Dimecres, just abans de marxar cap a la Canadian Internet Marketing Conference a Squamish, British Columbia, en Carlos, em va passar l’enllaç d’un article d’El Periódico sobre la implicació de WordPress en la filtració dels papers de Panamà.
En l’article s’indica que l’element que ha permès la filtració de tota aquesta quantitat ingent d’informació a un component de WordPress desactualitzat i a una instal·lació de Drupal també desactualitzada.
I, és cert que un plugin de WordPress és la causa de #PanamaPapers?
Podem posar-nos metafísics i atribuir la causa de les filtracions a l’existència d’informació secreta però ens enfocarem a les causes evidents.
El fet de tenir una versió desactualitzada del component Revolution Slider a WordPress forma part del conjunt de causes que sembla que han permès la filtració. I no és la primera vegada que hi ha problemes amb aquest component. Es tracta d’un component de pagament que sense llicència és plenament operatiu però no permet l’actualització automàtica. I, com que és un component complex, és susceptible de tenir forats de seguretat que s’arreglen amb les actualitzacions. De fet, però, sembla que la versió utilitzada era de fa un parell de mesos.
Però no és la única causa.
El que no s’explica a l’article d’El Periódico i sí en altres mitjans
Fent una ullada a la xarxa podem trobar articles que aprofundeixen més en el tema. Per exemple, Wired, destaca altres elements que compartim.
En primer lloc dubta que una filtració com aquesta s’hagi pogut realitzar estríctament des de fora de l’organització sense comptar amb col·laboració interna, però això són figues d’altre paner.
El que és més sorprenent és que no es faci esment de diversos errors greus que són molt més rellevants:
- El bufet d’advocats no tenia una arquitectura de seguretat de la informació. De fet, sembla que tenia posat tots els ous en el mateix cistell i que, una vegada dins el sistema, tota la informació esdevenia visible.
- Les claus d’accés al sistema sembla que no s’haurien renovat en molt de temps. Les bones pràctiques de seguretat de la informació recomanen canviar periòdicament les contrasenyes. Lleis com la LOPD ho fan obligatori com a mínim anualment.
- La versió de Microsoft Outlook Web Access que controlava la gestió d’accessos no s’havia actualitzat des de 2009.
Però, les webs en WordPress i Drupal són menys segures pel fet d’estar en codi obert?
Ometre el fet de la falta d’actualització del programari de Microsoft, que no atribueixo a l’autor de l’article, pels que som defensors del codi obert i coneixem una mica el món del màrqueting i les relacions públiques i tenim una mica d’afició a les teories del complot, fa pudor!
Siguem francs, WordPress suporta el 25% de les webs mundials i Drupal no es queda pas enrera. Sembla interessant mostrar que les solucions obertes són menys segures que les que tenen llicència.
Les solucions de codi obert, amb una base d’usuaris i desenvolupadors de la mida del projecte WordPress o Drupal, són garantia tècnica de seguretat en la mesura que cap dels que les fem servir volem vulnerabilitats i tots podem ajudar a resoldre-les.
Què ens ensenya una filtració com la de #PanamaPapers?
Conspiracions a banda, a nivell de seguretat de WordPress (i de qualsevol instal·lació web) el que s’evidencia és la necessitat de:
- Disposar de la versió actualitzada de la plataforma WordPress i dels plugins i els temes.
- Disposar de còpies de seguretat de la instal·lació completa de WordPress (fitxers i base de dades) per poder recuperar-la si es produeixen errors.
- Monitoritzar canvis i possibles intrusions al sistema de forma periòdica i sistemàtica per poder reaccionar oportunament.
Aquests serveis no sempre estan inclosos en els serveis d’allotjament que se solen contractar. Verifica que el teu proveïdor te’ls proporcioni.
Vols que t’hi ajudem?
Explica’ns la teva situació i et proposarem com ajudar-te.