¿Verdad o mito que las webs hechas con CMS son más hackeables de lo normal?

Iniciado por big_ed, 15 Octubre 2019, 01:36 AM

0 Miembros y 2 Visitantes están viendo este tema.

big_ed

Hola a todos  ::)

Las paginas web hechas con CMSs, sobre todo las hechas con Wordpress, tienen fama de ser hackeables. EN primer lugar porque el CMS no restringe el acceso al codigo que lo compone (cualquiera puede descargarlo gratuitamente y acceder a su codigo, buscar errores, estudiarlo, etc). En segundo lugar porque son tan famosos que resultan un blanco tentador para muchos. Y en tercer lugar porque, mientras mas plantillas y plugins instalen los dueños de estos CMSs, mas accesos de hackeo abren en su pagina (llamemosles puertas, si quieren), pues, estas aplicaciones externas tienen codigo de diferentes personas, que uno ni sabe si es seguro o si esta compuesto correctamente.

Dicho todo esto, pregunto a los expertos en hacking ¿que tan cierto es que una pagina hecha con Wordpress u otro CMS es muy hackeable?
¿Si se lo propusieran ustedes, podrian hackear una pagina con Wordpress ahora mismo?
¿Una pagina que te brinda su codigo de composicion, es mas facil hackear que una que no lo hace?

Necesito que personas que sean hackers me aclaren esto de una vez por favor, porque la fama de Worpress es conocida, y los casos comunes de gente hackeada usando este CMS tambien; sin embargo, hay gente que dice que no es cierto todo esto , que es un mito...que hackean a los que cometen errores de seguridad, pero si no los cometes no te pasa nada.... ¿entonces, quien tiene la razon?

#!drvy

CitarLas paginas web hechas con CMSs, sobre todo las hechas con Wordpress, tienen fama de ser hackeables.

Tienen fama de ser los más atacados y por tanto donde más vulnerabilidades se suelen reportar. No son los más hackeableas en el sentido de que sean los más fáciles o algo así.

CitarEN primer lugar porque el CMS no restringe el acceso al codigo que lo compone (cualquiera puede descargarlo gratuitamente y acceder a su codigo, buscar errores, estudiarlo, etc)

El código libre es un arma de doble filo. Publicando el código fuente consigues que la gente encuentre errores y vulnerabilidades y que estas puedan ser solucionadas antes de tiempo o siquiera que puedan ser solucionadas... por otro lado, también abres la puerta a que la gente que encuentre problemas no los reporte.

Eso NO es un fallo de diseño ni nada parecido. No es malo publicar el código fuente, de hecho en muchas ocasiones es la única vía para proyectos que no se financian de forma regular y que son hechos a base de aportaciones de la comunidad.

Ocultar el código fuente no previene la vulnerabilidad si es que esa existe, solo la oculta. A esto se le llama seguridad por obscuridad y no se considera una buena practica.

https://es.wikipedia.org/wiki/Seguridad_por_oscuridad

CitarEn segundo lugar porque son tan famosos que resultan un blanco tentador para muchos.

Si, es cierto, creo que es el CMS más utilizado del mundo por lo tanto tiene sentido que sea el más atacado también.

CitarY en tercer lugar porque, mientras mas plantillas y plugins instalen los dueños de estos CMSs, mas accesos de hackeo abren en su pagina (llamemosles puertas, si quieren), pues, estas aplicaciones externas tienen codigo de diferentes personas, que uno ni sabe si es seguro o si esta compuesto correctamente.

Y si, es cierto también, cuanto más instalaes, más riesgo contraes.


Citar¿que tan cierto es que una pagina hecha con Wordpress u otro CMS es muy hackeable?

Probablemente es menos hackeable que una página hecha a mano. En Wordpress ya se ha pensado el sistema de login, el sistema de input, los permisos, las sesiones etc. No es comparable con ponerse a reinventar la rueda y rezar que lo que has hecho es "seguro". Es el problema de muchos programadores novatos, que se creen que si lo hacen ellos, es más seguro y luego ves el código y ni sanitizan, ni previenen CSRF ni previenen robo de sesiones ni nada.

Citar¿Si se lo propusieran ustedes, podrian hackear una pagina con Wordpress ahora mismo?

Las cosas no funcionan así. Tu no vas a un sitio con Wordpress, pulsas un botón y bum, juankeado. No. Puedes intentar acceder... si tiene vulnerabilidades, si expone más información de la necesaria, puedes intentar fuerza bruta etc.. pero no tienes garantias de que vayas a poder entrar ni asumes que lo vas a hacer.

Citar¿Una pagina que te brinda su codigo de composicion, es mas facil hackear que una que no lo hace?

Esto también es un concepto que muchos que acaban de entrar en el tema no entienden. Tu cuando ves el código fuente en un navegador, estas viendo solo lo que el sistema te quiere mostrar. Estas viendo lo que le hace falta a tu navegador para mostrarte la página. La lógica que hay detrás de todo como el login, el registro, el manejo de input y sesiones etc.. esta del lado del servidor y tu ese codigo no lo ves.

Y bueno, si te refieres a que si es más fácil hackear una CMS que tiene su código fuente libre, pues mirate lo de Seguridad por Obscuridad. El ejemplo más sencillo para contrarrestarlo es Windows donde el Microsoft no publica el código fuente pero aun así sigue siendo el sistema operativo más atacado y por lo tanto con más vulnerabilidades reportadas.


Citarque hackean a los que cometen errores de seguridad, pero si no los cometes no te pasa nada.... ¿entonces, quien tiene la razon?

No hay nada "inhackeable". Puedes tener buenas practicas de seguridad y que mañana Wordpress publique una actualización que introduzca una vulnerabilidad y que haya alguien que se dedique a joder.. si.. pero vamos, yo prefiero un sistema testeado mil veces antes que un sistema hecho a mano o por un don nadie donde no tienes en cuenta ni 10 de las 1000 variables y rutas de ataque que te pueden ejercer.

Las buenas practicas de seguridad como los permisos adecuados, las restricciónes de escritura en plugins, captchas en formularios, limite de intentos, borrado de sesiones, etc son necesarias y ayudan a prevenir, pero nada hace tu sistema "inhackeable".


Saludos

MinusFour

"mas hackeables de lo normal". Difícil de cuantificar o cualificar que es lo normal. Yo me imagino que si alguien quiere montarse su sitio web y se va por la ruta de un CMS le va a ir mejor que aprenderse lo básico de desarrollo web para hacer su sitio. Simplemente, hay demasiadas cosas que uno tiene que considerar a la hora de crear un sitio web. Si alguien quiere crear su sitio web desde cero va a necesitar invertir mucho tiempo en aprender todo lo necesario.

La realidad es que no importa sí usas un CMS o te creaste tu propio sistema. De hecho, no hay garantía que tu sistema sea seguro si escribiste tu sistema de forma perfecta porque todo el stack que utilizas puede ser considerado la superficie de ataque. A mi me han hackeado tanto CMS como sistemas privados. Una de esas veces hasta hackearon el reseller de hosting que alojaba mi sitio (por una vulnerabilidad de un panel privado).

@XSStringManolo

El tema está en que un fallo de seguridad en wordpress expone los datos de muchos millones de usuarios. Por lo tanto se le dan más bombo a vulnerabilidades que si por ejemplo se encuentran en la página web de Microsoft que solo afectaría a los usuarios del sitio, que en comparación son bien pocos.
Esto no implica que el sitio de Microsoft sea más seguro, o que se le reporten menos vulnerabilidades.
A parte es más difícil que todas las páginas que utilicen wordpress actualicen sus páginas, que que Microsoft actualice 1 página o servidor. Entonces es normal el revuelo en comparación.

Un "hacker" tampoco tiene porque saber "hackear" wordpress. Puede estar especializado en procesadores intel, sistemas IOS, arm, etc.





big_ed

Cita de: #!drvy en 15 Octubre 2019, 09:27 AM
Tienen fama de ser los más atacados y por tanto donde más vulnerabilidades se suelen reportar. No son los más hackeableas en el sentido de que sean los más fáciles o algo así.
Pero igual, entonces eso quiere decir que mas conviene hacerte la web desde cero que usar Worpress (aunque este no es el tema). Porque WOrpress es como el blanco tentador; en cambio las otras webs ni las miran. Estan mas a salvo. No llaman la atencion. Es como ese dicho "el clavo que mas sobresale recibe el martillazo".

Cita de: #!drvy en 15 Octubre 2019, 09:27 AM
El código libre es un arma de doble filo. Publicando el código fuente consigues que la gente encuentre errores y vulnerabilidades y que estas puedan ser solucionadas antes de tiempo o siquiera que puedan ser solucionadas... por otro lado, también abres la puerta a que la gente que encuentre problemas no los reporte.
Eso NO es un fallo de diseño ni nada parecido. No es malo publicar el código fuente, de hecho en muchas ocasiones es la única vía para proyectos que no se financian de forma regular y que son hechos a base de aportaciones de la comunidad.
Ocultar el código fuente no previene la vulnerabilidad si es que esa existe, solo la oculta. A esto se le llama seguridad por obscuridad y no se considera una buena practica.
En esto estoy de acuerdo porque , LInux por ejemplo, tiene fama de ser el sistema mas seguro, y sin embargo abre su codigo a cualquiera que desee estudiarlo, editarlo, etc. Y Microsoft que no hace lo mismo, es el mas inseguro o atacado, segun dicen por ahi.
No lo habia visto asi.

Cita de: #!drvy en 15 Octubre 2019, 09:27 AM
Probablemente es menos hackeable que una página hecha a mano. En Wordpress ya se ha pensado el sistema de login, el sistema de input, los permisos, las sesiones etc. No es comparable con ponerse a reinventar la rueda y rezar que lo que has hecho es "seguro". Es el problema de muchos programadores novatos, que se creen que si lo hacen ellos, es más seguro y luego ves el código y ni sanitizan, ni previenen CSRF ni previenen robo de sesiones ni nada.
Bueno , si eres programador e intentas hacer tú mismo tu cms, puede que la gente de Worpress esté más capacitada (sobre todo porque son varios cerebros y su proyecto tiene muchos años).. pero si haces una web desde cero, sin ningún "puente de ingreso" hacia tu server, por ejemplo no creas sesiones, ni inputs ni permites la subida de files, etc... O sea, mejor dicho, no haces tu propio CMS sino una web que tú mismo administras con código...Entonces tu sitio, por logica, esta mas seguro. ¿Qué pasa si mi sitio no tiene ningún formulario, ni sesiones ni subida de files, ni nada que sea una puerta abierta a mi server...nada que permita a los usuarios hacer algo en mi sitio (excepto los eventos de las animaciones)? Pues yo creo, sin ser hacker ni nada, que el sitio estaria mucho mas seguro que cualquier CMS, porque no hay accesos (en cambio el CMS tiene puertas abiertas por todos lados, y cada vez que instalas una nueva plantilla o plugins abres mas puertas). Lo otro seria que hackeen el mismo servidor donde esta alojada tu web, cosa que supongo seria muy dificil, y ademas eso ya escapa de tus responsabilidades.

Cita de: #!drvy en 15 Octubre 2019, 09:27 AM
Esto también es un concepto que muchos que acaban de entrar en el tema no entienden. Tu cuando ves el código fuente en un navegador, estas viendo solo lo que el sistema te quiere mostrar. Estas viendo lo que le hace falta a tu navegador para mostrarte la página. La lógica que hay detrás de todo como el login, el registro, el manejo de input y sesiones etc.. esta del lado del servidor y tu ese codigo no lo ves.
¿pero acaso en worpress no puedes ver las hojas de codigo PHP? Esta parte no la entiendo.

big_ed

Cita de: MinusFour en 15 Octubre 2019, 18:40 PM
"mas hackeables de lo normal". Difícil de cuantificar o cualificar que es lo normal. Yo me imagino que si alguien quiere montarse su sitio web y se va por la ruta de un CMS le va a ir mejor que aprenderse lo básico de desarrollo web para hacer su sitio. Simplemente, hay demasiadas cosas que uno tiene que considerar a la hora de crear un sitio web. Si alguien quiere crear su sitio web desde cero va a necesitar invertir mucho tiempo en aprender todo lo necesario.
El tema no va de esto.

Cita de: MinusFour en 15 Octubre 2019, 18:40 PM
La realidad es que no importa sí usas un CMS o te creaste tu propio sistema. De hecho, no hay garantía que tu sistema sea seguro si escribiste tu sistema de forma perfecta porque todo el stack que utilizas puede ser considerado la superficie de ataque. A mi me han hackeado tanto CMS como sistemas privados. Una de esas veces hasta hackearon el reseller de hosting que alojaba mi sitio (por una vulnerabilidad de un panel privado).
Voy preguntando en varios sitios, y la mayoria que ha tenido muchas paginas worpress, me cuenta que al menos un par de ellas fueron hackeadas, que les pusieron anuncios o redirigian a las personas que entraban a otras paginas. Parece que es bastante comun.

big_ed

Cita de: string Manolo en 15 Octubre 2019, 20:04 PM
El tema está en que un fallo de seguridad en wordpress expone los datos de muchos millones de usuarios. Por lo tanto se le dan más bombo a vulnerabilidades que si por ejemplo se encuentran en la página web de Microsoft que solo afectaría a los usuarios del sitio, que en comparación son bien pocos.
Esto no implica que el sitio de Microsoft sea más seguro, o que se le reporten menos vulnerabilidades.
A parte es más difícil que todas las páginas que utilicen wordpress actualicen sus páginas, que que Microsoft actualice 1 página o servidor. Entonces es normal el revuelo en comparación.

Un "hacker" tampoco tiene porque saber "hackear" wordpress. Puede estar especializado en procesadores intel, sistemas IOS, arm, etc.





. O sea que si alguien hackea una version de worpress, 'este alguien' puede hackear todas las paginas que tengan esta version?

. No sabia que los hackers tenian sus ramas. Creia que sabian hackear de todo. Por eso pense que debian tener, fijo, conocimientos basicos de html, css y java script; y avanzados de php y sql, que son los lenguajes de toda web.

WHK

Todo depende del punto de vista, pero en resumen puedo decir que efectivamente los sistemas cms por lo general son mas vulnerables que otras alternativas.

Si comparas un CMS con un desarrollo hecho de cero, dependiendo de la calidad puede que el sistema cms sea mucho mejor que el sistema hecho de cero, por otro lado si el equipo de trabajo es profesional y la aplicación está bien diseñada entonces será menos vulnerable que un sistema cms conocido.

Por lo general los sistemas cms están diseñados para ser lo más genéricos posible y es ahí donde recae la mayoría de los problemas, por ejemplo, al ser un sistema tan genérico necesitarás de plugins o componentes adicionales externos y muchos de ellos sin un control de seguridad. En cambio un sistema propio estará diseñado para lo que debe hacer unicamente y si su arquitectura es robusta, escalable y segura entonces conviene más.

Saludos.

manuugz17

simplemente las paginas creadas con  CMS tiene una seguridad mas baja y son faciles de vulnera pero aun asi siguen sieno paginas seguras ya q la vulnerarididad no tiene q ver con la facilidad

#!drvy

CitarPero igual, entonces eso quiere decir que mas conviene hacerte la web desde cero que usar Worpress (aunque este no es el tema). Porque WOrpress es como el blanco tentador; en cambio las otras webs ni las miran. Estan mas a salvo. No llaman la atencion. Es como ese dicho "el clavo que mas sobresale recibe el martillazo".

Eso es como decir que pones menos seguridad a tu casa porque vives en un pueblo donde no va nadie. No quiere decir que sea más segura, de hecho probablemente es menos segura.. simplemente crees que nadie te va a ir a robar. Y ejemplos de justo lo contrario pasando los tenemos a montones.

Monta un SSH y deja el puerto por defecto por ejemplo. Verás como a la semana tienes miles de logs de IP's de China y Estados Unidos intentando entrar.


Citar¿Qué pasa si mi sitio no tiene ningún formulario, ni sesiones ni subida de files, ni nada que sea una puerta abierta a mi server...nada que permita a los usuarios hacer algo en mi sitio (excepto los eventos de las animaciones)? Pues yo creo, sin ser hacker ni nada, que el sitio estaria mucho mas seguro que cualquier CMS, porque no hay accesos (en cambio el CMS tiene puertas abiertas por todos lados, y cada vez que instalas una nueva plantilla o plugins abres mas puertas).

Entonces no puedes comparar eso con un Wordpress. Si yo cojo, monto un servidor web en un PC, cojo dicho PC lo meto en un bunker bajo tierra con miles de compuertas y a prueba de ataques nucleares, desconectado de Internet.. será quizás el sistema más seguro.. pero puedo compararlo con una página web tradicional? No.

Citar¿pero acaso en worpress no puedes ver las hojas de codigo PHP? Esta parte no la entiendo.

Puedes ver el codigo si te lo descargas de Wordpress. Pero no puedes ver el codigo de una página especifica sin tener permisos. Yo puedo tener un Wordpress super modificado y que nadie pueda ver dicho código.

Saludos