ON News

Formación
Julio 20, 2017

El Instituto de Métodos de Excelencia (IME) de LVMH selecciona a Polimoda como socio oficial en Italia para la formación profesional de artículos de cuero

Salud y Belleza
Julio 19, 2017

Primer estudio sobre la Percepción de la Belleza para los Españoles elaborado para L’Oréal España

Vídeos
Julio 18, 2017

Vídeo del desfile Alta Costura Otoño-Invierno 2017/18 de CHANEL

Estilo
Julio 17, 2017

Hennessy invita al artista callejero JonOne a diseñar su etiqueta para una edición personalizada

Digital
Julio 14, 2017

El mundo de la alta moda finalmente tiene su respuesta a Amazon

Tecnología
Julio 13, 2017

Louis Vuitton presenta un smartwatch para competir con Apple

Eventos
Julio 9, 2017

L’Atelier LVMH en Viva Technology

Dubai
Julio 8, 2017

El sector inmobiliario de Dubai muestra síntomas de recuperación

Eventos
Julio 7, 2017

Disrupt, Act, Risk para ser un Emprendedor… Descubre DARE de LVMH

Asia
Julio 3, 2017

Richemont vende Shanghai Tang

Digital
Junio 27, 2017

Net-a-Porter abre un centro tecnológico en Londres

Asia
Junio 27, 2017

JD.com invierte 397 millones de dólares en Farfetch

Economía
Junio 26, 2017

YNAP sube en bolsa ante los rumores de una inversión de Alibaba

Bentley
Junio 26, 2017

Bentayga Falconry de Mulliner dirigido al público selecto de Oriente Medio

Formación
Junio 24, 2017

Estudia lujo ANYTIME-ANYWHERE. En tus viajes, en tu móvil, en la piscina…

Europa
Junio 21, 2017

Muere Carla Fendi

Fashion
Junio 20, 2017

Marine Serre gana el Premio LVMH

Eventos
Junio 19, 2017

Finaliza el 5º Congreso Luxonomy: “Del gasto mundial total de lujo, el 65% corresponde a compras de experiencias”

Latinoamérica
Junio 14, 2017

Crecimiento del mercado de lujo en México

Eco
Junio 9, 2017

Nuestro té mediterráneo, desde el Corazón del Olivo

Economía
Mayo 30, 2017

Los hombres ya gastan más en lujo que las mujeres

Entrevistas
Mayo 29, 2017

Entrevista: Aurelio Vázquez, Consejero Delegado para Europa, Oriente Medio y África de Grupo Iberostar

Digital
Mayo 25, 2017

Bentley On Demand: El nuevo servicio de entrega de vehículos de Lujo

Economía
Mayo 18, 2017

Irán, el nuevo dorado del lujo

América
Mayo 15, 2017

Cartier cierra en Palm Beach después de 83 años

Entrevistas
Mayo 15, 2017

Entrevista a Ignacio Carrasco, Director de Marketing de Porsche Ibérica

África
Mayo 14, 2017

Richemont cae un 14% en el primer trimestre del año

Entrevistas
Mayo 11, 2017

Entrevista a la directora de Vestiaire Collective en España

Digital
Mayo 11, 2017

El primer eCommerce “made in Spain” de experiencias de lujo

Economía
Mayo 11, 2017

Farfetch le “roba” otro ejecutivo senior a YNAP

Informe de vulnerabilidad de páginas web del sector del lujo en España

La mayoría de páginas webs o blogs de marcas de lujo en España son susceptibles de ser hackeadas fácilmente. Abrir este post con un titular así puede resultar cuando menos sorprendente, pero es tan real como el informe que hemos preparado donde hemos analizado varios sitios web de todo tipo de firmas importantes del sector del Lujo en España.

Por razones obvias, no damos el nombre de las marcas, pero si advertimos estos datos son fácilmente conocidos por hackers habituados a realizar ataques masivos a plataformas basadas en CMS.

El objetivo de este artículo es advertir de la vulnerabilidad, y poner de manifiesto aquellos aspectos concretos en los que ha de centrarse la protección.

¿Qué son los CMS?

Aunque probablemente ya sabes qué significa este término, un CMS (Content Management System), o sistema de gestión de contenidos, es un sistema software que nos permite la publicación, edición y modificación de contenidos, así como la posibilidad de modificar el aspecto visual con que éste se muestra.

Los CMS han “democratizado” el diseño web, antes discriminado a programadores, permitiendo que un sitio web pueda ser creado fácilmente, y gestionado desde un amistoso panel de administración sin complicados conocimientos técnicos.

Los más conocidos son WordPress, Joomla, Blogger y Drupal para desarrollo de webs y blogs, y Magento, Prestashop y OpenCart para sitios de comercio electrónico.

WordPress nació como plataforma de blogs, pero se ha convertido en CMS más famoso, y el más utilizado, también por marcas de lujo y premium como las que hemos analizado.

Peligro de Wordpress

La desventaja de este tipo de páginas webs o blogs creados en WordPress por empresas del sector del lujo y premium es sin duda la seguridad.

Recientemente encontramos esta afirmación dentro de un artículo de ticbeat.com

Hasta 20 grupos de hackers distintos estarían tras la oleada de ataques que en los últimos días vienen sufriendo miles de sitios web alojados en WordPress. El último reporte, publicado por la empresa de seguridad web Sucuri, habla de un millón y medio de páginas afectadas, correspondiente a 39.000 dominios distintos.

Ataques de fuerza bruta automáticos y manuales

Los ataques automáticos los realizan bots (programas informáticos que recorren internet), y redes zombie (ordenadores infectados con virus o gusanos, que forman una gran red con un gran poder de procesamiento, y son controlados por un hacker). Los ataques manuales son desarrollados por hackers que amparados en al anonimato de un servidor proxy pueden acceder a un sitio en WordPress en menos de 5 minutos.

Costes en ventas, clientes y reputación para la empresa

Si tu WordPress es hackeado, los costes pueden ser importantes. No solo por tener que contratar a un técnico para que limpie la web, también tienes que considerar la pérdida de ventas y clientes potenciales y una pérdida de reputación.


Con esta información previa, os emplazamos en un artículo más adelante a ver a tiempo real cómo se puede atacar también manualmente una web o blog desarrollado en WordPress.


Informe de vulnerabilidad de páginas web del sector del lujo en España

Para analizar cada una de las páginas web hemos utilizado una herramienta propia desarrollada por Luxonomy Tech Hub que nos indica los siguientes parámetros de seguridad que detallamos a continuación:

  1. Google SafeBrowsing: es un servicio de diagnóstico de Google que examina las webs que indexa en el buscador en busca de contenidos no seguros (malware). Si la web aparece en el listado de sitios no seguros de Google SafeBrowsing existe un problema grave con la web. Además, esto indicará a los resultados de búsqueda de Google que el sitio no es seguro y no recomendará su visita, lo que repercutirá enormemente en el posicionamiento en buscadores de la web.
  2. Expose PHP: WordPress está desarrollado con PHP, en algunos casos, puede existir una vulnerabilidad por la que un hacker podría llegar a obtener la versión de PHP que se está ejecutando en el servidor, así con otro tipo de información sensible, utilizando para ello una serie de cabeceras HTTP con unos argumentos específicos. Esto ocurre cuando el parámetro expose_php no se encuentra desactivado.
  3. Listado de directorios: Algunos servidores Web mal configurados permiten el listado de directorios. Esto significa que si accedemos desde el navegador a una URL que coincide con un directorio, y no hay un index.php o un index.html, se mostrará un listado con todos los ficheros y directorios de ese directorio. Es como si estuviéramos navegando con el explorador de archivos de Windows, Mac o Linux y pudiéramoss ver todo el contenido alojado en el servidor.
  4. wp-config.php protegido:  El archivo wp-config.php, situado en la raíz de nuestro sitio desarrollado con WordPress, guarda información muy sensible de nuestra web, como el nombre de usuario de la base de datos y la clave, por lo que tendremos que procurar mantenerlo lo más seguro posible.
  5. wp-admin protegido: El directorio wp-admin de WordPress contiene los archivos de la administración de WordPress y, como tales, solo deberían ser accesibles para los usuarios administradores.
  6. wp-login protegido: es el que se encarga de solicitar el nombre de usuario y contraseña para identificar a los usuarios. Se usa para acceder a la administración de la web.
  7. User-agents bloqueados (WAF): La función de un WAF (Web Application Firewall) es proteger a los visitantes de la web, para que no ejecuten código malicioso, y al administrador de la web para que no puedan explotar fácilmente las vulnerabilidades de su web.
  8. Information Leak: Cuando un hacker o robot intenta atacar una web, un primer paso sería averiguar qué tipo de herramienta estás usando para su desarrollo. Puede ser un CMS como WordPress, Joomla, Drupal, etc. o una web desarrollada a en html, php, programada a mano. Una vez que se ha detectado el tipo de herramienta se podrá aprovechar el conocimiento que se tiene de su estructura de archivos para comenzar con el ataque. Esta información es accesible en archivos como readme.html, license.txt o licencia.txt.
  9. Listas negras de Malware: Si aparecemos tenemos un grave problema.
  10. Cabeceras Content-Security-Policy, X-Content-Type, X-Frame y XSS: Son capas de seguridad adicionales que bloquean ataques desde hojas de estilos, ni los scripts (Javascript), cuyo Myme-type no sea el adecuado, de clickjacking o XSS. Internet Explorer lo implementa desde la versión 8.
  11. Certificado SSL: Cuando navegamos por una página web, podemos realizar diferentes acciones, y en muchas de ellas estamos enviando datos nuestros al servidor, que viajan a través de internet. Si no tienes instalado un Certificado SSL en el servidor y no has accedido vía HTTPS, toda la información navega por la red Wifi, y el resto del mundo hasta llegar a tu servidor, SIN CIFRAR. Esto significa que cualquier usuario de tu red Wifi con conocimientos medios de informática, y que tenga un programa muy sencillo de instalar en su portátil, podrá leer sin ningún impedimento el usuario y contraseña de acceso a la administración de nuestra web.

Aquí os mostramos el resultado de estos parámetros de una importante firma del sector, con unos resultados sobre 100, de sólo 27:

Desde aquí puede ver el informe de cada una de las marcas analizadas

 

Similar posts

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies

Send this to a friend