Listado de acciones para seguridad básica en Joomla!
Artículo basado en un checklist realizado por Javier Mendoza, y que se utilizó como base en el Hangouts realizado por Guillermo Bravo en el sitio web DesarrolladorWeb “La seguridad en Joomla” en el que por algo más de una hora se estuvo debatiendo el tema de la seguridad y aportando diversas técnicas y herramientas que incrementarán la fiabilidad y seguridad de los sitios web basados en Joomla!.
Soluciones básicas
Núcleo de Joomla
| Pauta | Visto |
| Descargar Joomla! desde joomla.org o sitios de absoluta confianza | |
| Comprobar que estamos instalando la última versión estable de Joomla! | |
| Comprobar que no estamos utilizando el nombre de superusuario por defecto (admin) | |
| No establecer la contraseña de FTP (establecerla constituiria una vulneración de la seguridad) | |
| Activar el fichero .htaccess en servidores linux (para ello debemos renombrar el fichero htacess.txt a .htaccess) Podemos ampliar la seguridad con http://docs.joomla.org/Htaccess_examples_(security) | |
| Habilitar las URLs amigables para los motores de búsqueda (SEF) | |
| Comprobar que la duración de la sesión no excede de 15 minutos | |
| Eliminar plantillas que no sean necesarias | |
| Comprobar que los permisos de directorios están en 755 y los permisos de archivos en 644 | |
| Utilizar un usuario de base de datos para la configuración de Joomla que no tenga acceso externo a la misma |
Extensiones Joomla
| Pauta | Visto |
| Realizar un backup de la estructura FTP y la base de datos antes de instalar cualquier extensión. Utilizar Akeeba Backup / Admin Tools http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/14087 | |
| Descargar extensiones solo de sitios de confianza http://extensions.joomla.org | |
| Comprobar que las extensiones que instalamos son la última versión estable disponible | |
| Eliminar las extensiones que no vayan a ser utilizadas y no formen parte del CORE (conviene revisar manualmente que los directorios y archivos asociados a la extensión se han borrado correctamente) |
Configuración del servidor
| Directivas de PHP | Visto |
| Comprobar que register_globals está desactivada | |
| Comprobar que allow_url_fopen está desactivada | |
| Comprobar que allow_url_include está desactivada | |
| Comprobar que open_basedir está activada y las rutas asociadas (esta directiva limita los archivos que se pueden abrir por PHP al árbol de directorios especificado) | |
| Comprobar que están desactivadas show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open | |
| Comprobar que safe_mode está desactivado |
Estructura de archivos
| Pautas | Visto |
| Comprobar que las carpetas del sitio están en 755 | |
| Comprobar que los archivos del sitio están en 644 | |
| Comprobar que no existen ficheros en la carpeta temporal /tmp |
Protección de archivos y carpetas críticas
Para obtener una mejor protección del sitio web en Joomla es conveniente sacar fuera de la estructura httpdocs el fichero configuration.php , para ello debemos modificar los siguientes archivos:
| MOTIVO | Ruta de los ficheros a modificar | Línea de código a modicar | Visto |
| Sacar fuera de la estructura httpdocs el fichero configuration.php y definir la ruta en la constante para que el fichero sea accesible por Joomla! | /includes/defines.php /administrator/includes/defines.php |
define('JPATH_CONFIGURATION', JPATH_ROOT); |
Extensiones recomendadas
RSFirewall http://bit.ly/UBQ6VL
Hay varias extensiones que nos permiten añadir una capa extra de protección en Joomla!, una de ellas es RSFirewall la cual además correctamente configurada nos alertará de los intentos de intrusión en el sitio y nos permitirá realizar acciones como la denegación de IPs o definir las ubicaciones desde la que se podrá acceder al backend entre muchas otras funciones.
Admin Tools http://bit.ly/VOJyOq
Una navaja suiza para la administración del sitio web en Joomla. Verificar y corregir los persmisos de carpetas y directorios, proteger el acceso al panel de administración con una contraseña adicional, cambiar el prefijo de la base de datos o realizar su mantenimiento son algunas de las excelentes características de esta extensión. Además es del creador de Akeeba Backup, sin duda toda una garantía de la limpieza de su código y de sus posibilidades.
Akeeba Backup http://bit.ly/UBR8B0
Un sitio web al que no asociamos ninguna política de backups es como un barco a la deriva es cuestión de tiempo que un fallo nos haga pasar un mal rato. Akeeba es una de esas extensiones que merece la pena pagar sin ningún género de dudas. La versión gratuita ya nos permite la realización de backups, pero es en la versión pro donde encontramos todo el potencial de la extensión.
En su versión pro, akeeba nos permitirá lanzar los backups directamente a diversos servicios de almacenamiento en nube, desvinculando la copia del servidor donde tenemos el sitio web. Creo recordar que su creador (Nicholas Dionysopoulos) en el manual de akeeba nos indica en tono “jocoso” que una buena copia de seguridad es la que se realiza en una placa tectónica diferente (por si los terremotos).
Algo altamente recomendable es instalar o solicitar que nos instalen en el servidor la extensión MyCript.php, ya que es utilizada por akeeba para encryptar los paquetes de copia de seguridad aportando mayor seguridad.
Encrypt configuration http://bit.ly/UBRvf2
A menos que utilicemos un certificado de seguridad SSL, un usuario que se registra en Joomla enviará su contraseña en texto plano a través de la red. Un usuario malintencionado podría aprovechar esta vulnerabilidad y obtener acceso al back-end.
Este plugin es una alternativa a SSL. Se utiliza RSA para cifrar las contraseñas o cualquier otra información que desees en los componentes.
Hay que tener la extensión bcmath Funciona con nombre de señal, Login JTP Horizontal, PWC sesión, inicio de sesión en línea y módulos VTJ inicio de sesión. Para otras extensiones de Joomla, como Alpha Registro, Community Builder, Core Design Módulo sesión, Yoo sesión, YJ Módulo Login Pop puedes encontrar plugins en http://www.ratmilwebsolutions.com/downloads/encryption-plugins. html . No hay necesidad de configurar. Sólo tienes que instalar e instalar los plugins necesarios.
Equipo de Marketing y Difusión de Joomla en español
Sobre el autor
By accepting you will be accessing a service provided by a third-party external to https://magazine.joomla.org/
Comentarios