Hace un tiempo ya que venimos viendo el tema de los Sistemas de Manejo de Contenido CMS y JackTheStripper, que en algunas implementaciones los usuarios han presentado algunos contratiempos y hoy les voy a comentar algunas cosas. Antes, cuando hablo de los CMS, me refiero a los más utilizados que son Joomla, WordPress y Drupal. Es normal que presenten estos temas ya que se podría decir que JackTheStripper no es muy universal que digamos, si no pensado, para asegurar el servidor y que los desarrolladores cumplan con unos lineamientos para el desarrollo seguro de sus aplicaciones. Es por esto que estos CMS y JackTheStripper tengan sus discusiones de vez en cuando xD.
Asi como recibimos las entradas en el apartado de ayuda de JackTheStripper con algunos de esos CMS, a ese mismo ritmo pues monto mis máquinas virtuales, voy probando y ajustando para llevarlo a un nivel que el sistema de manejo de contenidos pueda funcionar sin darle dolores de cabeza a los usuarios y claro está, manteniendo el nivel de seguridad implementado por JackTheStripper. El avance es este:
Joomla
En el caso de Joomla, fue el único CMS que jugó bien con el proceso de Hardening que sigue JackTheStripper, incluso tengo varios servidores asegurados con JackTheStripper y Joomla en ambientes de producción y todo anda Bien. Claro hay algunas cosas que tengo que mencionar, pero va para todos los cms y tocaré eso mas adelante.
WordPress
Con este CMS, el único tema que es con las Reglas de ModSecurity que implementa JackTheStripper, que no juega muy bien con WordPress. Actualmente me encuentro ajustando las reglas para que Modsecurity pueda convivir con WordPress, por el momento la solución es que coloquen a ModSecurity en modo DetectionOnly y aseguren la instalación de WordPress con la Herramienta de Daniel Maldonado, WPHardening. Creé un script, por el momento para Centos 6, que automatiza todo el proceso, Corre JackTheStripper, Instala WordPress y asegura la instalación con WPHardening. Esta combinación ha mostrado ser muy efectiva.
Para que conozcan mas de WPHardening, pueden visitar la página del proyecto aquí, pueden verlo en funcionamiento en un Hangout que hice hace un tiempo, aquí.
Drupal
Con Drupal aún no he iniciado las pruebas, pero como hemos recibido muchas solicitudes de ayuda con este CMS haré las pruebas de lugar a ver como juega con JackTheStripper.
Ahora, con lo que le comenté unas lineas más arriba, por motivos de Seguridad JackTheStripper desactiva muchas funciones de PHP que son consideradas peligrosas, estos CMS hacen uso de Extensiones y Plugins que es posible que requieran de una función deshabilitada en PHP para funcionar, Así que deben de confirmar la función que necesita ese plugin o extensión y entender que a medida que vayan habilitando las funciones, los niveles de seguridad van disminuyendo.
Las funciones deshabilitadas la pueden buscar en el php.ini
disable_functions = proc_open, popen, disk_free_space, diskfreespace, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru, show_source, system, phpinfo, pcntl_alarm, pcntl_fork, pcntl_waitpid, pcntl_wait, pcntl_wifexited, pcntl_wifstopped, pcntl_wifsignaled, pcntl_wexitstatus, pcntl_wtermsig, pcntl_wstopsig, pcntl_signal, pcntl_signal_dispatch, pcntl_get_last_error, pcntl_strerror, pcntl_sigprocmask, pcntl_sigwaitinfo, pcntl_sigtimedwait, pcntl_exec, pcntl_getpriority, pcntl_setpriority
Ya les mantendré informado de los avances.
Fuente: jsitech
