Problema seguridad Urgente en Joomla y Wordpress

Tengo una cuenta de host en nogravity y acabo de recibir este email, alguién puede decirme que hay de verdad. Ya sé que lo mejor es tener las últimas versiones, pero de eso al tema que hablan del exploit, va un trecho.

Le envio este comunicado para avisarle que si esta usando Jooma o wordpress tiene que actualizarlo a la ultima version. Ya que existe un exploit que permite ver los ficheros de configuracion de su hosting asi viendo el password de su cuenta cpanel. Tambien les aconsejo cambiar el password de la base de datos para que no sea igual que la de la cuenta Cpanel.

 

Si te lo envio tu proveedor lo mejor es hacerle caso, puedes checar las noticias de wordpress y joomla, con joomla no me sorprende. Siempre es mejor tener todo actualizado.

Si aun tienes dudas, envíales un ticket y pregúntales.

Saludos.

 

Al parecer si es cierto, tuve ese mismo problema con varios clientes, con Joomla las BD.

Y de igual modo se les recomendó actualizar a las últimas versiones y usar software Original ya que algunos usan cualquier theme robado y los exploit se aprovechan de ello.

Todos estamos sujeto a esos detalles ya que muchos clientes aun no toman conciencia. El culpable es el servidor.

 

Ahora están de moda los Symlink para usarlos como hack, una recomendación que tome yo fue poner los archivos de configuración con chmod 600, de este modo desde un symlink no sera posible visualizarlos en modo texto plano.

este es el caso que me esta sucediendo.

comunidadhosting.com/asuntos-tecnicos/15708-problemas-de-seguridad-por-php-ini.html

Un saludo.

 

Gracias por las respuestas, no tengo Joomla, lo descarté hace tiempo, solo tengo un WP con versión 3 pero es muy cansado cambiar de versión cada mes

Por cierto que es un Symlink.

Gracias

 

WordPress ... 309 Vulnerabilidades solo en 2011.. Lo que va del año 2012 ya van 19 y criticas...

Sinceramente no vale la pena usar mas CMS para sitios..El dolor de cabeza además que causan a los hosting es algo increíble.
Las empresas de hosting son las que al final terminan gastando mucho dinero en soporte a usuarios con estos temas, siendo que el 99% es problema del propio usuario... que llena de plugins basura, no actualiza etc...además quienes usan este tipo de plataformas deben estar constantemente actualizandolas , cosa que a la larga el costo de mantener esto sea en tiempo y dinero no conviene..Lo mejor es hacer algo propio

 

Si pues es muy cierto que tienen vulnerabilidades, Pero sabemos que en el mundo todo tiene deficiencias. Los bugs se van perfeccionándose a medida que se van encontrando los hoyos.

Si no tampoco su compañía estaría ofreciendo hostig para los CMS. Los ofrecen porque hay demanda y hay quienes lo usan y usamos los CMS apezar de sus defectos. Porque vivimos de ellos y con ellos.

 

1º Todo que empieza a tener demasiadas deficiencias , la gente se va aburriendo a la larga, pues hay que estar encima corrigiendo problemas todo el tiempo.
2º Antes el mas famoso de los CMS ( OSCOMMERCE) que les pasó?? Murieron de a poco...y ahora por mas que se trate de levantar ya no da confianza...
3º Llega un punto en que la gente empieza a preocuparse mas en hacer algo propio... Hablo con propiedad..Tengo 43.000 clientes y mas de 130 servidores..y ha disminuido muchisimo el numero de personas usando por ejemplo joomla comparado con años anteriores... También despues de la grave vulnerabilidad de timthumb de WordPress mucha gente también empezó a cambiar sus plataformas.
4º ha crecido en más de 400% las vulnerabilidades de WordPress en apenas 1 año...
Sinceramente si WP no hace nada respecto a mejor orientación a sus usuarios etc , dar mejores explicaciones , mas información de seguridad tenlo por seguro que en 2 años más será un oscommerce mas...

Tambien te aclaro que participé en la hostingcon el pasado año y mucho se hablo sobre las medidas que las empresas de hosting deberian tomar respecto a estos 2 CMS....Ya que el uso de estos CMS está causando un excesivo costo de soporte a las empresas y muchas cosas más...Y MUCHAS EMPRESAS ANDAN ABURRIDAS DE ESTOS CMS YA...Te lo afirmo...


Como empresa de hosting claramente ofrecemos hosting a cualquier plataforma de CMS... El usuario usa lo que él quiere sin embargo los usuarios no se preocupan de actualizar , no se preocupan de parchear los bugs que vayan surgiendo etc.. transformandose en un problema grave a las empresas de hosting..

 

Powerhost, lo q afirmas está claro.

Pero si un cliente tiene un WP en su cuenta y no actualiza y le hackean, por ejemplo. ¿El problema es tuyo? Yo creo que no, que es problema del cliente, que se debe preocupar de solucionar el problema, y si quiere que su cía de host le solucione lo que el no ha hecho que pague el trabajo que genera volver a poner limpio su WP.

Otra cosa, son los posibles riesgos en servidores por los hackeos, y demás.

Ya verias si todas las empresas de host, no dieran soporte gratis a un cliente con un WP hackeado.

 

No , no es un problema de la empresa de hosting... Sin embargo cada vez que pasa esto el usuario tiene por costumbre ya abrir un ticket o llamar.. y muchisimas veces tildar que el problema es del hosting, siendo que cualquier persona que entiende de esto sabe que "no" lo es...

En nuestro caso lo que estamos haciendo es muy sencillo : Cliente abre ticket por que su CMS dio problemas o fue hackeado , nosotros le restauramos un backup y le explicamos que es lo que debe corregir.. Cobramos y caro por esto, ya que el tiempo que para un tecnico revisar todo no es menor....Además se explica muy bien explicado que esto es problema de él... que debe corregir y cuidar su cms...porque solo con restaurar un backup no ayuda en nada.. Solo quita temporalmente el problema para darle tiempo al usuario de arreglarlo para que no le vuelva a pasar..

Pero que pasa con esto ?? Como las demás empresas no tienen la misma politica de cobrar y de educar a los clientes , somos tildados de cualquier cosa...

Referente a seguridad de servidores en si hemos modificado muchisimas cosas que hackeos a nivel de maquina son muyyyy dificiles...por lo tanto el 100% de estos problemas de cms son netamente del usuario....

El gran problema es que las empresas cada dia se bajan mas los pantalones y como no son capaces de educar a sus clientes respecto a estos temas , crean una cultura de que todo es problema del hosting...Siendo que mas del 90% de los problemas que hay en las empresas son causados por el propio usuario....

 

POWERHOST. Pues sí, Tenéis mucha razón. En más de una ves llegan gritando a los cuatro vientos que nuestros servicios son pésimos. No solo será con su compañía que la trata dice. A muchos no pasa eso. Y aun el cliente es terco. En más de las veces No sabe nada ni de lo que es un hackeo y/o similares por vulnerabilidad Pero dice que somos los culpables.

Hay muchos clientes serio y otros que no los son, Creen que con instalar un CMS que algunos ya llevan años sin ser movido ni actualizados. Encima piensan que por haber bajado un themes nulled o robar clonar etc. Etc. es todo.

Cómo dice hay muchísimas compañías, seudo compañías grupos de personas etc. etc. Que lo tomaron como broma y dan el servicio. “como dijo hasta ya se bajan los pantalones” Pero a la hora de la verdad al primer gran problema generalizado. Desaparecen del mapa. Creo en son de broma se los tragó al tierra.

Y lo más curioso es cuando se mudan a otros lados sabiendo el problema repiten el mismo error. De nuevo abajo la web. Ahora son o somos los nuevos generadores del problema.

Y si no contestaste su ticket en a tiempo andan hablando pestes de ti o si le trataste un poco brusco según el cliente porque le dijiste la verdad. Ya eres un mal proveedor.

Creo nos toca ya tomar conciencia y decirle al cliente que debe buscar buenos diseñadores y/o programadores que hagan la web a su requerimiento y de buen nivel en aspecto de Seguridad, creatividad, y que sea único. No clon como se ven muchos que se ven copy past

 

El gran problema de los usuarios es que la inmesa mayoría piensa que todo lo que hay en internet es gratis.

Y hasta que esa cultura no cambie, seguiremos teniendo esos problemas.

 

100% verdad la gente se cree que todo es gratis y esto no puede ser.
Un diseñador de paginas webs tiene que cobrar, un programador por hacer un programa tiene que cobrar, un informatico por arreglar un ordenador tiene que cobrar, una empresa si necesita un servicio de pagina web y correo, tiene que pagar.

Mientras estas cosas no se entiendan no se avanza, mucha gente usa wp o joomla para no depender de alguien que le mantenga la pagina web, seguridad no se entiende hasta que pasa algo, mantener actualizado cualquier cms hay que mantenerlo pero sino se quiere pagar por el mantenimiento......mal vamos....

 

Wordpress y Joomla son los scripts más vulnerables. Es cierto lo que dice tu proveedor, hay que mantenerlos siempre actualizados.

 

Hmm, me anexo a esta conversacion bastante interesante!

Tanto Jommla como WP, ambos son los CMS mas utilizados, pero con el respecto a la cantidad de vulnerabilidad eso es dependiendo de como lleveis tu el tema con respecto a ello, ya que las vulnerabilidades no se van con los "updates", antes de updatear algo siempre es recomendable revisar su "changelog" y si no eres con conocimientos limitados irte a cada zona del changelog y verificar el cambio de codigo...

Tambien los huecos vulnerables podes vos tambien taparlos poco a poco, pero eso seria un trabajo absurdo..

Lo que tienes que hacer es siempre tener un conocimiento poco o avanzado con respecto a la intruccion website para asi tu mismo poder realizar los test en las aplicaciones.

 

También hay que mantener actualizados los plugins y themes. No sólo hay que mantener actualizado el script.

 

Pero lo que hay que tener en cuenta, es qué tipo de usuario usa mayoritariamente esos cms. Es gente q busca algo rápido y barato y por lo general sin apenas conocimientos mínimos de programación.

Y luego exigen soporte de calidad.

 

Siempre hay que tenerlos actualizados. Nosotros hace 2 semanas o más mandamos un comunicado a nuestros clientes con lo mismo ya que parece que hay una oleada de hackeos a este tipo de scripts que los clientes dejan de actualizar y luego vienen quejandose.

 

Hola,

Le paso las base de datos de los exploits.

wordpressexploit.com
joomlaexploit.com

 

A VER ....
Facil decir que hay que actualizar ,parchear, ver logs y blabla...
Pero vamos al caso :
1º Mayoria de las personas con problemas en sus CMS NO tienen idea de como hacer esto.. Son personas o empresas que contratan a terceros para que hagan sus sitios..Diseñadores etc... ( Hacen el sitio, lo entregan y se lavan las manos después en cualquier problema y que el hosting se las arregle...)

2º Los cms son una maravilla !!!! Ha nascido milessss de diseñadores gracias a ellos... Cada uno peor que el otro...Los tipicos que ofrecen sitios en 3 dias a 3 pesos algo asi..
Fomentó la flojera al maximo!!

Uno entra a foros etc y ve la gente reclamando de empresas de hosting, que son esto y aquello, que los expulso, que suspendio su sitio, que los hosting son malos etc...
Han visto algun foro donde los hosting puedan defenderse informando los porques...???
Han visto algun foro o sitio que denuncia a diseñadores ordinarios ???
No pues... Siempre la carga de todo recae en el hosting, nunca aquellos que reclaman de los hosting asumen sus propios errores...