¿Cómo mantener tu sitio joomla seguro!?
A continuación encontraran una serie de pasos de seguridad que hemos encontrado para la correcta protección de nuestro sitio Joomla.
Algunas son implementadas automáticamente por nuestro prestador de alojamiento web, otras necesitan de nuestro conocimiento y un poco de paciencia y trabajo. De todas formas sugiero que cualquier duda o pregunta sobre este artículo la realicen a través del Foro.
Algunas son implementadas automáticamente por nuestro prestador de alojamiento web, otras necesitan de nuestro conocimiento y un poco de paciencia y trabajo. De todas formas sugiero que cualquier duda o pregunta sobre este artículo la realicen a través del Foro.
1. Lo más importante.
Usar un host web confiable, con un buen soporte de registros. Asegurarse que el host mantenga su servidor lo más seguro posible y que los scripts básicos del servidor (PHP, MySQL, paneles de control, phpMyAdmin, etc.) estén actualizados a las últimas versiones estables.
Algunos hosts actualizan a versiones beta y RC. Estas son actualizaciones previas a las versiones estables, lo cual significa la posibilidad de que existan fallos y vulnerabilidades.
Recuerde, que si su espacio de servidor es vulnerable, los hackers podrán entrar. Muchas brechas de seguridad que han sido descritas, no tienen nada que ver con Joomla! y están relacionadas con otros programas que se están ejecutando en el servidor.
2. Asegurarse de eliminar el directorio de instalación.
Joomla! le recuerda que elimine el directorio de instalación una vez que la instalación esté completa. Si no elimina el directorio de instalación, no podrá utilizar Joomla!, ya que de otro modo su sitio sería vulnerable (cualquiera podría entrar y utilizarlo).
3. Register_Globals=OFF.
La característica Register_Globals=ON ha sido desaprobada en PHP. Esta es la fuente de muchos ataques a servidores. Joomla! no necesita register_globals=ON, pero algunas extensiones sí. Pregunte a su proveedor de alojamiento web para hacer el cambio de su servidor a register_globals=OFF. Esto protege no solo su instalación de Joomla!, sino a todo script que se ejecute en su servidor y que pueda ser afectado por las globales.
Si está usando un componente, módulo o cualquier cosa que necesite register_globals=ON, contacte con el desarrollador y pregúntele si lo va a modificar, o si es existe algún parche para esto.
Si no existe un parche disponible, considere si realmente necesita usar esa extensión de Joomla! y si no existe una alternativa más segura.
4. Cuando la instalación esté completa, elimine el archivo configuration.php-dist.
El archivo configuration.php-dist no es necesario tras la instalación. Sin embargo es tenido en cuenta por los motores de búsqueda. Google actualmente dirige 12,600 enlaces hacia configuration.php-dist. Si quiere anunciar que su sitio es Joomla!, simplemente déjalo allí, los hackers se lo agradecerán por hacerles saber dónde encontrarlo.
5. Si posee los conocimientos o puede contactar a alguien que los tenga – mueva su configuration.php fuera de su espacio público.
El archivo configuration.php no necesita estar en su espacio de http o www para ejecutarse.
6. Nuevamente, solo para usuario expertos – Cambie de nombre a la carpeta ’Administrator’.
Esto requiere modificaciones considerables en el núcleo del sistema, cambiando cada referencia hacia el directorio, pero supone una mayor seguridad.
7. Estar seguro de no utilizar como nombre de usuario ’admin’ para entrar al Administrador (Back-end).
Escoja un nombre único para su login y asegúrese de usar una contraseña segura, preferiblemente de 8 caracteres, mezclando letras, números y otros caracteres. Note que no es una buena idea utilizar $ en cualquier contraseña, ya que MySQL puede confundirse con ello. Otros caracteres como !^()>< etc. son correctos para una contraseña.
8. No deje los permisos de configuration.php en 777.
El archivo configuration.php debe ser escribible cuando desee hacer cambios a través del Administrador de Joomla!. Tan pronto haya terminado sus cambios, regrese los permisos a 644. Si realiza los cambios directamente en el archivo nunca cambie los permisos de 644.
9. Proteja su directorio ’administrator’ con una contraseña.
Esto puede realizarse fácilmente usando cpanel o cualquier otro panel de control del servidor. Solo seleccione “Proteger Directorio” y seleccione la carpeta ’administrator’. Esto automáticamente agrega la información necesaria al archivo de contraseñas del servidor y al archivo .htaccess.
10. Utilice FTP seguro cada vez que ingrese a su sitio vía FTP.
La mayoría de hosts ofrecen OpenSSL o alguna otra forma gratuita de usar SSL. Cuando se conecta usando un FTP no seguro, su contraseña y usuario no están protegidos. Cualquiera que monitoree su IP puede ver fácilmente su nombre de usuario y contraseña. Muchos clientes FTP gratuitos permiten el acceso a través de SSL (capa segura de conexión).
Usar un host web confiable, con un buen soporte de registros. Asegurarse que el host mantenga su servidor lo más seguro posible y que los scripts básicos del servidor (PHP, MySQL, paneles de control, phpMyAdmin, etc.) estén actualizados a las últimas versiones estables.
Algunos hosts actualizan a versiones beta y RC. Estas son actualizaciones previas a las versiones estables, lo cual significa la posibilidad de que existan fallos y vulnerabilidades.
Recuerde, que si su espacio de servidor es vulnerable, los hackers podrán entrar. Muchas brechas de seguridad que han sido descritas, no tienen nada que ver con Joomla! y están relacionadas con otros programas que se están ejecutando en el servidor.
2. Asegurarse de eliminar el directorio de instalación.
Joomla! le recuerda que elimine el directorio de instalación una vez que la instalación esté completa. Si no elimina el directorio de instalación, no podrá utilizar Joomla!, ya que de otro modo su sitio sería vulnerable (cualquiera podría entrar y utilizarlo).
3. Register_Globals=OFF.
La característica Register_Globals=ON ha sido desaprobada en PHP. Esta es la fuente de muchos ataques a servidores. Joomla! no necesita register_globals=ON, pero algunas extensiones sí. Pregunte a su proveedor de alojamiento web para hacer el cambio de su servidor a register_globals=OFF. Esto protege no solo su instalación de Joomla!, sino a todo script que se ejecute en su servidor y que pueda ser afectado por las globales.
Si está usando un componente, módulo o cualquier cosa que necesite register_globals=ON, contacte con el desarrollador y pregúntele si lo va a modificar, o si es existe algún parche para esto.
Si no existe un parche disponible, considere si realmente necesita usar esa extensión de Joomla! y si no existe una alternativa más segura.
4. Cuando la instalación esté completa, elimine el archivo configuration.php-dist.
El archivo configuration.php-dist no es necesario tras la instalación. Sin embargo es tenido en cuenta por los motores de búsqueda. Google actualmente dirige 12,600 enlaces hacia configuration.php-dist. Si quiere anunciar que su sitio es Joomla!, simplemente déjalo allí, los hackers se lo agradecerán por hacerles saber dónde encontrarlo.
5. Si posee los conocimientos o puede contactar a alguien que los tenga – mueva su configuration.php fuera de su espacio público.
El archivo configuration.php no necesita estar en su espacio de http o www para ejecutarse.
6. Nuevamente, solo para usuario expertos – Cambie de nombre a la carpeta ’Administrator’.
Esto requiere modificaciones considerables en el núcleo del sistema, cambiando cada referencia hacia el directorio, pero supone una mayor seguridad.
7. Estar seguro de no utilizar como nombre de usuario ’admin’ para entrar al Administrador (Back-end).
Escoja un nombre único para su login y asegúrese de usar una contraseña segura, preferiblemente de 8 caracteres, mezclando letras, números y otros caracteres. Note que no es una buena idea utilizar $ en cualquier contraseña, ya que MySQL puede confundirse con ello. Otros caracteres como !^()>< etc. son correctos para una contraseña.
8. No deje los permisos de configuration.php en 777.
El archivo configuration.php debe ser escribible cuando desee hacer cambios a través del Administrador de Joomla!. Tan pronto haya terminado sus cambios, regrese los permisos a 644. Si realiza los cambios directamente en el archivo nunca cambie los permisos de 644.
9. Proteja su directorio ’administrator’ con una contraseña.
Esto puede realizarse fácilmente usando cpanel o cualquier otro panel de control del servidor. Solo seleccione “Proteger Directorio” y seleccione la carpeta ’administrator’. Esto automáticamente agrega la información necesaria al archivo de contraseñas del servidor y al archivo .htaccess.
10. Utilice FTP seguro cada vez que ingrese a su sitio vía FTP.
La mayoría de hosts ofrecen OpenSSL o alguna otra forma gratuita de usar SSL. Cuando se conecta usando un FTP no seguro, su contraseña y usuario no están protegidos. Cualquiera que monitoree su IP puede ver fácilmente su nombre de usuario y contraseña. Muchos clientes FTP gratuitos permiten el acceso a través de SSL (capa segura de conexión).
Fuente de Informacion:
1 comentario
claudis -
Saludos