La semana pasada Mi Sitio estuvo fuera del aire por dos días, debido a un ataque de un hacker al servidor donde está alojada. Al parecer la galería que instalé tenía varios errores graves de seguridad, que abren la puerta de hackers. Me disgusté porque me había llevado un buen tiempo la instalación, configuración y subida de fotos. Recién la acababa de instalar.
Luego de intercambiar varios mails fuertes con los proveedores, me convencí de que había fallos de seguridad. Ni yo ni el amigo que atendió mis mails fuimos amables. Ellos fallaron al enviar un mensaje diciendo que el script contenía "código malicioso, desarrollado por hackers". Esta es una frase no exacta, puesto que lo que pasaba era que el fallo podía utilizarse de manera maliciosa, según leí en unos links que me pasaron.
Un dictamen de seguridad que me enviaron dice lo siguiente:
Description:
A vulnerability has been identified in Gallery allowing malicious people to conduct Cross Site Scripting attacks against other users.
The problem is that user input to the search function and propably other functions isn't properly verified. This allows malicious people to conduct trivial Cross Site Scripting attacks.
Versions 1.1 to 1.3.4 have been reported vulnerable.
Con este problema, es evidente que la seguridad a veces se descuida de parte de los desarrolladores. La galería en mención tiene excelentes características para el usuario final, hasta incorpora el uso mod_rewrite para reescribir urls. Finalmente los proveedores de mi hosting prohibieron el script y tuve que buscar otra alternativa.
Coppermine es una buena alternativa, que además corre en mode safe on.
Si nuestra web es personal (como mi caso) pues tal vez sólo perdamos todo el tiempo que invertimos, pero si la web es algo más grande, podremos perder hasta nuestro empleo.