En los últimos años el número de sitios web desarrollados a través de sistemas de gestión de contenidos ha crecido a un ritmo muy rápido. El número de ataques informáticos que reciben estos tipos de webs va también en aumento, dado que muchos de los propietarios no prestan demasiada atención al tema de la seguridad informática.

En Enero del 2012 salió a luz el llamado Kit Phoenix, un kit aumatizado que aprovechaba un fallo de seguridad de WordPress 3.2.1 para insertar código malicioso que infectaba con un troyano a quienes visitaran la web. Esta mañana en la página de seguridad Sanz Institute publicaban un nuevo tipo de ataque que afecta a las webs que se encuentren desarrolladas con Joomla y WordPress . Se trata de un nuevo kit que lanza un conjunto de exploits a los servidores con la intención de inyectar código malicioso, con el fin de redirigir a los visitantes a otras webs que contienen un paquete de antivirus falso.

Dedicando un poco de tiempo para auditar nuestra web e instalando plugins de seguridad correctamente configurados y actualizados podemos ahorranos sorpresas indeseadas. Vamos a ver cinco herramientas muy útiles para realizar una aditoría de CMS.

Wappalyzer: extensión para Firefox y Google Chrome que permite obtener la tecnología usada por la web, identifica el tipo de CMS utilizado, el servidor web empleado, el frameword de javascript, las aplicaciones empleadas para generar estadísticas de la web. Web: http://wappalyzer.com/.

Flunym0us: herramienta desarrollada en Python por Flu Project que permite realizar operaciones de fuzzing a través de una serie de diccionarios para descubrir plugins y extensiones que se encuentran corriendo en Worpress y Moddle. Web: http://www.flu-project.com/.

CMS Explorer: herramienta desarrollada en perl que muestra los plugins, modulos, temas y componentes que se encuentran corriendo en una web CMS de tipo Drupal, WordPress, Joomla! y Mambo. Como opciones interesantes permite utilizar un proxy para realizar modificaciones en el envió de solicitudes y realizar una comprobación de posibles vulnerabilidades. Web: https://code.google.com/p/cms-explorer/.

Joomscan: potente herramienta desarrollada en perl por OWASP que permite auditar webs desarrollas con Joomla. Permite detectar vulnerabilidades de tipo file inclusion, sql injection, command execution vulnerabilities. Web: http://sourceforge.net/projects/joomscan/.

WPscan: herramienta desarrollada en Ruby que permite auditar a un blog desarrollado con Worpress. Tiene funciones de enumeración de los plugins instalados y realiza una comprobación de sus vulnerabilidades mostrando el exploit para su explotación, permite enumerar los usuarios registrados y realizarles un ataque de fuerza bruta. Muestra la versión de worpress que se encuentra corriendo y las posibles vulnerabilidades que contiene dicha versión. Web: http://wpscan.org/.

Via Dominio Hacker