Cómo gestionar los plugins CMS de forma segura (y no morir en el intento)
Hoy en día es imposible negar la importancia en Internet de los CMS (Content Management Systems, Sistemas Gestores de Contenidos). Software como Wordpress (con más de 64 millones de blogs instalados (se abre en nueva ventana)), Drupal o Joomla, nos permiten crear sitios web complejos de forma sencilla con la instalación por defecto.
Estos CMS tienen la posibilidad de ser ampliados con multitud de características mediante plugins (si usamos la terminología de Wordpress, se denominan módulos en Drupal o componentes en Joomla). La instalación de estos plugins es muy sencilla, no requiriendo en muchos casos más de un par de clicks. También es necesario tener en cuenta los themes (que permiten cambiar el aspecto de nuestro CMS), que aunque estando orientados a cuestiones de aspecto gráfico cada vez incluyen más programación, estando sujetos a los mismos problemas que los plugins.
El problema derivado del uso (y abuso) de los plugins tiene varias derivadas relativas con la seguridad: Por un lado tenemos la sencillez de su instalación, que anima en gran medida a la instalación “por probar” y sin pensar detenidamente qué hace exactamente ese plugin. Y por otra parte tenemos la sencillez de desarrollo de estos plugins, que hace que casi cualquiera pueda crearlos (con diferentes niveles de calidad, sobre todo en lo relativo al desarrollo seguro de software).
La otra pata derivada es la actualización de estos plugins, sobre todo en lo referente a posibles fallos de seguridad. Si sumamos todas estas variables, no es de extrañar que tengamos verdaderos fiascos de seguridad como el de TimThumb (se abre en nueva ventana) o Uploadify (se abre en nueva ventana) en Wordpress, por lo que podemos afirmar que es necesaria una estrategia de gestión de estos plugins. Si nos basamos laxamente en ITIL, el ciclo de vida de un plugin podría ser el siguiente: necesidad, búsqueda, implantación, operación y obsolescencia.
En primer lugar surge la necesidad de disponer de una característica que no viene implementada por defecto (por ejemplo, el crear automáticamente un tweet por cada entrada en nuestro blog Wordpress). Las primeras preguntas serían: ¿de verdad necesito esta funcionalidad?. ¿Estoy dispuesto a aceptar el trabajo adicional que supone el buscar un plugin adecuado, instalaro y gestionarlo?.
Contenido completo en fuente original INTECO
Estos CMS tienen la posibilidad de ser ampliados con multitud de características mediante plugins (si usamos la terminología de Wordpress, se denominan módulos en Drupal o componentes en Joomla). La instalación de estos plugins es muy sencilla, no requiriendo en muchos casos más de un par de clicks. También es necesario tener en cuenta los themes (que permiten cambiar el aspecto de nuestro CMS), que aunque estando orientados a cuestiones de aspecto gráfico cada vez incluyen más programación, estando sujetos a los mismos problemas que los plugins.
El problema derivado del uso (y abuso) de los plugins tiene varias derivadas relativas con la seguridad: Por un lado tenemos la sencillez de su instalación, que anima en gran medida a la instalación “por probar” y sin pensar detenidamente qué hace exactamente ese plugin. Y por otra parte tenemos la sencillez de desarrollo de estos plugins, que hace que casi cualquiera pueda crearlos (con diferentes niveles de calidad, sobre todo en lo relativo al desarrollo seguro de software).
La otra pata derivada es la actualización de estos plugins, sobre todo en lo referente a posibles fallos de seguridad. Si sumamos todas estas variables, no es de extrañar que tengamos verdaderos fiascos de seguridad como el de TimThumb (se abre en nueva ventana) o Uploadify (se abre en nueva ventana) en Wordpress, por lo que podemos afirmar que es necesaria una estrategia de gestión de estos plugins. Si nos basamos laxamente en ITIL, el ciclo de vida de un plugin podría ser el siguiente: necesidad, búsqueda, implantación, operación y obsolescencia.
En primer lugar surge la necesidad de disponer de una característica que no viene implementada por defecto (por ejemplo, el crear automáticamente un tweet por cada entrada en nuestro blog Wordpress). Las primeras preguntas serían: ¿de verdad necesito esta funcionalidad?. ¿Estoy dispuesto a aceptar el trabajo adicional que supone el buscar un plugin adecuado, instalaro y gestionarlo?.
Contenido completo en fuente original INTECO
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!