Hace años que gestores de contenido (CMS) como WordPress, Joomla, Drupal o Prestashop facilitan la presencia en internet. Son la base de webs, e-commerce o blogs. A la hora de decidirte por uno, o simplemente ver las diferencias, la seguridad escala posiciones en la lista de factores determinantes. ¿Cuál de estos gestores de contenido web es más seguro? ¿WordPress por ser el más famoso? ¿o el que cuenta con una comunidad mayor?
Realmente tanto WordPress, Joomla, Drupal o Prestashop hacen un buen trabajo a nivel de seguridad. Todos arreglan sus vulnerabilidades o bugs en muy poco tiempo. ¿Cuándo vienen los problemas? En las actualizaciones de las versiones. Muchas veces el tiempo que tardas en actualizar tu tema, plugin o gestor de contenidos es clave para evitar infecciones o hackeos. Siempre piensas que no te va a pasar a ti, pero si no sigues un mantenimiento básico de seguridad, es más que probable que infecten tu web. Y no es sólo que la ataquen si no que la usen para hacer phising o cosas peores.
Vulnerabilidades de WordPress, Joomla, Drupal y Prestashop por año
El sistema Common Vulnerabilities and Exposures (CVE) proporciona un método de referencia para vulnerabilidades y exposiciones de seguridad de la información.
De ahí se pueden obtener datos sobre las vulnerabilidades de cada uno de los gestores de contenidos en todos sus años. Viendo la evolución de cada uno, puedes extraer algunas conclusiones:
Desde 2004 han habido años donde la seguridad se ha visto más comprometida en WordPress. También cabe destacar que casi el 40% de las vulnerabilidades de WordPress se debieron a scripts entre sitios (cross-site scripting, XSS). El principal objetivo de este tipo de ataques es redirigir a tus usuarios a sitios maliciosos o de descarga de malware secuestrando tu web.
El 54% de vulnerabilidades de Joomla se compone principalmente de errores de ejecución de código. Son vulnerabilidades que permiten la ejecución e inyección de shellcode para que el atacante pueda manipular un sistema otorgándole privilegios de administrador. El siguiente gran porcentaje (40%) en Joomla es para los ataques de inyección de SQL. En este caso el atacante inserta sentencias SQL para hacer básicamente lo que quiera.
El 46% de las vulnerabilidades totales encontradas en Drupal consistían en scripts entre sitios (XSS), caso similar a WordPress. Pese a que el volumen de vulnerabilidades anuales de Drupal es es bastante inferior. En ambos casos, Drupal y WordPress, se refleja que son mejores para defenderse contra la ejecución de código y los ataques de inyección de SQL.
Prestashop es el CMS del que menos datos tenemos. Pese a tener un número inferior de vulnerabilidades anual, la mayoría de las detectadas en Prestashop también eran XSS.
¿Por qué WordPress tiene tantas vulnerabilidades o bugs de seguridad?
Es una razón bastante simple. Si observas el gráfico adjunto:
CMS más usados
Podrás observar como, con diferencia, WordPress es el gestor de contenidos más usado. El proyecto cada vez abarca más. Más usuarios, más usos, más plugins y por tanto más vulnerabilidades detectadas. Esto no significa que sea el más inseguro. Simplemente el más usado, y por tanto el que lógicamente más difícil es de mantener 100% seguro.
Es cierto que analizando en profundidad los datos, Drupal parece ‘preocuparse’ más por la seguridad. Sin embargo, en el contexto de cada CMS hacen un gran trabajo para mantener la seguridad de sus proyectos.
Debes tener en cuenta que no se puede garantizar completamente la seguridad y es vital las actualizaciones constantes y el uso de un firewall como protección preventiva. Como primer paso, puedes utilizar nuestra herramienta de análisis de malware de dominio para verificar si tu web tiene ficheros infectados, o estás en alguna lista negra.
0 Comentarios Deja un comentario