En les darreres setmanes hem fet una mica de feina d’aquella de rateta que escombra la escaleta, revisant com està tot. Ho hem compartit amb alguns de vosaltres, i davant un interés important, ho compartim amb tots, incloent els vostres comentaris.
Ens queda una pregunta a fer a tots, davant aquesta situació s’ha d’informar als clients i pregramadors?
Hem analitzat uns 3.000 sites wordpress:
1. Únicament un 14% tenen una versió de menys d’un any. Tots aquests creats fa menys d’un any.
2. Únicament un 2% tenen una versió posterior a la de creació.
3. Únicament un 0,4% tenen una 3.5 o 3.6
4. El 94% tenen scripts insegurs i sense actualitzar.
5. El 49% inclouen codis maliciosos en base64.
6. Un 48% tenen passwords basades en el nom de domini.
7. Un 62% tenen mòdul inactius carregats.
8. Un 37% tenen mòduls de backup “en local” sense protegir.
9. Un 21% tenen usuaris amb poders administratius que desconeixen que existeixen.
10. Un 24% distribueixen malware i adware des dels seus blocs sense saber-ho. (Volem creure que és així).
Ara l’anàlisi de 300 sites en Magento i Presta Shop.
Hem analitzat uns 300 sites magento i Presta Shop:
11. Únicament un 5,2% tenen una versió de menys d’un any. Tots aquests creats fa menys d’un any.
12. Únicament un 0,2% tenen una versió posterior a la de creació.
13. Únicament un 0,05% tenen una 1.5 Presta o 1.13 Magento.
14. El 99,3% tenen els 100 darrers forats i errors publicats.
15. El 23,7% inclouen codis maliciosos en base64.
16. Un 74% tenen passwords basades en el nom de domini.
17. Un 91% tenen mòdul inactius carregats.
18. Un 86% tenen mòduls de backup “en local” sense protegir.
19. Un 83% tenen usuaris amb poders administratius que desconeixen que existeixen.
20. Un 5,9% distribueixen malware i adware des dels seus sites sense saber-ho. (Volem creure que és així).
Abans de cap altra comentari, per quin motiu no hem analitzat joomla, typo3 o altres CMS i e-commerce, doncs allotgem
xifres residuals, incloent 1 os-commerce sense actualitzar des del 2002, i poc més de 5 o 6 joomla que fa més de 5 anys
no s’actualitzen de versió.
Segona valoració, hem analitzat uns 500 sites amb programacions a mida, incloent alguns directoris i serveis de pagament
de publicitat, col•legis professionals i altres, i la situació és encara pitjor. En el 100% podem trobar les 500 darreres vulnerabilitats
de PHP i MySql, i en el 99,9% no s’ha corregit cap línia de codi en 5 anys si no ha estat per afegir un enllaç a les xarxes socials.
Podem fer tres lectures ràpides i obrir el debat:
1. Hi ha un mercat molt ampli del manteniment. Si es que mai s’ha explicat al client que s’ha de mantenir al dia.
2. Es programa amb els peus, sense voler fer cap discriminació als paraplègics.
3. A dia d’avui la programació feta a mida és un complet fracàs en l’aspecte seguretat i manteniment.
El que podem debatre:
1. El perfil d’usuari de word press VS e-commerce. El primer és més tècnic ?
2. Qui obre un e-commerce i empra una template piratejada (incloent malware) per a estalviar-se 49 $ te alguna visió de negoci o empresa ?
3. Qui no fa manteniment, és lo mateix que qui no treu la neu de la porta de la botiga a l’hivern i espera que es fongui sola ? és sol gelar.
4. És conscient el client del manteniment i les implicacions de no fer-ho ? incloent penals en casos d’estafa o robatori d’identitat ?
5. Programadors, dissenyadors, professionals, informen els clients? en son conscients? o es queden en la venda fàcil d’entrada i el temps dirà.
Com a exemple, en 72 sites de les tres plataformes, es pot accedir amb un GET a la llista de clients i vendes.
Tots els de magento, tots els de Word Press i 1 de Presta Shop, dels 72 que aleatòriament es va fer la prova.