Google anunció esta semana que comenzará a notificar a ciertos webmasters si sus sitios están corriendo software de servidor desactualizado que permitan una puerta de ingreso para los atacantes.

El gigante de los buscadores dijo el pasado jueves que alertará a los propietarios de sitios que estén usando sistemas de administración de contenidos (CMS) u otro software de publicación que contenga una vulnerabilidad de seguridad, de acuerdo a lo informado en el Blog Central del Webmaster de Google.

Sin embargo el blog dice que sólo los propietarios de los sitios que se hayan registrado para las Herramientas de Webmaster de Google, diseñadas para mejorar la calificación del sitio en las búsquedas, serán los que recibirán las alertas.

Google planea comenzar el programa en una fase de prueba, enviando de 5.000 a 6.000 mensajes a webmasters que estén usando versiones desactualizadas de WordPress, una plataforma popular para blogs.

"Ha habido una tendencia reciente de los spammers hackeando sitios web, y la mayor parte de las veces sucede porque el webmaster o propietario del sitio no actualiza ni una pieza del software con el cual corre su sitio Web," escribió el ingeniero de software de Google Matt Kutts el jueves en su blog personal. "Si uno piensa que puede instalar un software en la Web en 2008 y usarlo indefinidamente sin actualizarlo, lamento decirle que su sitio Web estará con mucho mayor riesgo de ser atacado."

Los expertos han dicho que los atacantes se infiltran en esos sitios legítimos para incrustar direcciones URL que apuntan a sus propios sitios maliciosos o de spam. De esa forma, pueden mejorar su calificación en los motores de búsqueda.

El software de publicación a menudo está plagado de vulnerabilidades debido a que son hechos para compañías sin experiencia en codificar y desean una plataforma de terceros que puedan ajustar a sus necesidades, dijo el viernes el investigador de malware Francesco Benedini de la empresa anti-spyware Sunbelt.

"Algo que puede suceder son los usuarios maliciososos, si hallan que uno está usando un CMS vulnerable, podrán ejecutar un exploit automático," le dijo a SCMagazineUS.com. "Puede, por ejemplo, insertar un redireccionamiento a sitios maliciosos o insertar contenido malicioso."

En lo que Google no puede ayudar a los webmasters es a que se defiendan de una pobre codificación de sitios que son vulnerables a ataques tales como cross-site scripting y SQL injection, dijo Benedini. Para defenderse de esto, se alienta a los propietarios a llevar a cabo una revisión completa del código, dijo.

"Si tiene alguna página creada a la medida en PHP o ASP (dos lenguajes de scripting de servidor), no van a hacer nada," dijo Bendini de la iniciativa de Google. "Solo determinan si el software CMS [que uno está usando] es vulnerable basándose en la versión del mismo."

Autor: Dan Kaplan
Fuente: http://www.scmagazineus.com/Google-t...rticle/119650/