Hace unos días hubo un poco de agitación en Twitter. La revista online de Holanda, Computable, publicó un artículo acerca de una vulnerabilidad en la extensión Joomla! Content Editor, que en teoría está actualmente activa y siendo explotada por Hackers. Más tarde, luego de una semana de esto, el sitio de noticias de Holanda más grande Nu.nl, publicó también acerca de este problema.

Alarmismo

En el artículo 'NCSC Alerta sobre una falla en una extensión de Joomla!' Computable menciona que "El Centro Nacional de Cyber Seguridad (NCSC) advierte sobre una vulnerabilidad generalizada en el editor Joomla! Contet Editor.". Nu.nl agrandó el problema aún más, publicando 'El Gobierno alerta sobre una vulnaribilidad en Joomla!' en el cual se señala que "El Gobierno de Holanda alerta sobre una potencial vulnerabilidad de seguridad en el gestor de contenidos Joomla!". Los artículos como los mencionados anteriormente son útiles al momento de señalar potenciales problemas que pueden suceder cuando se usan extensiones para Joomla!.
Sin embargo, creo que ambos artículos están equivocados, ya que implican que la mencionada vulnerabilidad de Joomla! está relacionada con el core. Además, no se percibe la conexión hecha en el artículo de Computable y la seguridad de un computador usando Windows, Mac o Linux y/o la reciente vulnerabilidad de Ruby on Rails reportada por Computable.

Una supuesta autoridad emite una advertencia

Otra de las consecuencias que las noticias como éstas tienen, es que las personas que las leen comenzarán a sentir temor de Joomla!. Hay varios factores, en lo particular, que podrían causar temor respecto a Joomla!.
En primer lugar, Computable es percibida por mucha gente como una fuente respetable, después de todo, su sitio web trata temas sobre asuntos relacionados con las TIC y ha publicado varios miles de artículos a fondo sobre el tema en los últimos años. Nu.nl goza de un estatus similar. El efecto atemorizante se ve reforzado además por la referencia que se hace al Centro Nacional de Cyber ​Seguridad (NCSC). Este centro (antes conocido como GOVCERT) aconseja a la población holandesa sobre cuestiones relacionadas con la seguridad en línea y es apoyado por el Ministerio holandés de Seguridad y Justicia.
Por extraño que parezca, no hay una referencia directa al artículo original en el artículo escrito por Computable. Sin embargo, las personas que han leído alguno de estos artículos poco a poco comenzarán a pensar: "Con esos artículos, tanto de Computables como Nu.nl, acerca de una advertencia de la NSCS, es porque esto debe ser un asunto serio", ¿no?

Difundido por muchos

Los contenidos relacionados con la seguridad tienden a propagarse rápidamente a través de Internet. Por lo tanto, es probable que muchos lectores de los artículos originales lo hayan remitido a algunos de sus conocidos. Probablemente la motivación sería: "Oh, mi colega me dijo que su sitio web fue construido en Joomla!, es mejor que le diga acerca de esta vulnerabilidad". Ahora no son sólo las (percibidas como) Autoridades, quienes nos advierten sobre una vulnerabilidad en Joomla!, sino que también las personas alrededor de otra persona.
La gran mayoría de personas que han leído la noticia probablemente nunca comprobarán por sí mismos si los hechos expuestos en el artículo son correctos, tampoco leer un artículo como este que en el que se discute el tema. A este paso, es probable que su opinión sobre Joomla! está más influenciado por los comentarios que ha escuchado que por sí solo. Por ejemplo, se podría pensar "Joomla! es inseguro y debo mantenerme alejado de esto". La próxima vez que Joomla! sea mencionado en una fiesta de cumpleaños o un evento de negocios o social es muy probable que esta persona comparta su opinión, "Hace poco leí que Joomla contiene varias vulnerabilidades de seguridad, yo escogería otro CMS".

Joomla! es seguro

A diferencia de estos últimos artículos - como los de Computable y Nu.nl - están diciendo, Joomla! ha sido y sigue siendo un CMS seguro (basados en el número de exploits graves encontrados en los últimos años). Si fuera diferente, sería habitual leer artículos del tipo: "Miles de sitios Joomla! Hackeados” en lugar de éste. La escasez de estos artículos (que son los que realmente indican problemas generalizados) demuestra que Joomla! no es un peligro, como ese tipo de artículos te quiere hacer creer.

¿Acaso no hay vulnerabilidades?

La única vulnerabilidad considerada grave para Joomla! y que se ha descubierto en los últimos años, ha sido corregida antes de que se hiciera pública. Por otro lado, una actualización a una nueva versión de Joomla! se puso a disposición de la comunidad para solucionar el problema. Para las personas que no pueden o no quieren, por la razón que sea, actualizar a dicha versión, se dejó un tutorial disponible con la forma de evitar que la vulnerabilidad sea explotada.

¿De dónde vienen estos artículos acerca de vulnerabilidades?

Estos artículos están casi siempre relacionados con extensiones para Joomla! (como en el artículo de Computable). Las extensiones para Joomla! no corren en un ambiente limitado (lo que se denomina "sandbox"), sino que tienen pleno acceso a toda la funcionalidad del código. Esto asegura que las extensiones pueden aportar mejoras significativas al CMS. Sin embargo, al mismo tiempo, hace que cada extensión instalada pueda convertirse en un potencial peligro para la seguridad de su sitio web.

¿Dónde encuentro extensiones seguras?

Desafortunadamente, no hay manera de verificar, de forma concluyente, si una extensión es segura. Por lo tanto, ¿qué puedes hacer?. Una opción que tienes es comprobar la lista de Extensiones Vulnerables (mantenida por Joomla!) para ver si hay problemas de seguridad que sean conocidos para esta extensión. También, puedes usar Google para ver si hay extensiones que hayan generado alguna discusión negativa últimamente. Otra opción es comprobar los “reviews” en el JED (Joomla! Extensions Directory), que no es más que las revisiones para esta extensión en lo particular

Mantén Joomla! y las extensiones actualizadas

Hay que mencionar la existencia de un parche para corregir la vulnerabilidad en JCE y que ha estado disponible por más de medio año. Sin embargo, a los usuarios al parecer aún les suena extraño que su sitio web puede ser hackeado a través de esta vulnerabilidad. Sin embargo, aquí va un ejemplo. Cuando las llaves de tu casa son robadas, lo más probable es que llames a un cerrajero para cambiar la cerradura, ¿no?. Mejor aún, si el cerrajero indica que hay una nueva y mejorada versión de tu cerradura y que está disponibles y te ofrece la instalación de la cerradura en tu casa, de forma gratuita, probablemente lo aceptarías ¿Porqué no para una extensión de Joomla!? Después de todo, quieres mantener tu sitio web Joomla! lo más seguro posible, ¿o no?

¿Quieres mantener tu sitio web Joomla seguro? Asegúrate de que tanto Joomla! como las extensiones estén al día.

Observación: Jacques Rentzke señala en Twitter que JCE había publicado un mensaje sobre este tema en su página web el 14 de diciembre de 2012. Ahí mencionan el hecho de que había un problema de seguridad, pero que esto se ha solucionado en todas las versiones que se publicaron después del 14 de mayo 2012.

Este artículo es una traducción de “Is Joomla! not secure?”, publicado originalmente por Theo van de Zee en el blog de Themepartner.com el 18 de Enero de 2013.