Google comienza conversaciones serias sobre seguridad con la comunidad CMS

La semana pasada ¡Chicago era el sitio más gélido de la tierra! Esta noticia estaba en todos los medios. Las temperaturas cayeron hasta los -33 grados Celsius (-22 Fahrenheit) con una sensación térmica de -50. Me considero afortunado de poder haber experimentado este extraño vórtice polar. Sin embargo, estaba en Chicago por una razón diferente que, a pesar de no salir en todas las noticias, fue igualmente emocionante: Google CMS Security Summit.

Cerca de treinta expertos en seguridad de Google, diferentes plataformas de CMS y empresas de alojamiento web se reunieron para hablar sobre cómo hacer de internet un lugar más seguro para todo el mundo. Me considero aún más afortunado de haber formado parte de este debate representando a SiteGround.

Durante dos días, hablamos con representantes de WordPress, Drupal, Joomla!, PrestaShop, TYPO3, Squarespace, Symfony, Sucuri, Wordfence y más. Fue inspirador ver cómo las organizaciones que compiten entre sí, cuando se tratar de atraer al usuario final a sus plataformas, pueden unirse por un propósito mayor como hacer de internet un lugar más seguro.

Casi ganamos la batalla de HTTPS, pero la guerra de seguridad nunca acaba

No es una sorpresa que Google organizase el evento considerando el rol tan significativo que tiene en seguridad web. Un ejemplo sencillo es el impacto positivo de la iniciativa gratuita de certificados SSL Let’s Encrypt con un gran apoyo por parte de Google, sobre la adopción de encriptación. El uso de HTTPS ha incrementado de un 35% hasta un 90% de acuerdo con Chrome stats:

El esfuerzo de compañías de hosting como SiteGround, que proporcionan certificados SSL de Let’s Encrypt a los usuarios también juegan un papel importante en la adopción masiva de codificación. Aunque el 90% de las adopciones son buenas, el gráfico de arriba también muestra problemas. Se han tardado más de tres años para llegar a este objetivo. ¡Esto es mucho tiempo! Todos aquellos que nos reunimos en Chicago, estamos en la primera línea de batalla de la seguridad. La encriptación está bien, pero no resuelve todos los problemas. Las páginas aún son hackeadas. Las plataformas CMS han sufrido problemas muy graves de seguridad en los últimos años. Plugins y temas de terceros son vulnerados cada día. Las vulnerabilidades informáticas no están adecuadamente informadas. Y la lista continúa.

Entonces, ¿cómo protegemos tantas webs como podamos y lo más rápido posible?

Durante el evento, la comunidad de seguridad identificó cuatro áreas principales que necesitan acciones.

1. Componentes de terceros y control integral

Como compañía de hosting, hemos visto de primera mano que la mayoría de los problemas de seguridad son causados por vulnerabilidades introducidas por plugins, módulos y temas que no son parte del código fuente de la plataforma.

En 2018, SiteGround escribió 250 nuevas reglas WAF personalizadas en respuesta a estas incidencias. Somos conscientes de que no todas las compañías de hosting tienen los recursos para monitorizar los boletines de seguridad, analizar las incidencias, comparar parches, revisas código y escribir reglas WAF. El objetivo principal no es combatir incidencias similares con reglas de firewall (después de todo, hay cientos de miles de plugins, módulos, temas y extensiones para todas las plataformas CMS) sino prevenir que ocurran en un primer lugar.

Hemos identificado las siguientes áreas que necesitan trabajo para mejorar la protección de sitios web:

• Mejores procedimientos de revisión de código de plugins y temas
• Implementación del análisis de código estático
• Firma de paquetes para mejorar la autenticidad de CMS/plugins/temas y su integridad
• Programa de certificación de seguridad para desarrolladores de extensiones

2. Información de vulnerabilidades y reconocimientos

Dos temas principales fueron identificados.

Aunque hay algunos consensos sobre las mejores formas de informar sobre las vulnerabilidades de software, realmente no hay estándares oficiales mayoritariamente aceptados.

Recientemente, el grupo de trabajo oficial que creó los estándares de PHP (https://www.php-fig.org) ha reabierto su trabajo en dos documentos con recomendaciones (PSR 9 y PSR 10) que apuntan a resolver este problema. Tan pronto como los borradores finales estén disponibles, la comunidad los publicará. Esperamos que un gran porcentaje de plataformas CMS adopte estos estándares. De esta forma, el proceso por el cual estos problemas son reportados y solucionados mejorará del mismo modo que la información del público.

El segundo problema es que muchas de las plataformas que hay no tienen programas que recompensen a las personas por informar las vulnerabilidades de seguridad. Esto tiene que cambiar. De todas formas, esto será más difícil de conseguir ya que muchas plataformas de código abierto CMS operan como organizaciones sin ánimo de lucro.

3. Actualizaciones automáticas

Cuando se encuentra un problema de seguridad es esencial reparar el código lo antes posible. Sin embargo, no todo el mundo tiene la misma sensación de urgencia. Esto es un problema incluso mayor para la mayoría de plataformas CMS más populares como  WordPress, Drupal, Joomla!, etc. con millones de páginas en internet.

La respuesta radica en las actualizaciones automáticas. Ahora mismo, WordPress en el único CMS que ofrece actualizaciones automáticas. En SiteGround, creemos que el objetivo final es que cada CMS junto a todos sus plugins y temas tengan actualizaciones automáticas con cada nuevo lanzamiento. Nuestra experiencia con las actualizaciones automáticas que hacemos de forma rutinaria y masiva para nuestros usuarios de WordPress y Joomla! han mostrado que cuando las actualizaciones automáticas están activadas por defecto, el número de páginas hackeadas se reduce drásticamente. El navegador de Google, Chrome, también se actualiza de forma automática. Es solo cuestión de tiempo que esto se convierta en el principal punto de venta para las plataformas CMS.

En Chicago nació una idea. El grupo trabajará en desarrollar un estándar para las actualizaciones automáticas. De esta forma, los desarrolladores de determinadas plataformas podrían llevar a cabo su propia implementación mientras cumplen con los estándares.

4. Compartir herramientas y conocimiento

La seguridad es un proceso. No es un objetivo que se alcance y se olvide. Cada proceso se mejora usando las herramientas adecuadas para ello. En la actualidad, compartir las herramientas no está muy generalizado. Cuando se trata de seguridad, las empresas utilizan sus propias herramientas, externalizan algunas tareas a compañías de servicios y no comparten ningún tipo de información con otras empresas. Para proteger la web a gran escala, tenemos que trabajar juntos. Necesitamos compartir información y lograr herramientas de código abierto que todo el mundo pueda usar y contribuir.

Hay dos buenos ejemplos de esto en las comunidades de WordPress y Joomla!. El equipo de seguridad de Joomla! envía reglas WAF mod_security a empresas de alojamiento web cuando un nuevo lanzamiento de seguridad está disponible. Estas reglas son testeadas por el equipo de seguridad de Joomla! y pueden de forma automática ser aplicadas en los servidores para proteger a los propietarios de páginas web. De esta forma los propietarios de las páginas tienen una forma segura de actualizar sus webs. El equipo de seguridad de WordPress también trabaja de cerca con compañías de hosting cuando hay lanzamientos de seguridad disponibles. Hacen un gran trabajo manteniendo un tercio de internet seguro y actualizado. Las compañías que ofrecen hosting WordPress a menudo también comparten reglas WAF para proteger a los usuarios.

La necesidad de contar con herramientas es clara. Veremos cómo surgen más y más herramientas en los dos próximos años.

Estoy muy contento de haber podido ir a Chicago la semana pasada. El evento es solo el inicio de algo maravilloso. Solo después de una semana, hay un documento de 15 páginas lleno de ideas que fueron tratadas extensamente. Pronto se formará un grupo de trabajo que llevará a cabo una serie de acciones que se establecieron tal y como he escrito en el artículo de este blog. No puedo compartir más detalles pero todo lo que puedo decir es que la comunidad de seguridad va a estar muy ocupada.

Cuando estuve en Chicago vi lo siguiente en la televisión:

Las temperaturas extremas pueden causar daño en muy poco tiempo. Esta imágen muestra perfectamente lo que pasa cuando una página web no está protegida, incluso por un período breve de tiempo. Será hackeada. SiteGround se compromete a proteger todas las páginas en nuestros servidores. Para nosotros, es un derecho básico de todo propietario de una web. Estoy muy contento de formar parte de la comunidad que hace que esto se lleve a cabo.