UNIDAD Nº7

Seguridad en Gestores
de Contenido WEB

Asignatura
Tecnología de Internet y Diseño del Negocio
Informático
Universidad Provincial del Sudoeste

Autor
Lic. Sebastián Lucas Esandi
Copyright © 2020 U.P.S.O.
Universidad Provincial del Sudoeste de la Provincia de Buenos Aires

Para citar este documento, en forma completa:

Universidad Provincial del Sudoeste (2020). Materiales didácticos de

la asignatura Tecnología de Internet y Diseño del Negocio Informático
[Apuntes]. Bahía Blanca, Argentina: Esandi, S. L.

Para citar este documento, en forma parcial:

Universidad Provincial del Sudoeste (2020). Unidad N° 7. Seguridad

en Gestores de Contenido WEB. En Tecnología de Internet y Diseño
del Negocio Informático [Apuntes]. Bahía Blanca, Argentina: Esandi,
S. L.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 1 de 17
 ICONOGRAFÍA DE LOS DOCUMENTOS TEÓRICOS

Importante. Se utiliza para destacar fragmentos,

oraciones o frases.

Ejemplo. Se emplea para ejemplificar y/o contextualizar

los contenidos.

Concepto. Se utiliza para definir algún concepto

específico.

Web. Es una herramienta que se usa para ilustrar o

ampliar el contenido con recursos web (páginas, videos,
etc.).

Recordatorio. Se emplea para hacer mención a

contenidos ya trabajados en documentos anteriores
o que se trabajarán en documentos posteriores.

Actividad. Se emplea para resaltar las actividades

propuestas durante la lectura de los contenidos. Estas
actividades pueden ser de diferentes tipos: ejercicios,
preguntas disparadoras, etc.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 2 de 17
 DOCUMENTO TEÓRICO

Unidad 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático
Autor: Lic. Sebastián Lucas Esandi

ÍNDICE DE CONTENIDOS

1. FUNDAMENTOS DE CRIPTOGRAFÍA .................................................................... 5

2. PROTOCOLOS DE SEGURIDAD EN LA SELECCIÓN, INSTALACIÓN Y

CONFIGURACIÓN DE EXTENSIONES DE SEGURIDAD DE JOOMLA Y
WORDPRESS .............................................................................................................. 8

2.1. Elección del Hosting............................................................................................... 8

2.2. Elección de los archivos......................................................................................... 9
2.3. Configuración del panel de administración de archivos ........................................ 10
2.4. Resguardos de seguridad programados .............................................................. 10
2.5. Actualizaciones del CMS y sus extensiones ........................................................ 11
2.6. Correcta asignación de permisos a cada usuario participante en la gestión del
contenido .................................................................................................................... 12
2.7. Selección, instalación, configuración y prueba de las extensiones de seguridad
más robustas en cada CMS ........................................................................................ 13
2.8. Constante capacitación de los usuarios para que adopten practicas correctas en
sus funciones establecidas ......................................................................................... 15
3. LOS ATAQUES MÁS FRECUENTES .................................................................... 16

4. BIBLIOGRAFÍA ...................................................................................................... 17

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 3 de 17
 Unidad Nº7. Seguridad en Gestores de Contenido WEB

UNIDAD TEMÁTICA 7. SEGURIDAD EN GESTORES DE CONTENIDO WEB

Todas las aplicaciones web, y de manera muy particular los Gestores de Contenido
(CMS), requieren de una serie de protocolos en su proceso de creación y
mantenimiento. Como vimos en las unidades anteriores, algunos se refieren a la
claridad, el diseño, la navegabilidad, la usabilidad; la indexación y la velocidad.
Ninguno de estos últimos podría funcionar de manera estable sin los correspondientes
a la seguridad.

De nada nos servirá tener un sitio agradable y veloz si no es seguro y

estable.

La experiencia del usuario se ve muy afectada de manera negativa cuando la

aplicación web que utiliza manifiesta diferentes síntomas de ser vulnerable y ser
insegura. Los mismos navegadores, buscadores y directorios son cada vez más
estrictos y alertan a los cibernautas cuando se encuentran en sitios pocos confiables.
Es por eso que hemos dejado para la última unidad todo lo concerniente a los
protocolos de seguridad que son un aspecto clave para el éxito completo de un sitio
web.

El concepto de seguridad informática y sus diferentes técnicas se consolidaron

durante la década de los años 50 y 60 junto con el surgimiento de los primeros
ordenadores. En sus fundamentos utilizaron las antiguas técnicas de encriptación de
mensajes que se han utilizado a lo largo de la historia de la humanidad, generalmente
con fines militares, diplomáticos y políticos. Es por eso que la presente unidad propone
realizar una breve síntesis de los conceptos de criptografía, así como las diferentes
formas más utilizadas en determinados momentos históricos. Esos fundamentos
criptográficos siguen vigentes y se renuevan y fortalecen con los avances tecnológicos
en la informática y la matemática.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 4 de 17
Dado que nos hemos enfocado en los gestores de contenido Wordpress y Joomla,
nos detendremos en los pasos de seguridad que tienen en común, así como las
aplicaciones y técnicas diferentes para cada uno de esos CMS en cuanto a que
dispongan del mejor hosting posible, una configuración optima de su panel de
administración de archivos para la protección de los datos más sensibles, pero de
manera muy especial en la configuración de las extensiones, técnicas y permisos que
se recomiendan para que sus usuarios (cada uno de ellos con roles, tareas y permisos
diferentes) utilicen sin dañar la estructura del sitio web. Es por ello que veremos cuales
son los ataques más frecuentes y la forma de evitarlos, en tanto la seguridad global del
proyecto (debidamente certificada en los documentos del desarrollo) es una fortaleza
que debemos ofrecer a nuestros clientes desde el inicio con la propuesta de trabajo
presentada.

Fuente: shutterstock

1. FUNDAMENTOS DE CRIPTOGRAFÍA

El proceso de encriptación permite almacenar y enviar datos de una manera más

segura que la convencional, dado que mediante ciertas técnicas transforma esos
datos en un nuevo texto cuyo significado es ininteligible para quien no posea los
permisos para desencriptar esa información. De esta manera, se garantiza que solo
aquellos a quienes está destinada la misma puedan leerla y procesarla. La criptografía
no solo protege los datos del robo o la alteración, sino que también se utiliza con
frecuencia para la autenticación de los usuarios.

Esta técnica se utilizó a largo de la historia para el envío de información sensible e

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 5 de 17
importante que debía circular por medios inseguros, y por lo tanto con riesgo de ser
interceptada o dañada. Es por ello que en la antigüedad ya se utilizaban las primeras
formas más básicas de encriptación (en el sentido amplio de la expresión). Los
espartanos en la antigua Grecia usaban tiras de cuero o papiro alrededor de una vara
de determinado diámetro. Si no tenia una con el tamaño exacto no era posible
descifrar el mensaje. Esta herramienta muy usada en técnicas de combate se llamo
escítala.

Imagen 1. Escítala

Fuente: Wikipedia

En el siglo primero antes de Cristo se utilizó en la antigua Roma el llamado Cifrado

César (en honor al emperador romano de entonces) generalmente con fines militares.
Consistía en desplazar la letra original por otra que se encuentra en el alfabeto una
determinada cantidad de veces más adelante. Esa cantidad solo eran conocidas por el
emisor y receptor del mensaje.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 6 de 17
 Imagen 2. Cifrado César

Fuente: Wikipedia

GLOSARIO

 Criptología: Proviene de las palabras griegas Kryptos y Logos (estudio de lo

oculto).
 Criptografía: Surge de las palabras griegas Kryptos y Graphos (ocultamiento o
cifrado de mensajes).
 Criptoanálisis: Se refiere al arte y ciencia que procura romper un cifrado y
descubrir así el texto oculto.
 Texto claro: Se trata del mensaje que se puede comprender.
 Encriptado: Cuando a un texto se lo procesa y convierte en ilegible.
 Texto cifrado: Mensaje legible que ha sido cifrado.
 Desencriptar: Proceso que permite a partir del texto cifrado obtener el texto legible.

Fuente: Nic Argentina

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 7 de 17
2. PROTOCOLOS DE SEGURIDAD EN LA SELECCIÓN, INSTALACIÓN Y
CONFIGURACIÓN DE EXTENSIONES DE SEGURIDAD DE JOOMLA Y
WORDPRESS

2.1. Elección del Hosting

El primer aspecto a considerar muy seriamente es la inversión que es necesario

realizar en la contratación y configuración del hosting donde alojaremos nuestro
sitio web. Los desarrolladores web se detienen en el cumplimiento o no de una serie
de servicios incluidos en el servicio de hospedaje web: velocidad, soporte técnico,
interfaces amigables, últimos lenguajes de programación disponibles y, muy
especialmente, los recursos de seguridad para nuestra página web. Esto último implica
tanto los antivirus, los cortafuegos, así como el constante control y monitoreo de las
computadoras donde la mayor parte de las veces compartiremos recursos con otras
cuentas que alojan sus sitios web, cuyo comportamiento afecta la integridad y
seguridad de las restantes allí alojadas. Si un desarrollador no sube archivos limpios,
no controla su tráfico y es descuidado con los permisos de las carpetas y de los
usuarios, su sitio web comenzará a generar conflictos para si mismo y el resto de las
cuentas. Generalmente, los servicios de hosting disponen de cuentas especiales
donde migran a esas cuentas (no quieren perder al cliente a pesar de sus malas
prácticas de seguridad) y tratan de poner allí en una suerte de cuarentena a las
mismas. Allí las condiciones son mucho más limitadas y llega un momento en que el
sitio colapsara y seguramente será tarde para reparar el daño ocasionado. Otros
hostings informan oportunamente, limitan y avisan al propietario de la cuenta de
alojamiento web y, desde un concepto amplio de soporte técnico, ayudan al
desarrollador a corregir sus errores. Estos servicios de alojamientos son poco
frecuentes, dado que la lógica comercial no suele ser compatible con el tiempo y los
recursos humanos que disponen. En síntesis, una cuenta de alojamiento web potente,
segura y estable, brinda seguridad y tranquilidad al desarrollador y sus clientes en la
medida que se cumplan los requisitos y comportamientos que, como veremos a
continuación, son fundamentales implementar en las instancias tanto del desarrollo
como del mantenimiento.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 8 de 17
2.2. Elección de los archivos

No existe prácticamente ningún foro serio de Joomla y Wordpress donde no se deje de

recomendar la importancia de subir el paquete inicial, actualizaciones y
extensiones solo desde lo sitios oficiales de estos CMS (https://www.joomla.org/ y
https://wordpress.org/). Sin embargo, todavía existen sitios y desarrolladores que los
bajan de otros lugares o realizan la instalación desde el mismo panel de
administración de archivos con servicios tales como Softaculous o similar. Hacer esto
último implica subir archivos dudosos y por lo general sin las últimas actualizaciones
que mayormente son de seguridad, con lo cual habremos comenzado muy mal en el
desarrollo.

Tanto las versiones de todo el gestor de contenido elegido como sus

extensiones deben ser bajadas desde los sitios oficiales

A su vez, es necesario ver y estudiar las funciones y características de cada paquete,

así como las valoraciones y comentarios del resto de los desarrolladores. WP, dispone
de 44.000 plugins y Joomla de 7500 extensiones: siempre habrá muchas de ellas que
tendrán puertas traseras de seguridad o vulnerabilidades que muy probablemente aun
no han sido descubiertas y resueltas por la comunidad de los dos proyectos. Sin
embargo, que se encuentren en los sitios oficiales reduce drásticamente la posibilidad
de archivos dañados.

Otro factor muy importante en los criterios de selección se refiere a que

cierta combinación de extensiones puede generar conflictos de seguridad.

Esto se debe a que no todas las combinaciones son válidas y en ocasiones se llevan
mal entre sí. A su vez, en algunos hostings también una combinación puede funcionar
y en otros no. Es por ello que se recomienda hacer resguardos de seguridad de todo el
sitio antes de instalar y probar cualquier extensión de la cual tengamos dudas de
destino tipo.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 9 de 17
2.3. Configuración del panel de administración de archivos

Desde esta opción podemos bloquear una o varias IP, crear contraseñas para ciertos
directorios, así como detectar niveles inusuales de actividad que requieren atención.
También, disponemos del Mod Security, el cual es un firewall de aplicaciones web
utilizado para aumentar la seguridad en el servidor. Finalmente, podemos crear,
modificar y borrar certificados SSL/TLS, los cuales son herramientas muy útiles, en
especial en sitios de comercio electrónico.

Imagen 3.

Fuente: Elaboración propia

2.4. Resguardos de seguridad programados

Si bien cada vez se realizan los backup mediante extensiones de los mismos CMS, es
recomendable realizarlos también desde el panel de administración, dado que
disponemos de opciones para resguardos todo de manera mas precisa y segura:
directorios, bases, correos electrónicos, reenviadores de mails, etc.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 10 de 17
 Imagen 4.

Fuente: Elaboración propia

Además, disponemos de resguardos programados temporalmente de manera que, si

hubiera un evento de seguridad, tendremos una copia de seguridad en algún punto
previo para recuperar nuestro sitio web.

2.5. Actualizaciones del CMS y sus extensiones

Los gestores de contenido de código abierto son el resultado del trabajo colaborativo
de desarrolladores de todo el mundo. Conforme se generan mejoras de funcionalidad
y seguridad, se producen nuevas versiones que se recomienda utilizar mediante los
procesos de actualización. Esto también ocurre con las extensiones que se utilizan en
cada uno de ellos. La regla general y que funciona es actualizar, pero antes es
necesario saber en que consiste el update, esperar unos días antes de actualizar
(excepto casos puntuales de seguridad) y realizar un resguardo del sitio web antes de
hacerlo. Es importante señalar que en ocasiones una nueva versión puede entrar en
conflicto con el hosting o con algunas de las extensiones instaladas. Por eso la
necesidad de hacerlo con cuidado y siguiendo el orden antes señalado.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 11 de 17
2.6. Correcta asignación de permisos a cada usuario participante en la gestión
del contenido

Este punto es muy importante, dado que cada CMS dispone de una estructura
jerárquica de roles con permisos diferentes, dado que esto garantiza que solo
quienes conocen ciertas áreas sensibles del sitio web puedan acceder a las mismas.
Los usuarios que suben el contenido en artículos y páginas, así como galerías de fotos
y otros archivos, disponen de permisos limitados que evitan que puedan tocar sin
querer algo que afecte la seguridad.

En el caso de Joomla, la estructura de roles y permisos es mucho mas extensa y

trabajada, dado que se procura con ello tener un mayor control en el acceso a las
extensiones del CMS. Mientras que Wordpress tiene 44.000 plugins
aproximadamente, Joomla dispone de 7500 extensiones estructuradas en
componentes, módulos y plugins, muchos de los cuales son de una complejidad
técnica e informática importante. Es por ello que la herramienta se utiliza para
proyectos de mediano y gran tamaño, a diferencia de Wordpress.

Imagen 5. Estructura de permisos en un Joomla 3.9.15.

Fuente: Elaboración propia

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 12 de 17
2.7. Selección, instalación, configuración y prueba de las extensiones de
seguridad más robustas en cada CMS

Las extensiones de seguridad de los dos gestores de contenido son un punto clave en
el desarrollo web con ellos. En general, la mayoría de las mismas tienen una versión
gratuita y otra de pago. Con la primera es suficiente, si se tiene la paciencia, la
precisión y el deseo de documentarse y consultar en los foros correspondientes.
Permiten lo siguiente:

 Analizar el sitio web en busca de archivos maliciosos.

 Detectar si hay archivos del núcleo del CMS modificados.
 Escanear el estado de la base de datos.
 Evitar ataques de fuerza bruta en el sitio.
 Bloquear buscadores automáticos (bots) potencialmente peligrosos.
 Fortalece la seguridad del servidor.
 Obligar a crear contraseñas robustas (letras, números y signos).
 Informar por mail cuando hubo intentos de acceso irregular a la administración del
sitio.
 Indicar cuando hay actualizaciones que realizar.
 Aconsejar que modificaciones realizar.
 Crear un acceso a la administración mediante el uso de una contraseña adicional.

Plugins mejor valorados para seguridad en Wordpress:

 iThemes Security
 Wordfence
 BulletProof Security

 All In One WP Security & Firewall

 SecuPress Free

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 13 de 17
 Imagen 6. Interfaz de Wordfence

Fuente: Elaboración propia

Extensiones de seguridad más completas para Joomla:

 Akeeba Backup
 AdminExile
 Securitycheck Pro
 RSFirewall!
 Brute Force Stop

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 14 de 17
 Imagen 7. Interfaz de RS Firewall

Fuente: Elaboración propia

2.8. Constante capacitación de los usuarios para que adopten practicas

correctas en sus funciones establecidas

Como vimos en unidades anteriores, la capacitación del cliente y de las personas que
se encarguen de gestionar el contenido es un aspecto clave, no solo porque ese es el
motivo principal por el que se crea un sitio web, sino porque crear material de calidad
es lo que hará que sea visitado y obtenga un buen posicionamiento en directorios y
buscadores.

El proceso de creación de contenido implica el uso no solo de una computadora, sino

de internet y buscadores para enriquecer la narrativa multimedia. Es por ello que es
importante que los usuarios tengan sus equipos y dispositivos de navegación
en condiciones dado que, si están alterados por virus y malwares, es muy probable
que se suba material potencialmente peligroso para la integridad del sitio web. Es
posible limitar esto con las extensiones antes mencionadas, pero siempre es preferible
no tener que llegar a esa instancia al promover las buenas prácticas que, desde el
sentido común y la alfabetización digital, nos permiten prevenir comportamientos que

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 15 de 17
afectaran negativamente la estabilidad del desarrollo web.

Por ejemplo, supongamos que por error se le asigno un permiso

inadecuado a un usuario y éste sube una extensión sin saber con claridad cómo
funciona la misma y si entrará o no en conflicto con otra previamente instalada.
Esto significaría abrir una puerta trasera en la integridad informática del sitio, y
por la misma seremos objeto de un ataque que terminará lamentablemente con
éxito para el atacante.

3. LOS ATAQUES MÁS FRECUENTES

SQL Injection

Se realiza a través de inyección de código malicioso que modifica una cadena de

consulta en una base de datos. De esta manera se puede acceder sin permiso a las
tablas de la base de datos en la que se encuentra información muy sensible como la
información de los usuarios, contraseñas; datos de tarjetas de crédito (cuando son
sitios de comercio electrónico).

Fuente: shutterstock

Denegación de Servicio Distribuida

Los DDoS son una forma de pruebas de stress producidos por programas que inundan
el sitio web con solicitudes externas y consiguen tirar el sitio abajo, dado que los
usuarios reales dejan de poder acceder. Con esta técnica se logra desbordar el ancho
de banda, consumir los recursos del hosting hasta que finalmente explote.

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 16 de 17
 Fuente: shutterstock

Ataques de Fuerza bruta

Se producen cuando hay una gran cantidad de intentos (realizados generalmente con
programas diseñados para tal fin) para entrar a partes sensibles del sitio web, como
por ejemplo el backend o la administración del mismo. Se intentan todas las
combinaciones posibles de contraseñas para acceder.

Para ampliar información sobre ataques de fuerza bruta ver el siguiente

link: https://bit.ly/3ehhFhB

4. BIBLIOGRAFÍA

 Romero Castro. I y Otros (2018) Fundamentos de la seguridad informática. Editorial

Área de Innovación y Desarrollo. Link: Fundamentos de la seguridad informática.
 https://wordpress.org/plugins/
 https://extensions.joomla.org/
 https://hormigasenlanube.com/plugins-de-seguridad-para-wordpress/

UNIDAD N° 7. Seguridad en Gestores de Contenido WEB

Asignatura: Tecnología de Internet y Diseño del Informático Página 17 de 17