La seguridad en los blogs de Eduard Punset

Tweet about this on TwitterShare on Google+Share on FacebookEmail this to someonePrint this page

Este pasado sábado 30 de julio se anunciaba en la página de Facebook de Eduard Punset que alguien había “hackeado” el blog de Eduard Punset y el de Redes para la Ciencia.

Hackean los blogs de Eduard Punset y de Redes para la Ciencia

Anuncio en Facebook del "hack" a los blogs de Eduard Punset

Leyendo el anuncio del ataque que hicieron, hace pensar que alguien con grandes conocimientos para introducirse en webs ajenas habría accedido al servidor donde se alojan estos blogs y habría destrozado gran parte sino toda la información… Y bueno, la verdad es que no hay forma de saberlo, ya que no ha trascendido más información que la que anunciaron en su Facebook, y tampoco hay capturas disponibles de como quedaron los blogs (o al menos yo no las he encontrado). Con lo cual no sabemos si el ataque llegó “hasta la cocina” o se limitó al ámbito del WordPress con el que se gestionan toda red de blogs ligados a Eduard Punset.

Pero no es la primera vez que le ocurre esto a una web relacionada con Eduard Punset:

Dado que yo me dedico profesionalmente a WordPress, he sentido curiosidad y se me ha ocurrido echar un vistazo al código HTML de estos blogs en busca de pistas acerca de posibles agujeros de seguridad. Y para mi sorpresa, aún después de este ataque (y de los que han tenido anteriormente), a fecha de hoy los blogs de Eduard Punset siguen presentando vulnerabilidades básicas, por lo que fácilmente podrían ser objeto de nuevos ataques.

Estas vulnerabilidades de seguridad se pueden averiguar en cuestión de segundos, y son las siguientes:

  • Todos los blogs afiliados de Eduard Punset usan versiones obsoletas de WordPress. Por lo tanto, son vulnerables a todos los fallos de seguridad que se solucionaron en las versiones posteriores a las empleadas. Y para colarse por estos agujeros no hace falta ser ningún hacker experimentado, simplemente buscar el script adecuado y probar suerte.
    • Redes para la Ciencia 3.1
    • Somos Primates 3.1
    • El blog de Eduard Punset 3.1
    • Science Networks 3.1.3
    • Inteligencia Emocional  3.0.3
  • En todos los blogs de su red existe el usuario “admin”. Es muy posible, dada la presencia de este usuario, que también el prefijo de las tablas de las bases de datos sea el predeterminado… Con lo cual, de nuevo se facilitan ciertos tipos de ataque que se aprovechan de la presencia de estos datos.

Esto, como digo, simplemente mirando el código fuente de las webs sin dedicarle más que unos segundos. Seguramente indagando más saldría alguna otra cosa… (Y de hecho alguna más he detectado, pero tampoco es plan de ponerlo todo :))

Conclusiones

En mi opinión, este es un claro ejemplo de desconocimiento en el empleo de una herramienta tan potente y segura (si sigues los pasos adecuados) como WordPress. Y seguramente, también sea otro ejemplo más de uno de esos casos en los que se delega una responsabilidad tan importante como la estabilidad de webs de reconocido prestigio a personal no especializado en la materia (¿quizás alguien de la propia productora de Punset?, ¿o una agencia de marketing?).

Muchas veces he oído eso de “un WordPress lo instala cualquiera”. Y sí, es cierto, de hecho está pensando para que cualquiera con unos pocos conocimientos de lo que es un FTP o un servidor web pueda realizar una instalación básica. Pero eso no significa que todas las instalaciones de WordPress sean igual de seguras o eficientes. Y cuando se trata de gestionar un proyecto importante con WordPress, creo que merece la pena gastarse el dinero en buscar a alguien especializado en la materia.

Porque también una muela te la puede sacar cualquiera, pero mejor si es un odontólogo profesional ¿no?

Deja un comentario

Tu dirección de email no será publicada. Campos obligatorios marcados con *