ON News

Vídeos
Septiembre 14, 2017

Vídeo del Jaguar E-Type

Turismo
Septiembre 13, 2017

Un corazón italiano que late en el corazón de Londres

Vídeos
Septiembre 8, 2017

24 Sèvres presenta su nueva campaña “Where Fashion Comes to Life”

Jaguar
Septiembre 8, 2017

Jaguar E-Type, el coche eléctrico más bello del mundo

Entrevistas
Septiembre 6, 2017

ENTREVISTA A NATALIE PORTMAN

Estilo
Septiembre 5, 2017

LA NUEVA CAMPAÑA MISS DIOR

Bentley
Septiembre 3, 2017

Nuevo Bentley Continental GT, el gran turismo por antonomasia

Estilo
Agosto 21, 2017

Video de la campaña de Gucci con Dakota Johnson, Petra Collins y Hari Nef como protagonistas

China
Agosto 16, 2017

Sephora China apoya la “Operación Sonrisa” para ayudar a niños desfavorecidos

eCommerce
Agosto 16, 2017

Kering retira la demanda a Alibaba

Digital
Agosto 11, 2017

El sueño del CEO de Yoox Net-a-Porter sería vender “Ferraris” online algún día

Lexus
Agosto 9, 2017

LEXUS PRINCIPAL PATROCINADOR DEL 74º FESTIVAL INTERNACIONAL DE CINE DE VENECIA

Motor
Agosto 9, 2017

EL NUEVO ROLLS-ROYCE PHANTOM

Lexus
Agosto 7, 2017

El concepto “CO ” inspira el Premio de Diseño Lexus 2018; la inscripción ya está abierta

Turismo
Agosto 4, 2017

SPA BAJO LAS ESTRELLAS: PENÍNSULA BEVERLY HILLS

Eventos
Agosto 3, 2017

Christian Dior Perfumes participa por primera vez en el festival internacional de fotografía de Arles

Motor
Agosto 2, 2017

Riva y Abarth: la unión de dos grandes italianos

Motor
Julio 27, 2017

ROLLS-ROYCE ANUNCIA EL “JOHN LENNON PHANTOM V”

Bentley
Julio 27, 2017

Nuevo Bentley Continental GT Convertible Edición Galene de Mulliner, inspirado en los yates de lujo

Vídeos
Julio 25, 2017

Entrevista Karl Lagerfeld desfile Chanel alta costura otono-invierno 2017/18

China
Julio 24, 2017

Zhang Dayi, la celebrity china que hace pequeña a Kim Kardashian

China
Julio 23, 2017

9 consejos de mobile y social marketing para marcas de lujo en China

Asia
Julio 22, 2017

Louis Vuitton ha lanzado un servicio de comercio electrónico en China

Formación
Julio 20, 2017

El Instituto de Métodos de Excelencia (IME) de LVMH selecciona a Polimoda como socio oficial en Italia para la formación profesional de artículos de cuero

Salud y Belleza
Julio 19, 2017

Primer estudio sobre la Percepción de la Belleza para los Españoles elaborado para L’Oréal España

Vídeos
Julio 18, 2017

Vídeo del desfile Alta Costura Otoño-Invierno 2017/18 de CHANEL

Estilo
Julio 17, 2017

Hennessy invita al artista callejero JonOne a diseñar su etiqueta para una edición personalizada

Estilo
Julio 15, 2017

Vuelve a la lectura tradicional

Digital
Julio 14, 2017

El mundo de la alta moda finalmente tiene su respuesta a Amazon

Tecnología
Julio 13, 2017

Louis Vuitton presenta un smartwatch para competir con Apple

Informe de vulnerabilidad de páginas web del sector del lujo en España

La mayoría de páginas webs o blogs de marcas de lujo en España son susceptibles de ser hackeadas fácilmente. Abrir este post con un titular así puede resultar cuando menos sorprendente, pero es tan real como el informe que hemos preparado donde hemos analizado varios sitios web de todo tipo de firmas importantes del sector del Lujo en España.

Por razones obvias, no damos el nombre de las marcas, pero si advertimos estos datos son fácilmente conocidos por hackers habituados a realizar ataques masivos a plataformas basadas en CMS.

El objetivo de este artículo es advertir de la vulnerabilidad, y poner de manifiesto aquellos aspectos concretos en los que ha de centrarse la protección.

¿Qué son los CMS?

Aunque probablemente ya sabes qué significa este término, un CMS (Content Management System), o sistema de gestión de contenidos, es un sistema software que nos permite la publicación, edición y modificación de contenidos, así como la posibilidad de modificar el aspecto visual con que éste se muestra.

Los CMS han “democratizado” el diseño web, antes discriminado a programadores, permitiendo que un sitio web pueda ser creado fácilmente, y gestionado desde un amistoso panel de administración sin complicados conocimientos técnicos.

Los más conocidos son WordPress, Joomla, Blogger y Drupal para desarrollo de webs y blogs, y Magento, Prestashop y OpenCart para sitios de comercio electrónico.

WordPress nació como plataforma de blogs, pero se ha convertido en CMS más famoso, y el más utilizado, también por marcas de lujo y premium como las que hemos analizado.

Peligro de Wordpress

La desventaja de este tipo de páginas webs o blogs creados en WordPress por empresas del sector del lujo y premium es sin duda la seguridad.

Recientemente encontramos esta afirmación dentro de un artículo de ticbeat.com

Hasta 20 grupos de hackers distintos estarían tras la oleada de ataques que en los últimos días vienen sufriendo miles de sitios web alojados en WordPress. El último reporte, publicado por la empresa de seguridad web Sucuri, habla de un millón y medio de páginas afectadas, correspondiente a 39.000 dominios distintos.

Ataques de fuerza bruta automáticos y manuales

Los ataques automáticos los realizan bots (programas informáticos que recorren internet), y redes zombie (ordenadores infectados con virus o gusanos, que forman una gran red con un gran poder de procesamiento, y son controlados por un hacker). Los ataques manuales son desarrollados por hackers que amparados en al anonimato de un servidor proxy pueden acceder a un sitio en WordPress en menos de 5 minutos.

Costes en ventas, clientes y reputación para la empresa

Si tu WordPress es hackeado, los costes pueden ser importantes. No solo por tener que contratar a un técnico para que limpie la web, también tienes que considerar la pérdida de ventas y clientes potenciales y una pérdida de reputación.


Con esta información previa, os emplazamos en un artículo más adelante a ver a tiempo real cómo se puede atacar también manualmente una web o blog desarrollado en WordPress.


Informe de vulnerabilidad de páginas web del sector del lujo en España

Para analizar cada una de las páginas web hemos utilizado una herramienta propia desarrollada por Luxonomy Tech Hub que nos indica los siguientes parámetros de seguridad que detallamos a continuación:

  1. Google SafeBrowsing: es un servicio de diagnóstico de Google que examina las webs que indexa en el buscador en busca de contenidos no seguros (malware). Si la web aparece en el listado de sitios no seguros de Google SafeBrowsing existe un problema grave con la web. Además, esto indicará a los resultados de búsqueda de Google que el sitio no es seguro y no recomendará su visita, lo que repercutirá enormemente en el posicionamiento en buscadores de la web.
  2. Expose PHP: WordPress está desarrollado con PHP, en algunos casos, puede existir una vulnerabilidad por la que un hacker podría llegar a obtener la versión de PHP que se está ejecutando en el servidor, así con otro tipo de información sensible, utilizando para ello una serie de cabeceras HTTP con unos argumentos específicos. Esto ocurre cuando el parámetro expose_php no se encuentra desactivado.
  3. Listado de directorios: Algunos servidores Web mal configurados permiten el listado de directorios. Esto significa que si accedemos desde el navegador a una URL que coincide con un directorio, y no hay un index.php o un index.html, se mostrará un listado con todos los ficheros y directorios de ese directorio. Es como si estuviéramos navegando con el explorador de archivos de Windows, Mac o Linux y pudiéramoss ver todo el contenido alojado en el servidor.
  4. wp-config.php protegido:  El archivo wp-config.php, situado en la raíz de nuestro sitio desarrollado con WordPress, guarda información muy sensible de nuestra web, como el nombre de usuario de la base de datos y la clave, por lo que tendremos que procurar mantenerlo lo más seguro posible.
  5. wp-admin protegido: El directorio wp-admin de WordPress contiene los archivos de la administración de WordPress y, como tales, solo deberían ser accesibles para los usuarios administradores.
  6. wp-login protegido: es el que se encarga de solicitar el nombre de usuario y contraseña para identificar a los usuarios. Se usa para acceder a la administración de la web.
  7. User-agents bloqueados (WAF): La función de un WAF (Web Application Firewall) es proteger a los visitantes de la web, para que no ejecuten código malicioso, y al administrador de la web para que no puedan explotar fácilmente las vulnerabilidades de su web.
  8. Information Leak: Cuando un hacker o robot intenta atacar una web, un primer paso sería averiguar qué tipo de herramienta estás usando para su desarrollo. Puede ser un CMS como WordPress, Joomla, Drupal, etc. o una web desarrollada a en html, php, programada a mano. Una vez que se ha detectado el tipo de herramienta se podrá aprovechar el conocimiento que se tiene de su estructura de archivos para comenzar con el ataque. Esta información es accesible en archivos como readme.html, license.txt o licencia.txt.
  9. Listas negras de Malware: Si aparecemos tenemos un grave problema.
  10. Cabeceras Content-Security-Policy, X-Content-Type, X-Frame y XSS: Son capas de seguridad adicionales que bloquean ataques desde hojas de estilos, ni los scripts (Javascript), cuyo Myme-type no sea el adecuado, de clickjacking o XSS. Internet Explorer lo implementa desde la versión 8.
  11. Certificado SSL: Cuando navegamos por una página web, podemos realizar diferentes acciones, y en muchas de ellas estamos enviando datos nuestros al servidor, que viajan a través de internet. Si no tienes instalado un Certificado SSL en el servidor y no has accedido vía HTTPS, toda la información navega por la red Wifi, y el resto del mundo hasta llegar a tu servidor, SIN CIFRAR. Esto significa que cualquier usuario de tu red Wifi con conocimientos medios de informática, y que tenga un programa muy sencillo de instalar en su portátil, podrá leer sin ningún impedimento el usuario y contraseña de acceso a la administración de nuestra web.

Aquí os mostramos el resultado de estos parámetros de una importante firma del sector, con unos resultados sobre 100, de sólo 27:

Desde aquí puede ver el informe de cada una de las marcas analizadas

 

Similar posts

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies

Send this to a friend