Porque no deberías usar PHP-nuke

Hace ya algunos años un CMS llamado PHPnuke el cual permitía crear un portal en menos de 5 minutos, era facilísimo de usar y la verdad mucha gente quedo maravillada de lo útil que podía ser este software.

Inmediatamente muchísimos portales nacieron gracias a PHPnuke, que fué creado por Francisco Burzi (venezolano), lo desarrolló en PHP y MySQL y decidió hacerlo Software Libre. Esto permitió que al poco tiempo se detectaran graves fallas de seguridad en el software y desde entonces no ha parado, la aplicación será magnífica para crear portales, fácil de administrar, buen aspecto visual y todo lo que quieran pero esta muy mal programada en cuanto ha seguridad se refiere.

La prueba de ello es este artículo que acabo de encontrar en Barrapunto donde se comenta como crackearon el site de Todo-linux por un fallo en la programación de PHPnuke, el detalle aquí

http://www.todo-linux.com/modules.php?name=News&file=article&sid=1604

This entry was posted on Thursday, February 26th, 2004 at 08:55 am and is filed under General. Find similar posts by selecting any of the following tags: . You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

5 Comments so far

  1. on 26/February/2004 at 14:24 pm rudy wrote:

    err PHPNuke no es software libre, las prácticas facistas de el Sr. Francisco hacen que no lo sea. Independientemente de la calidad del programa es importante mencionar esto.

  2. on 27/February/2004 at 13:37 pm Antonio wrote:

    Algunos puntos:

    a) Importante que la gente sepa a que se esta metiendo cuando usa PHP-Nuke
    b) No hay que descuidarse y pensar que porque uno NO usa PHP-Nuke ya esta libre de problemas.. otros softwares en PHP conocidos como PHPBB y mas han tenido problemas.. es normal en las aplicaciones en general y las de web no podian ser menos
    c) Y donde esta la comunidad opensource para solucionar este problema.. Los que sabemos de PHP en vez de tirar dedo deberias hacer algo por asegurar el codigo.. Alguien deberia publicar una guia de seguridad y entre varios tomarnos el trabajo de auditar linea x linea como se ha hecho y se hace con OpenBSD.

  3. on 4/March/2004 at 13:14 pm name wrote:

    Yo uso PHP-nuke en una pequeña comunidad para webmasters, y ya estoy harto de que me hackeen la web y aplicar parches de seguridad. Un dia de estos voy a hacer un cms propio para estalviarme esas cosas.

  4. on 5/April/2005 at 11:39 am nacho wrote:

    No se por qué le veis tantos problemas. Lo único que hay que hacer es procurar estar al dia. Una página web no es algo que se hace un dia, y se deja ahí sin tocar para siempre, y el mantenimiento es una de las labores que más frecuentemente se olvidan. Php-nuke es un sistema buenísimo. El problema no está en él, sino en la mala gente (normalmente niños) que se dedica a destruir. De todas formas, también hackean páginas que no tienen que ver con PHP, pero como para conseguirlo hace falta tener conocimientos, y no es tan facil como un simple script que se copia, nadie se echa las manos a la cabeza. TODO necesita un mantenimiento (un coche, una casa, una página web…) si haces una página y te olvidas de que existe por una temporada larga, vas a tener problemas, aunque, si no miras para ella, tampoco te debe importar mucho. Hay muchas formas de evitar que alguien destruya tu trabajo. Yo últimamente he puesto el Nuke Sentinel, y se acabaron los problemas. Ya ni siquiera lo intentan desde hace muchos meses.

    Lo dicho, php-nuke es un gran invento, y muy facil para casi cualquier persona, pero hay que saber usarlo, y cuidarlo, como todas las cosas.

  5. on 9/May/2006 at 05:15 am Manssson wrote:

    Hola, soy uno de los administradores y webmasters de Todo-Linux.com
    En mi humilde opinión, el php-nuke es tan (in)seguro como el resto de CMS.
    El hackeo que sufrimos hace un par de años fue culpa nuestra por no parchear un módulo que pensabamos estaba deshabilitado. Si hubiesemos estado alerta, no habría pasado nada.
    Todos aquellos que usen phpnuke y tengan mod_security van a estar la mar de tranquilos, si vieseis los logs de cada día de mod_security…
    Con una politica restrictiva en cuanto a accesos a determinados sitios y paneles de administración, por ejemplo el de phpbb (con php open base dir) y personalizando un poco las directivas de mod_security podemos tener un cms la mar de seguro que el resto.

    Un saludo a todos.

    Manuel Aróstegui.

Have your say

Fields in bold are required. Email addresses are never published or distributed.

Some HTML code is allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
URIs must be fully qualified (eg: http://www.domainname.com) and all tags must be properly closed.

Line breaks and paragraphs are automatically converted.

Please keep comments relevant. Off-topic, offensive or inappropriate comments may be edited or removed.

  1. Search Website

  3. Random Post

    Aprendamos Python

  4. Recent Posts

    1. El arte de comer un caldo de gallina
    2. Kick in the nuts, una broma muy pesada
    3. Comienzan los WCG PERU 2008
    4. Redes Sociales: Utiles o son una pérdida de tiempo?
    5. Rotting Christ en Lima
    6. UDO en Lima
    7. Stewie de Family Guy mira 2girls1cup por primera vez
    8. Concierto de Helloween y Gamma Ray en Lima
    9. Freelance otra vez
    10. Cuidado con lo que lees

  5. Categories

    Archives



      February 2004
      S M T W T F S
      « Jan   Mar »
      1234567
      891011121314
      15161718192021
      22232425262728
      29  

  7. Search Website



  8. Peru Blogs