(In)seguridad en WordPress, por Stefan Esser

Enviado por admin el 15. Septiembre 2007 - 11:42.

Dado que opiniones hay tantas como sujetos, y la mía es sólo otra más (basada -eso sí- en mi experiencia como usuario de diversos sistemas de publicación de contenidos web durante varios años), hoy traigo a portada la opinión sobre WordPress de Stefan Esser, reconocido experto mundial en seguridad de PHP, responsable de PHP Security Blog, creador del Mes de los bugs de PHP, autor de la primera ruptura del DRM de la Xbox mediante software, miembro fundador del equipo de respuesta de seguridad de PHP.net, auditor de aplicaciones PHP, etc, etc.

Una reciente entrevista, realizada a Stefan Esser por David Kierznowski para BlogSecurity, nos permitirá conocer qué opina un experto mundial de este nivel sobre WordPress. La entrevista es larga, y no quería traducirlo todo, pero al final...

Dice Esser:

Creo que WordPress es el mejor software para blog desde una perspectiva de usuario. Su interfaz gráfico está lleno de características y adornos que no existen en otro software. Pero si me pongo mi sombrero de seguridad y me meto en el código veo varias decisiones de mal diseño. Empieza por cómo interacciona con la base de datos. Además, considero algunas de sus características bastante peligrosas. Personalmente no me gusta que el software anime a sus usuarios a tener ficheros escribibles en el directorio raíz. La característica de WordPress de editar ficheros y plantillas en el servidor hace exactamente eso. El problema es que si me apodero de la cuenta de administrador de un blog en WordPress, nada me impide ejecutar cualquier código PHP en el sistema. Y desde ahí sólo queda un pequeño paso para controlar el servidor completo.

He sido crítico con el equipo de desarrollo de WordPress porque hizo varias cosas que no están bien. Cuando has arreglado una ejecución directa de código remoto en tu rama de desarrollo y existe ya un exploit públicamente disponible, no se puede esperar varios días para publicar la actualización. Y es totalmente inaceptable que un fabricante intente rebajar la seriedad de la vulnerabilidad con afirmaciones como: "Hemos hablado con expertos en seguridad PHP y dicen que no es una vulnerabilidad seria porque requiere que register_globals esté activado." En primer lugar, la mayoría de los servidores aún tienen activado register_globals y, además, el propio servidor de wordpress.org lo tenía activado también.

Cuando por fin sacaron la actualización, les dije que su arreglo no servía porque bastaba modificar un poco el exploit para que éste funcionara. Su reacción fue ocultar el hecho cambiando sin decir nada el fichero de descarga. No incrementaron el número de versión, sólo arreglaron el código vulnerable horas después de haberlo publicado. Y luego afirmaron públicamente que el fichero anterior estuvo on-line "brevemente", cuando los sellos de tiempo en su interior demostraban que "brevemente" fueron varias horas.

Personalmente opino que en lo relativo a actualizaciones de seguridad, un productor de software ha de decir la verdad y asegurarse de que la gente comprende la amenaza. Los errores ocurren y también los fallos mal reparados, pero es mucho más profesional admitir que un parche no era perfecto que cambiarlo sin decir nada.

Si no recuerdo mal, la gente de phpBB en un momento dado utilizó el dinero recolectado para pagar a una empresa de seguridad que auditara el software. Estoy bastante seguro de que todavía existen varias vulnerabilidades en WordPress. Sugiero firmemente que la gente de WordPress haga lo mismo. Las auditorías gratuitas que obtienen a partir de la gente que publica fallos no cubren todo el código básico. Y quizás deberían empezar a pensar en una completa reescritura que utilice otra arquitectura. Cuando pienso en la forma en que Wordpress intenta frenar la inyección de SQL, que es básicamente mediante un magic_quotes_gpc hecho en casa, me entran escalofríos. Con otra arquitectura se podrían asegurar desde el principio de que cosas como CSRF o incluso XSS no pudieran darse.

WordPress es un software para usuarios finales con poco o ningún conocimiento técnico. Por supuesto hay también administradores y desarrolladores que lo utilizan, pero la mayoría de usuarios de WordPress no leen listas de correo sobre seguridad. Normalmente no se enterarán de todos los fallos de seguridad que se encuentren. Y estoy seguro de que la mayoría de ellos simplemente actualizarán si se enteran y no pensarán más en ello. La mayoría no se ocupan de estas vulnerabilidades hasta que sus blogs son jaqueados, e incluso entonces, simplemente reinstalan y empiezan de nuevo. Dicho eso, creo que los agujeros de seguridad en WordPress podrían espantar a los desarrolladores y administradores, pero la mayoría de usuarios seguirán utilizándolo.

No conozco demasiadas alternativas a Wordpress. Para mí está Serendipity/S9Y. En mi opinión la calidad del código de Serendipity es mejor que la de WordPress, pero Serendipity no es tan amistoso para el usuario. A causa de que su código básico es más pequeño, es más fácil de auditar y por tanto deja un mejor sabor de estómago. Además conozco personalmente a muchos de sus autores.

Para aquellos lectores de Kriptópolis que me piden opinión sobre qué software es el mejor (o el más seguro, o el más apropiado), no tengo una respuesta universal. Para Kriptópolis estoy encantado con Drupal, pero tampoco se lo recomendaría a todo el mundo. Drupal necesita mucha máquina (sobre todo mucha RAM) a poco que se disparen las visitas o se haga uso de ciertos módulos, por lo que resulta muy poco aconsejable si el blog tiene cierta popularidad y no se dispone de un servidor dedicado (muchos conocéis de sobra mis pasadas dificultades por estos motivos). A cambio, es un software muy bien escrito y muy depurado en cuanto a seguridad. Los fallos son escasos, y generalmente más ligados a módulos extra que al propio código base. Su sólido sistema de filtrado de entradas (y salidas) y su interfaz con la base de datos son poco proclives a disgustos. Su sistema de registro ayuda a detectar cualquier intento de ataque. Hace años utilicé pMachine (ahora reemplazado por ExpressionEngine), que al menos en aquella época me pareció un software muy bien escrito, nada proclive a fallos y con un gran servicio detrás.

 

 

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Confirmo que Drupal

Enviado por enxebree el 15. Septiembre 2007 - 13:51.

Confirmo que Drupal no es valido para todo el mundo, ni mucho menos... pero hoy por hoy, si me dicen que apueste por un CMS, apostaría por Drupal y tambien por Plone...

Yo empleo Drupal y estoy encantado... como bien dices, a veces me asombro al mirar el registro y ver como intentan atacarme la página con exploits para otros sistemas, sobre todo para IIS y extensiones de Frontpage... además que Drupal posee unos módulos adicionales para seguridad muy, muy interesantes...

Pero quien quiera lanzarse a Drupal, que se lo tome con calma... tiene mucha miga detrás ... y la comunidad en español no es tan activa como la Joomla o Wordpress (en parte porque la mayoría de los que se meten con Drupal, ya tienen bastante experiencia con otros sistemas)

Eso si, si alguien tiene la idea de suplantar Wordpress por Joomla, yo no perdería el tiempo... it's my opinion, sure...

Saludos

deaparatos.com

pero drupal es muy diferente

Enviado por anónimo el 15. Septiembre 2007 - 23:50.

pero drupal es muy diferente a wordpress.. yo instale los dos en un servidor pero para cosas muy diferentes.

actualmente tengo un servidor con drupal funcionando para un site de un evento, y tengo un blog en el site de wordpress y me encanta.

pero es irrefutable que wordpress tiene serios problemas de seguridad.

deberian reescribir mucho codigo para solucionar esto pero me parece que estan mas interesados en agregar nuevas funcionalidades.

Ahí le duele

Enviado por anónimo el 16. Septiembre 2007 - 0:14.

me parece que estan mas interesados en agregar nuevas funcionalidades.

Y con ello han elegido el camino más rápido hacia el desastre.

Si, claro que Drupal y

Enviado por enxebree el 16. Septiembre 2007 - 10:54.

Si, claro que Drupal y Wordpress son muy diferentes.

Drupal es un CMS multiproposito y Wordpress es un CMS para blogs y poco más... Con Drupal también puedes montar un blog y hacer practicamente todo lo que puedes hacer con WP y mucho más...

Saludos

deaparatos.com

Pues estamos bien...

Enviado por anónimo el 15. Septiembre 2007 - 16:24.

... si un administrador con demostrada experiencia en CMS como es el admin de este sitio dice que la opción liviana es insegura y la segura muy "pesada"...Habrá que ir pensando en invertir nuestro tiempo (o dinero quien pueda) en hacerse con esta parte del pastel. No?

Avestruz

Enviado por anónimo el 15. Septiembre 2007 - 17:40.

Suena como que WordPress usa la metodologia del avestruz.

Meter la cabeza en la tierra y pretender que nada pasa.

Mi opción: sNews

Enviado por anónimo el 15. Septiembre 2007 - 23:37.

sNews es un CMS mínimo creado en interacción continua con la comunidad de usuarios. Consta de un único fichero PHP. Para su pequeño tamaño es muy flexible y se puede incrustar sin problema en cualquier hoja de estilo.

La versión 1.5 tuvo una crisis de seguridad que fue reconocida de inmediato y resuelta con rapidez.

Duda Drupal

Enviado por Gocho el 16. Septiembre 2007 - 10:28.

Me surge la duda al leer lo que dices sobre Drupal. ¿Tanta RAM necesita? Ignoro el número de usuarios que tiene al mes Kriptopolis (aunque me gustaría saberlo, por curiosidad) pero... ¿No habría que tener en cuenta la relación costo/seguridad?

Drupal será muy seguro, pero si los costes de la página se disparan al triple tal vez sea mejor para mucha gente localizar algo intermedio.

Eso intentaba decir

Enviado por admin el 16. Septiembre 2007 - 10:59.

si los costes de la página se disparan al triple tal vez sea mejor para mucha gente localizar algo intermedio.

Eso es lo que trataba de decir, para que nadie se llame a engaño.

No obstante -insisto- mientras el sitio no tiene muchas (o muchísimas) visitas, Drupal es perfectamente usable, incluso en un alojamiento compartido de muy pocos dólares (euros) al mes. Así ha sobrevivido Kriptópolis con Drupal hasta hace justo un año (con muchas dificultades, cierto).

En resumen: mientras tu sitio no tenga las visitas que -por ejemplo- tiene Kriptópolis, puedes disfrutar de Drupal perfectamente. Si se trata de un sitio que despacha -digamos- entre miles o decenas de miles de páginas al día, necesitas un servidor dedicado. Y potente.

Pero tampoco creo que eso sea muy distinto para otros CMS, aunque Drupal tiene especial fama (merecida) de ser un consumidor potente de recursos.

¿Y que pensais de Joomla?

Enviado por anónimo el 17. Septiembre 2007 - 1:32.

Soy nuevo en todo este tema y me gustaria conocer vuestra opinión sobre Joomla.

12siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...