Primero que todo nos gustaría responder la gran interrogante ¿es Joomla un CMS inseguro? No, Joomla es un software completamente seguro. Joomla, Wordpress, Drupal, Windows, Photoshop, Whatsapp, etc por ser de aplicaciones de amplio uso están siempre bajo el ojo de hackers quienes se esmeran por descubrir sus vulnerabilidades explotarlas y luego difundirlas. Sin embargo, Joomla! cuenta con un excelente equipo de desarrollo que libera periódicamente parches de seguridad para reparar estas vulnerabilidades si llegan a ser descubiertas. Es decir, mientras tengas tu Joomla! actualizado, existen remotas posibilidades que llegues a tener un problema de seguridad.

Antes de entregar nuestro sitio web, podemos mejorar aún más su seguridad con las medidas que serán explicadas a continuación:

1. Revisa si tu Joomla, sus componentes, módulos, plugins y plantillas se encuentran en su última versión. Trata de usar siempre extensiones gratuitas a menos que puedas solventar la membresía de un club en donde puedas conseguir las actualizaciones periódicas.

2. Desinstala todo lo que no vayas a usar. Una vez terminamos el diseño y desarrollo de un sitio web, asegurate de desinstalar todo lo que no usaste. También puedes desinstalar las plantillas que vienen por defecto con tu instalación de (Protostar, Hathor, Beez)

3. Desactiva la función de creación de usuarios si no la necesitas. Esta es la primera ventana abierta por donde podrían meterse a tu sitio web. Cuando logran hacerse de un usuario Super Admin, es cuando ya no hay nada más que hacer. Si les prohibes la creación de usuarios le das una barrera más para que se tomen tu sitio. Para desactivar la creación de usuarios solo debes ir a:

Usuarios->Gestionar->Opciones->Primera Opción “Permitir el registro de usuarios” -> No

4. Configura tu .htaccess. Joomla ya viene "de fábrica" con un archivo htaccess.txt, el cual para activarlo debes renombrarlo de htaccess.txt a .htaccess de esta forma el servidor podrá leer sus comandos. Este archivo viene con instrucciones básicas respecto a reescritura de URLS y redirección www. Si tu quieres puedes investigar como poder mejorarlo a tu gusto (siempre y cuando tu hosting lo permita). Si quieres saber mas acerca de este archivo revisa esta pagina en donde podras generar un archivo htaccess personalizado http://www.htaccessredirect.net/

5. Configura tu php.ini. Una buena configuración de seguridad para bloquear intromisiones y crear una nueva barrera de entrada a tu sitio web vía PHP es agregar a tu php.ini lo siguiente:

register_globals = 0

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

allow_url_fopen = 0

magic_gpc_quotes = 0

safe_mode = 1

open_basedir = /dir/incl/

7. Haz una copia de seguridad de tu sitio web (archivos y base de datos) y pruébala en tu servidor local. Para simplificar esta tarea puedes utilizar una extensión como Akeeba Backup o X-Cloner

8. Asegúrate que tu servidor de hosting cuente con la última versión de PHP instalada, muchos servidores de hosting te permiten modificar la versión de PHP a través de CPANEL. En la opción Software y servicios encontrarás un icono (logo) de PHP y su configuración. Antes de modificar la versión de PHP por la última disponible asegurate de realizar un respaldo de tu sitio web, de todas formas si llegas a encontrar un mal funcionamiento puedes bajar la version de PHP de la misma manera.

9. Pon mas dificultad al acceso a tu carpeta /administrator. Desde CPANEL puedes agregar una barrera adicional configurando la opción "Proteger directorio con contraseña".

8. Permisos de escritura de archivos y carpetas. Revisa que todos tus archivos cuenten con permisos (CHMOD) "755" y carpetas con permisos 644. Si quieres puedes utilizar la extensión Admin Tools de Akeeba que realiza esta función con un solo click.

9. Activa las URLs amigables y sobreescritura de URLs, por un tema estético, de SEO y de seguridad es fundamental dejar nuestras URLs limpias, de esta manera no damos a conocer explícitamente cada uno de los componentes que estamos utilizando. La activación de esta opción se realiza en 2 pasos, primero debes ir vía FTP a la carpeta root de tu joomla y renombrar el archivo htacces.txt a .htacces y luego debes ir a configuración global y activar la opción “Usar la reescritura de URLs” y “URLs Amigables”

10. Si tu sitio web es de comercio electrónico es importante que compres e instales un certificado de seguridad SSL para encriptar los datos que envían tus clientes al comprar algún producto. Podrás encontrar certificados desde los $100 a $150 dólares aprox

11 Si tienes sospechas de que tu sitio esta vulnerable, esta infectado, o ha sido hackeado, puedes contratar los servicios de la empresa online www.myjoomla.com para una limpieza y escaneo a profundidad

12 No utilizar usuarios tipo admin, demo, ni passwords como test123 o password, siempre usar passwords robustos

Algunas extensiones de pago y gratuitas que te podrían ayudar a reforzar la seguridad de tu sitio Joomla!

• RS Firewall
• Admin Tools
• Akeeba Backup
• X-Cloner

Saludos cordiales,