Extensiones vulnerables

La seguridad es un aspecto fundamental en nuestro sitio Joomla. Es posible que alguno no sepa que, si bien las casi 8000 extensiones que hay en el JED son responsabilidad única de sus autores, el Proyecto Joomla mantiene una lista oficial de Extensiones en las que se han detectado problemas de seguridad, en la que aparecen todas las extensiones de las que sido notificado algún tipo de vulnerabilidad, así como la versión concreta en la que se detectó y, de existir, qué parche aplicar o dónde encontrarlo.

¿Qué son las extensiones vulnerables?

Se trata de extensiones sobre las que existe la certeza, o al menos una sospecha fundada, de que contienen fallos en su código que podrían permitir o facilitar un ataque contra un sitio web que las incluya. O en algunos casos puede ser que directamente exista código malicioso que ha sido insertado de forma malintencionada.

En cualquiera de los casos anteriores, la extensión afectada presentará un riesgo para la seguridad del sitio en el que sea instalada.

¿Cómo sé si alguna de las extensiones que tengo instaladas es vulnerable?

Un equipo específico, dentro del cual hay algunos miembros del JSST (Joomla Security Strike Team), así como algunos particulares con dilatada experiencia en seguridad, se encargan de evaluar informes acerca de posibles brechas de seguridad en extensiones. Cuando uno de estos informes sobre un posible fallo está abierto pero aún no ha sido 100% confirmado, la extensión afectada aparecerá en la lista de investigación de exploits (ACTUALIZACIÓN: parece que actualmente esta lista está en desuso).

Cuando se confirma que una extensión presenta una vulnerabilidad, será incluida en la lista de extensiones vulnerables, siendo el fondo de las celdas que ocupa de color rojo. En cada fila de la lista aparece en primer lugar el nombre de la extensión (en la lista más antigua aparece el nombre con el que la extensión se registra en la base de datos), seguido de un breve informe acerca de la vulnerabilidad. La tercera casilla es un enlace a la fuente del informe para los listados anteriores a febrero de 2010, mientras que a partir de esa fecha lo que se incluye es la fecha en la que la vulnerabilidad fue incluida en la lista. La última casilla muestra si ha habido alguna actualización acerca del informe; si aparece el texto "Not Known" es que se desconoce si ha habido o no algún progreso a la hora de corregir el agujero de seguridad (en cuyo caso lo más probable es que siga existiendo), mientras que si aparece un texto distinto es que ha habido alguna novedad al respecto.

Si el fondo de las casillas de un reporte es verde en lugar de rojo, es que la vulnerabilidad ha sido corregida (normalmente con una nueva versión de la extensión).

Recuerda que, para estar al día de nuevas vulnerablidades, existe un canal RSS oficial de extensiones vulnerables. Aquí en Gnumla nos hacemos eco de las vulnerabilidades que afectan a las extensiones más importantes, pero es posible que no informemos de extensiones pequeñas o muy desfasadas.

Vale, mi extensión aparece en la lista. ¿Es grave?

Como todo en esta vida, depende.

Si el fondo de la fila es de color verde, debes asegurarte de que la versión de tu extensión es POSTERIOR a la que tenía el fallo. Si es así, tu extensión ya no está afectada por ese problema.

Si el fondo de la fila es de color rojo, lee la segunda casilla de la fila, en la que se explica un poco el tipo de vulnerabilidad que afecta a la extensión. Algunas vulnerabilidades son extremadamente graves, ya que son agujeros a través de los cuales un atacante podría llegar incluso a hacerse con el control del servidor en el que está alojado tu sitio Joomla!. Otros no son tan graves, ya que simplemente facilitan información sobre tu sistema a un atacante; esta información por sí sola no le permitirá hacer ningún daño, pero sí que puede facilitarle las cosas para saber por dónde puede llegar a encontrar un punto débil. Como norma de seguridad elemental, mientras menos facilidades les demos a "los malos" más seguros estaremos.

Sea cual sea tu caso, si tu extensión aparece en la lista deberías ir a la web que le da soporte, y explorarla en busca de información. Si no encuentras nada, o lo que encuentras no te queda claro, no dudes en preguntar en los foros, o en ponerte en contacto con los desarrolladores de la extensión. No seas perezoso en este aspecto: se trata de la seguridad de tu sitio, y ya se sabe lo que reza el dicho: "más vale prevenir que curar".

Creo que he encontrado una vulnerabilidad. ¿Dónde informo de ello?

Si te defiendes medianamente bien con el inglés, puedes informar en cualquiera de estos sitios:

En cualquiera de los casos, no olvides poner al inicio del título del mensaje que crees la palabra "Vulnerable", para facilitar su procesado por parte de los responsables.

Si la lengua de Shakespeare no se te da muy bien, puedes reportar lo que has descubierto en el foro oficial de seguridad en español, y alguno de los moderadores nos encargaremos de trasladarlo a los foros en inglés.

 

Recuerda que las extensiones no son lo único de lo que preocuparse en cuanto a la seguridad de tu sitio Joomla!. Asegúrate de que has leído y puesto en práctica los consejos sobre seguridad que aparecen en la documentación oficial de Joomla!, y si tienes dudas no vaciles en preguntar en los foros.

Si, a pesar de todo, tu sitio acaba siendo atacado, empieza la recuperación leyendo esto.

Y por último, recuerda que ningún sitio es 100% seguro, por más interés que te tomes. Por ello, lo mejor es que te asegures de llevar a cabo un plan de copias de seguridad en condiciones.

Sobre el autor
Isidro Baquero
Author: Isidro Baquero

Desde 2008 ha trabajado como freelance, fundamentalmente desarrollando sitios web basados en Joomla, aunque también como webmaster, gestor de comunidades o traductor del inglés al español de aplicaciones de software. Actualmente forma parte del equipo de SobiPro en Sigsiu.NET, donde desempeña labores de soporte, documentación, pruebas de software y traducción al español.

::- Contactar -::


Escribir un comentario

REGLAS APLICABLES A LOS MENSAJES
  • Los comentarios serán publicados una vez que hayan sido comprobados y aprobados por un administrador del sitio.
  • No están permitidos comentarios injuriosos o amenazadores.
  • No está permitido hacer spam.
  • Los enlaces que no vayan a sitios oficiales Joomla! o que no estén relacionados con el mensaje serán editados.