Ocultar el acceso al panel de administración de Joomla!
Existen varias opciones para ocultar el acceso a esa sección delicada, te mostraremos como puedes lograrlo de manera muy sencilla utilizando una extensión y esto además contribuye a aumentar la seguridad de tu sistema.
Toda persona que ha usado el administrador (o backend) de un CMS sabe que existe una ruta que lo lleva al mismo formada de la siguiente manera:
[raíz del sitio]/[ruta del admin]
y para el caso de un sistema Joomla suele ser /administrator, osea, sabemos que en condiciones normales con el simple añadido de un sufijo específico al CMS, así de fácil se halla la puerta de entrada a esta sección.
Que nosotros sepamos esto es correcto, pero esta información también puede estar al alcance de otras manos quizás con intenciones de perjudicar al sitio; por ello, el lector puede pensar: “pero si no se posee el usuario y password no se puede entrar al backend”; pero aunque sea así, un visitante con fines maliciosos puede intentar combinaciones de usuarios y passwords, o sino tener la intención de ejecutar exploits específicos a la parte del administrador, para ver si nuestra instalación de Joomla es vulnerable. A continuación mostramos de manera práctica cómo instalar una extensión que resulta sencilla de instalar y usar, y además una tabla con otras extensiones que cada uno puede probar y usar según su nivel de conocimientos, pero todas ellas con más o menos características adicionales nos permiten alejar nuestro apreciado backend de esos molestos “vecinos” mirones.
Lo que hacen estas extensiones es implementar un mecanismo en el cual al momento de recibir la petición de acceso al administrador se comprueba que haya un token o palabra con cierto nombre y en algunos casos también con cierto valor (según qué extensión usemos) , dichos parámetros son añadidos en la barra de dirección del navegador (es decir se envían por método GET de HTTP), al ser estos parámetros con los valores correctos, es decir con los que los configuramos, accedemos efectivamente al administrador y podremos recien ahi acceder al formulario de login, y en las sucesivas peticiones esos parámetros no no serán pedidos nuevamente hasta que hagamos logout y tengamos que volver; en caso de que los parámetros sean incorrectos o inexistentes, se puede redirigir al visitante al home, a una pagina de error, etc. (dado que esto puede configurar a gusto en algunas extensiones), y el visitante no podrá ejecutar ni intentos de login o exploits mientras no dé con los parámetros exactos
Instalación y configuración del plugin: JL Secure My Site
Por facilidad y no hacer tan extenso este artículo, mostraré solo esta extensión, pero los pasos deben ser similares para las extensiones de este tipo; por supuesto, siempre revise primero la documentación del desarrollador.
Parte práctica:
Instalamos el plugin como cualquier otro;
una vez instalado con éxito...
en el backend vamos a Extensiones->Gestor de plugins, opcionalmente podemos filtrar por plugins de tipo "system" para ubicar fácilmente el plugin. En el listado buscaremos "plg_system_jlsecuremysite" y editaremos su configuración, podemos clicar sobre el título de la extensión, o bien marcar el checkbox correspondiente y clicar en el botón Editar.
Ahora en la pantalla edición del plugin, tan solo configuramos tres cosas:
Secure key, Secure value y habilitamos el plugin. Por supuesto, es conveniente cambiar los valores por defecto por otros que sean conocidos únicamente por nosotros, para el ejemplo he usado como valor de Secure key "token284" y para Secure value "r6u7kw3a"
Una vez que activamos el plugin seremos redireccionados al home del sitio, y deberemos volver a loguearnos en el administrador pero usando los valores que configuramos antes.
Ahora en vez de ingresar en la url:
ejemplo.com/administrator/index.php
Ingresaremos con:
ejemplo.com/administrator/index.php?token284=r6u7kw3a
Solo aparece el formulario de login si ingresamos en la URL de acceso al administrador las palabras configuradas en el plugin, caso contrario, se redirecciona al home del sitio. Ya logueados, nos olvidamos del secure key y secure value, y manejamos el administrador como lo hacemos habitualmente.
Consejos
No use caracteres acentuados, ni guiones, etc. procure formar la palabras con letras de la "a" a la "z", y algunos números, a fin de evitar confusiones en el uso yo le recomiendo no usar la letra O y el número cero, o bien optar por uno de ellos pero no ambos, usar solo minúsculas; si desea generar palabras aleatorias con una buena mezcla de caracteres y números, puede usar el sitio: http://strongpasswordgenerator.com/ allí, ajuste la longitud de clave deseada, entre 8 a 16 caractéres esta bien y desmarcar signos de puntuaciones, dicha página además de generar una clave apta para contraseñas, también le proporciona un nemotécnico para recordar la clave, para el caso de "r6u7kw3a" dio "romeo 6 uniform 7 kilo whiskey 3 alpha"; observe que dicha página genera letras mayúsculas y minúsculas, yo he pasado todo a minúsculas para simplificar el tipeo.
Qué hacer si olvida las palabras claves de la URL
Si llega a olvidar las palabras Secure key y Secure value, puede realizar lo siguiente para volver a obtenerlas o cambiarlas:
- Por FTP, vaya a la raíz del sitio y de allí hacia: plugins/system/jlsecuremysite
- Renombre el archivo: "jlsecuremysite.php" a "---jlsecuremysite.php". Esto hará que el plugin aunque este activado no se cargue y así podamos volver a loguearnos normalmente usando /administrator/index.php
- Luego podemos ir al menú Extensiones->Gestor de plugins y allí editar el plugin "plg_system_jlsecuremysite", donde veremos los parámetros de Secure key y Secure value, tomamos nota de ellos o los cambiamos por otros más fáciles de recordar y guardamos los cambios. Posteriormente volvemos a dejar el archivo que hayamos renombrado a su nombre original (les quitamos los guiones) es decir renombramos: "---jlsecuremysite.php" a "jlsecuremysite.php" para volver a tener funcionando el plugin.
Más extensiones
He seleccionado las extensiones en base a lo siguiente:
- Popularidad y cantidad de revisiones de los usuarios en el JED.
- Disponibilidad gratuita o al menos versión de prueba.
- Compatibilidad con las versiones de Joomla 2.5.x / 3.2.x
|
Nombre |
Descripción |
Valoración (0 a 5) |
Requiere registro |
Enlace JED |
|
Admin Tools |
Es la favorita de muchos y sobresale porque ocultar el administrador, es solo una sus tantas características, no la puedo dejar de mencionar dado lo popular de la extensión (vea que se ha ganado el tag “popular” en el JED y es de los creadores de Akeeba Backup), viene en versión gratuita y de pago. Permite crear archivos .htaccess y .htpasswd (los cuales son funcionales en servidores apache), para añadir un capa extra de login al administrador; revisar y corregir permisos de archivos, cambiar los prefijos de tablas de base datos que usa joomla, cambiar el id de administrador, etc. Tipo: plugin y componente |
Puntaje: 4,86 (de 44 usuarios) Reviews: 176 |
NO |
|
|
AdminExile |
Permite configurar una o dos palabras clave para el mecanismo de acceso al administrador, permite obtener vía e-mail las claves, útil cuando son varias personas las que acceden desde el admin y se debe obtener el token de alguna de ellas, bloqueo/admisión por listas de IP’s, detección de fuerza bruta es decir cuando se esta intentando repetidamente probando claves para acceder al admin, posibilidad de configurar redirecciones, permite bloqueo de grupos de usuarios, que solo deben acceder al frontend y no al admin. No agrega publicidad o links del autor. Tipo: plugin |
Puntaje: 4,86 (de 69 usuarios) Reviews: 110 |
NO |
|
|
JLSecure My Site |
Simple y fácil de usar, nos permite ocultar el acceso al backend con 2 palabras que debemos ingresar en la URL, de lo contrario redirige al home del sitio. Tipo: plugin |
Puntaje: 4,61 (de 18 usuarios) Reviews: 25 |
SI |
|
|
kSecure |
Tal indica el autor es un fork de la extensión jSecure, y permite elegir entre autenticación por HTTP (válido en servidores apache) o a añadiendo una palabra clave en la URL del administrador. Tipo: plugin |
Puntaje: 4,91 (de 11 usuarios) Reviews: 60 |
NO |
link |
|
AskMyAdmin |
Provee de un mecanismo de acceso mediante un par de palabras claves agregadas a la URL. Permite elegir a donde redireccionar en caso de no proveer las palabras claves adecuadas. Como indica su autor es un fork de plg_backendtoken. Idiomas disponibles: inglés, ruso e italiano, se encuentra disponible para las versiones de Joomla 1.5/2.5/3.0 Tipo: plugin |
Puntaje: 4,5 (de 4 usuarios) Reviews: 4 |
NO |
|
|
jSecure Lite |
Presentada en dos version lite y de pago, la version lite se limita a restringir el acceso al acceso al administrador por el agregado de una palabra clave en URL, la versión de pago amplia las características de seguridad. |
Puntaje: 5 (de 1 usuario) Reviews: 1 |
SI |
|
|
TZ Guard |
Restringe el acceso al administrador por medio del agregado de una palabra clave al URL del administrador. Además provee de un mecanismo de bloqueo de IPs por lista negra y bloqueo de bots. Tipo: plugin |
Puntaje: 0 Reviews: 0 |
SI |
Queda en el lector hacer pruebas y decidir cual es la mejor, también recomiendo hacer pruebas en un Joomla en local (es decir en su pc) antes de pasar a sitios en producción para detectar cualquier posible fallo en la extensión o comprender bien el manejo de la misma.
NOTA: Por favor recuerde, que ocultar el acceso al backend es solo una medida de la tantas medidas que se pueden tomar y no una solución final. Mantener la seguridad de un sitio basado en Joomla comprende muchas cosas mas, como por ejemplo: mantener actualizado el CMS, para recibir los anuncios de actualizaciones de seguridad cuando estén disponibles; por eso, le aconsejo suscribirte a la lista del boletín de seguridad oficial de Joomla, yo lo hice y no me arrepiento! ;)
Enlaces de interés:
Extensiones en el JED:
El punto de entrada a muchas extensiones sobre seguridad en el acceso (tanto gratuitas como de pago) del listado oficial del JED:
Foro en español:
Recuerde que en la comunidad de Joomla! también se habla español (entre otros, si Ud. habla otro idioma seguro hay un foro en el suyo, búsquelo en la sección internacional del foro), si tiene dudas, o quiere aportar conocimientos lo invito a registrarse y participar, haga buenas preguntas, tome notas de los posts resueltos, encuentrese con sus coterraneos ;) todo esto y mucho mas en: http://forum.joomla.org/viewforum.php?f=24
Foro Internacional:
Suscripción a la lista de seguridad:
Como última cosa quiero solicitarle que si prueba las extensiones, tómese un momento para hacer una revisión sobre la misma y publicarla en el JED, con el fin de darle feedback al desarrollador y a los demás usuarios; y sobre todo, si le resulto de utilidad, una buena valoración, compra o donación, animará al desarrollador a continuar y mejorar su extensión.
Les pongo un artículo donde explica la importancia de esta retroalimentación: Cómo contribuir a la Comunidad Joomla: Las reviews del JED
Glosario
JED - Joomla Extension Directory
El listado oficial de la extensiones disponibles para Joomla: http://extensions.joomla.org/
CMS - Content Management System
...es un programa que permite crear una estructura de soporte (framework) para la creación y administración de contenidos, principalmente en páginas web, por parte de los administradores, editores, participantes y demás usuarios…
http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_contenidos
Exploit
....fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo…
Sobre el autor
By accepting you will be accessing a service provided by a third-party external to https://magazine.joomla.org/
Comentarios