Un sistema de gestión de contenidos nos puede simplificar los trabajos al momento de desarrollar una página web informativa o transaccional (Es decir una aplicación web donde el usuario interactúa con la página web, ejemplo una tienda en línea). Algunos de los sistemas de gestión de contenidos mas famosos son WordPress, Drupal, Magneto y Dot Net Nuke. Son de las principales tecnologías que un ciberdelincuente intenta atacar, debido a que detectan alguna configuración incorrecta del desarrollador que implementó la aplicación web o por el simple hecho de que existe una vulnerabilidad en el código del sistema de gestión de contenidos.
Esta tecnología nos permite desarrollar un sin numero de aplicaciones web rápida sin lanzar ningún tipo de código sofisticado si no llega ser requerido. Es aquí donde viene uno de los problemas más comunes que existen hoy día en configuraciones incorrectas en estos servicios web. La magnitud del impacto puede ser mayor si este servicio web se encuentra alojado en un servidor interno en la red privada de la empresa. Asumiendo que esta aplicación web se encuentra alojada dentro de su red privada el atacante logra comprometer la aplicación web consiguiendo una web Shell (Esto significa tener acceso a la terminal del servidor completo). En este caso el ciberdelincuente logrará tener acceso a la red completa si existen controles de seguridad débiles internamente.
La importancia del endurecimiento (Hardening) nos ayuda asegurar que las configuraciones del servidor se encuentran óptimos y a la vez nos permite fortalecer este servidor en caso de que no es posible parchar el servicio o el sistema operativo. También, debemos tener claro que donde sea posible aplicar los parches de seguridad se apliquen de manera inmediata por ser protegidos de vulnerabilidades conocidas. Al final, cuando utilicemos estos sistemas de gestión de contenidos debemos siempre realizar un aseguramiento de calidad de manera correcta, realizar un listado de endurecimiento de Hardening OWASP o CIS benchmarks el cual cubre de bastante bien las mayorías de los escenarios posible de estas tecnologías. Por último, siempre se debe tratar estos servidores alojados en red interna en segmentos de redes aparte y a la vez que en estos servidores no contenga información sensible o sea de uso critico para el día a día del negocio.