Hace ya algunos años un CMS llamado PHPnuke el cual permitía crear un portal en menos de 5 minutos, era facilísimo de usar y la verdad mucha gente quedo maravillada de lo útil que podía ser este software.
Inmediatamente muchísimos portales nacieron gracias a PHPnuke, que fué creado por Francisco Burzi (venezolano), lo desarrolló en PHP y MySQL y decidió hacerlo Software Libre. Esto permitió que al poco tiempo se detectaran graves fallas de seguridad en el software y desde entonces no ha parado, la aplicación será magnífica para crear portales, fácil de administrar, buen aspecto visual y todo lo que quieran pero esta muy mal programada en cuanto ha seguridad se refiere.
La prueba de ello es este artículo que acabo de encontrar en Barrapunto donde se comenta como crackearon el site de Todo-linux por un fallo en la programación de PHPnuke, el detalle aquí
http://www.todo-linux.com/modules.php?name=News&file=article&sid=1604
err PHPNuke no es software libre, las prácticas facistas de el Sr. Francisco hacen que no lo sea. Independientemente de la calidad del programa es importante mencionar esto.
Algunos puntos:
a) Importante que la gente sepa a que se esta metiendo cuando usa PHP-Nuke
b) No hay que descuidarse y pensar que porque uno NO usa PHP-Nuke ya esta libre de problemas.. otros softwares en PHP conocidos como PHPBB y mas han tenido problemas.. es normal en las aplicaciones en general y las de web no podian ser menos
c) Y donde esta la comunidad opensource para solucionar este problema.. Los que sabemos de PHP en vez de tirar dedo deberias hacer algo por asegurar el codigo.. Alguien deberia publicar una guia de seguridad y entre varios tomarnos el trabajo de auditar linea x linea como se ha hecho y se hace con OpenBSD.
Yo uso PHP-nuke en una pequeña comunidad para webmasters, y ya estoy harto de que me hackeen la web y aplicar parches de seguridad. Un dia de estos voy a hacer un cms propio para estalviarme esas cosas.
No se por qué le veis tantos problemas. Lo único que hay que hacer es procurar estar al dia. Una página web no es algo que se hace un dia, y se deja ahí sin tocar para siempre, y el mantenimiento es una de las labores que más frecuentemente se olvidan. Php-nuke es un sistema buenísimo. El problema no está en él, sino en la mala gente (normalmente niños) que se dedica a destruir. De todas formas, también hackean páginas que no tienen que ver con PHP, pero como para conseguirlo hace falta tener conocimientos, y no es tan facil como un simple script que se copia, nadie se echa las manos a la cabeza. TODO necesita un mantenimiento (un coche, una casa, una página web…) si haces una página y te olvidas de que existe por una temporada larga, vas a tener problemas, aunque, si no miras para ella, tampoco te debe importar mucho. Hay muchas formas de evitar que alguien destruya tu trabajo. Yo últimamente he puesto el Nuke Sentinel, y se acabaron los problemas. Ya ni siquiera lo intentan desde hace muchos meses.
Lo dicho, php-nuke es un gran invento, y muy facil para casi cualquier persona, pero hay que saber usarlo, y cuidarlo, como todas las cosas.
Hola, soy uno de los administradores y webmasters de Todo-Linux.com
En mi humilde opinión, el php-nuke es tan (in)seguro como el resto de CMS.
El hackeo que sufrimos hace un par de años fue culpa nuestra por no parchear un módulo que pensabamos estaba deshabilitado. Si hubiesemos estado alerta, no habría pasado nada.
Todos aquellos que usen phpnuke y tengan mod_security van a estar la mar de tranquilos, si vieseis los logs de cada día de mod_security…
Con una politica restrictiva en cuanto a accesos a determinados sitios y paneles de administración, por ejemplo el de phpbb (con php open base dir) y personalizando un poco las directivas de mod_security podemos tener un cms la mar de seguro que el resto.
Un saludo a todos.
Manuel Aróstegui.