Una de las cosas más deprimentes en el mundo de la Internet, es cuando descubrimos que nuestro sitio web ha sido hackeado. La incertidumbre y la desconfianza pueden aterrorizar a los administradores, y lo peor, a sus clientes. Para ello hemos creado esta guía. Su objetivo es proporcionar reglas sencillas para proteger su sitio web Joomla!.

Esta guía es la primera de una serie de guías de seguridad, y está escrito con sangre, sudor y lágrimas. La serie se traduce del hebreo para ayudar a los usuarios avanzados y en especial a los principiantes en el mundo de Joomla!, que quieran proteger sus sitios web del más grande miedo - ser hackeado. Esta serie fue creada después de analizar los sitios web hackeados en Israel, y cómo los hackers lo hicieron.

La serie comienza con los pasos fáciles y pasa a reglas más estrictas en las próximas entregas. Las reglas duras son a veces difíciles de implementar, pero vale la pena el pago (y el dolor).

Consejo: Antes de implementar un sitio web, se recomienda revisar estas pautas de seguridad para evitar la liberación de un sitio web no seguro.

Copia de seguridad

La suposición básica es que cada sitio web puede ser hackeado. Por lo tanto, lo más importante es cuidar con frecuencia su copia de seguridad. Recomiendo la extensión Akeeba Backup, la cual respalda su sitio web con un solo clic. Debe realizar copias de seguridad de su sitio web con la misma frecuencia que su contenido se actualiza. ¡Esto significa que si agregas el contenido sobre una base diaria, necesitas una copia de seguridad todos los días!

Última versión de Joomla!

No importa si eres un constructor de sitio web con experiencia, o si usa Joomla como un entretenimiento, lo primero que debes hacer, es tener cuidado para actualizar Joomla a la versión más reciente. Desde la versión 1.6 ahora tiene un icono en el panel de control de administración que le permite saber la versión de actualización. La mayoría de las versiones son versiones de seguridad y es fundamental actualizar lo antes posible. Desde la versión 1.6, la actualización se puede hacer con un solo clic. Así que no dude en hacerlo.

Panel de administración de Joomla!

El usuario administrador

Una de las cosas más obvias de los hackers es tratar de entrar en el panel de administración de Joomla. Por lo tanto, esto lo podemos evitar con unas simples reglas. En primer lugar, no utilice la opción predeterminada para el nombre del usuario admin (admin, administrador o root). ¡Elija otro nombre!

No utilice el usuario administrador que viene por defecto

El usuario administrador que viene por defecto es bien conocido y tiene un identificador por defecto (42 para 1,6 + y 62 por 1,5). Los hackers suelen tratar de hackear el usuario por defecto de Joomla. Al instalar Joomla, basta con crear un nuevo usuario, hacen que sea admin (con otro nombre), y eliminar el usuario anterior.

Actualización: Desde la versión 2.5.5 el ID del primer usuario es aleatoriamente, por lo que si estás utilizando una instalación nueva no deben preocuparse por este tema.

Bloquear el panel de administración

Cada usuario de Joomla sabe cómo acceder con facilidad a la administración. Los hackers lo saben también, navegando a yoursite.com / administrator. Para evitar que usuarios no deseados puedan acceder al formulario de acceso de la administración, existen varias extensiones que impiden ese acceso. Les recomiendo para esta función, la extensión AdminTools , que tanto en la versión de pago como en la gratuita, incluye esta excelente característica.

Extensiones

Las extensiones son la mayor ventaja que tiene Joomla! con respecto a otros CMS. El rango de extensiones es amplia (más de 10000) y para cualquier propósito hay al menos 3 soluciones.

¡Pero!, y aquí viene un gran pero, debes ver el estado de la misma. Algunas extensiones son vulnerables. Hay una lista organizada de extensiones vulnerables que contiene sus exploits, y si hay soluciones para ellos. Se recomienda revisar la lista antes de instalar una extensión desconocida.

Extensiones innecesarias

Joomla es un sistema de gestión de contenido muy avanzado. Por defecto en la instalación, viene con una gran cantidad de extensiones. Algunos de ellas son útiles (como el contenido y los usuarios), pero algunos otros no se utilizan en la mayoría de los sitios web. Por ejemplo, los componentes tales como banners, contactos, etc, no son una necesidad para muchos sitios web. Incluso si no hay enlaces existentes en su sitio para aquellos componentes, existen vínculos existentes con el componente de enlace básico, por ejemplo, prueba este: index.php?option=com_search

Puede deshabilitar las extensiones innecesarias que su sitio no está utilizando. Puede hacerlo desde el panel de administración-> menú de extensiones-> gestor de extensiones-> gestionar. Sólo deshabilitar los componentes moviendo el icono Activar. Se recomienda no modificar los ya existentes, en caso de que desee utilizarlos en un futuro (a menos que necesite liberar espacio en tu hosting).

Conclusiones

Eso es todo por la primera parte, que está previsto para los novatos. La siguiente parte será para los usuarios más avanzados.

Artículo Original: Simple Security Guide, Part 1 por Ofer Cohen
Traducido por: Carlos Rodríguez
Miembro del: Equipo de Marketing y Difusión de Joomla! en Español