todos los plugins y temas que no sean necesarios para el funcionamiento de la web.

Es importante señalar, que cuando se actualiza cualquier tipo de software, este puede ocasionar conflictos que hacen que el funcionamiento no sea el adecuado. Esta situación es extrapolable a cualquier portal web. Debido a esto, cuando se aplique cualquier tipo de actualización en una web pública en Internet o en lo que se denomina en “producción”,  es conveniente instalarlas previamente en un entorno controlado denominado preproducción, pruebas, integración, etc. El entorno de preproducción debería ser una copia del entorno de producción en cuanto a arquitectura y software. Gracias a la segmentación de estos dos entornos se puede actualizar el software y realizar las pruebas pertinentes en preproducción para garantizar un correcto funcionamiento antes de aplicar las actualizaciones en el entorno de producción.

Por último realizar copias de seguridad de forma periódica del CMS y elementos accesorios como bases de datos o cualquier otro, será una garantía para la empresa, ya que en caso de que algo salga mal en la actualización o que un ciberdelincuente vulnere su seguridad siempre se contará con esta salvaguarda que asegurará poder restaurar la actividad.

Las actualizaciones son una parte fundamental de cualquier gestor de contenidos y en general de cualquier tipo de software, aplicarlas convenientemente será un factor que marcará la diferencia entre ofrecer un entorno seguro para los clientes y, por lo tanto, para la empresa, o no.

Marcos Lozano, experto en Ciberseguridad (INCIBE)

La copia de seguridad que necesitas para tus dispositivos, tus proyectos y tus datos
Accede a tus archivos desde cualquier dispositivo y lugar de forma segura
pack
10 GB
GRATIS
Consigue tu backup ahora