Hace no muchos años, si en la empresa no se contaba con el personal o herramientas adecuadas, podía resultar muy costoso y laborioso disponer de una página web que diera a la empresa presencia en Internet.

En la actualidad, el mercado dispone de numerosas alternativas completamente desarrolladas para implementar páginas o portales web con diferentes funcionalidades como foros, carritos de la compra, portal web, etc. Si, además, las opciones son en su mayor parte son gratuitas, se convierte en una elección a tener muy en cuenta. Estos son los sistemas de gestión de contenidos o los CMS (del inglés Content Management System).

La oferta disponible es muy amplia, a pesar de que son muy pocos los que se utilizan con frecuencia. Entre ellos, se pueden destacar los siguientes: Joomla, Drupal, Wordpress, Typo3, Xoops y Movable type. ¿Cuál es el mejor? Sin duda el que más se adapte a las necesidades que se identifican a la hora de desarrollar el portal.

Multitud de pymes hacen uso de los CMS pero no tienen en cuenta, por lo general, las medidas básicas de seguridad, uno de los aspectos más controvertidos derivados de la utilización de este tipo de aplicaciones. Los fallos en los gestores de contenido web generalmente son problemas originados por errores en la administración, tanto del CMS como del sistema que lo soporta (hosting o alojamiento), o de la instalación de módulos o componentes de terceros aunque, en ocasiones, también derivan de errores de programación en el propio gestor.

En relación con la seguridad, las acciones o medidas más importantes a tomar son las que a continuación se enumeran:

• Elección de un CMS con una comunidad que lo soporte. Un equipo de desarrolladores activo siempre tendrá más posibilidades de solucionar un problema que una comunidad con baja interacción.
• Escoger un servicio de alojamiento (hosting) seguro. Una empresa de alojamiento reputada siempre ofrecerá más seguridad que un servicio de hosting desconocido.
• Configuración segura del servidor. Es vital establecer unos parámetros de seguridad básicos relacionados con los permisos y accesos al servidor y, por ende, a las páginas que se sirven.
• Actualización de la plataforma. En la medida de lo posible, y siempre y cuando la versión del CMS escogida cubra las necesidades, se debe mantener el sistema actualizado. Esto garantiza más protección frente a posibles vulnerabilidades. Existen gestores de contenido que ofrecen la notificación de actualizaciones de manera automática facilitando, en cierta medida, la gestión de esta tarea.
• Limitación en la instalación de módulos de terceros. Hay que abstenerse de instalar módulos que no hayan sido auditados y que ofrezcan un nivel de seguridad que pueda comprometer la plataforma. La mayoría de vulnerabilidades de un CMS suelen tener su origen en este tipo de software.
• Administrar correctamente el portal. Es importante implementar férreas políticas de seguridad, que no incidan negativamente en la usabilidad de la plataforma, relacionadas con los permisos de usuario y contraseñas.
• Suscribirse a foros y listas de seguridad relacionadas con el gestor de contenidos y los módulos que están instalados. Estar informado permitirá actuar rápidamente ante la aparición de cualquier problema.

Es importante tener en cuenta que, para aplicar muchas de las acciones mencionadas previamente, será necesario contar con personal especializado o un tercero que nos ayude a implementarlas correctamente.

Para ampliar información acerca de la seguridad en los servidores web que alojan los gestores de contenido, puede consultar el informe publicado por el CERT de INTECO: "Seguridad en sitios web", disponible en la sección de Estudios e Informes.