Como aumentar la seguridad de Joomla de forma sencilla

Sin importar el tipo de web que tengas, seguro que la seguridad es una de tus principales preocupaciones. Los CMS de código abierto (como Joomla, WordPress o Drupal) son los que reciben más ataques en Internet, como por ejemplo, el robo de contraseñas y datos confidenciales, eliminación de información importante, suplantación de identidad, envío de Spam, modificaciones en los ficheros de tu sitio web, etc. etc… Estas son acciones fraudulentas y maliciosas para ti y también para otros usuarios de Internet que pueden verse afectados de alguna manera por el ataque a tu sitio web. Y esto puede costarte un buen disgusto, tiempo y esfuerzo para conseguir solucionarlo, y además, puede que también te ocasione pérdidas económicas.

Por estos motivos, debes hacer todo lo que esté en tu mano para asegurarte de que tu web esté siempre lo más segura posible.  A continuación, vamos a darte algunos consejos prácticos para ayudarte a mejorar la seguridad de tu instalación de Joomla, así como recomendarte algunas de las mejores extensiones de seguridad que existen actualmente. .

Empecemos por dejar claro que no existe ningún gestor de contenidos (CMS), “gratuito o de código abierto”, que sea 100% seguro. No obstante, en el caso de Joomla!, hay muchas medidas que puedes tomar para aumentar la seguridad de tu sitio web. Vamos a ver algunas…..

.

1. Utiliza la versión más reciente de Joomla
Para garantizar la seguridad de tu Joomla, es vital que la actualices a la última versión en cuanto esta esté preparada. Al fin y al cabo, los desarrolladores de Joomla se esfuerzan por parchear las vulnerabilidades para impedir que los hackers puedan infectar tu web, robarte información confidencial o dañar tu sitio web de alguna manera.

Comprueba periódicamente si hay alguna nueva actualización disponible para solucionar vulnerabilidades de seguridad, y asegúrate de instalarla. En el mismo orden de cosas, es importante que vayas actualizando las extensiones, módulos y plugins que utilices, y que compruebes su seguridad y fiabilidad antes de instalarlas.

2. Utiliza un nombre de usuario y contraseña seguros
No utilices el nombre de usuario admin predeterminado, cámbialo por uno más seguro y escoge también una contraseña que no sea fácil de adivinar. Deberá contener más de 8 caracteres e incluir mayúsculas, minúsculas, números y caracteres especiales.

3. Protege el archivo de configuración de tu Joomla
Protege el archivo configuration.php, que se encuentra en el directorio raíz de tu hosting, para impedir que se puede editar (algunas versiones de Joomla ya lo protegen por defecto). Puedes hacerlo fácilmente, marcando la opción “Make unwriteable after saving” en la configuración de Joomla.

También te recomendamos que lo abras y añadas:

<FilesMatch “configuration.php”>
Order allow,deny
Deny from all
</FilesMatch>

4. Borra las plantillas y extensiones que no utilizas
Mantén tu instalación de Joomla lo más limpia posible. Aunque pruebes varias plantillas, módulos o extensiones, acostúmbrate a borrar todo aquello que no utilices. Lo mismo ocurre con las plantillas que vienen instaladas en Joomla por defecto. Es importante hacerlo así porqué, si en algún momento se detecta una vulnerabilidad en una de ellas, los hackers intentarán explotarla para tener acceso a la administración de tu Joomla y dañarlo o utilizarlo para enviar spam, hacer Phishing o cualquiere otra actividad maliciosa y/ ilegal.

5. Cambia los permisos de los archivos
Es mejor que restrinjas los permisos de los archivos más importantes para impedir que se puedan editar o modificar. Aquí tienes algunas sugerencias:

  • Deja los permisos de /index.php en 644
  • Deja los permisos de /configuration.php en 640
  • Deja los permisos de /templates/*tuplantilla*/index.php en 644
  • Deja los permisos de la carpeta /templates/*tuplantilla*/ en 755

Además, puedes proteger ciertos archivos añadiéndoles el siguiente código:

#Protege el fichero .htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>

#Dentro del directorio images, evita que se ejecuten scripts
<FilesMatch “\.(phtml|php|php3|php4|php5|php6|phps|cgi|exe|pl|py|asp|aspx|shtml|shtm|fcgi|fpl|jsp|htm|html|wml|cgi|cgi|sh)$”>
Order Allow,Deny
Deny from all
</FilesMatch>

#Oculta la estructura de directorios
Options All -Indexes

6. Deshabilita el registro de usuarios
A menos que tu web sea una comunidad en la que el registro de usuarios sea una opción necesaria, por motivos de seguridad es mejor que lo deshabilites para que no sea posible. Así, los bots que rastrean la red en busca de agujeros de seguridad no serán capaces de crear usuarios en tu portal. Es una forma sencilla de ahorrarte dolores de cabeza.

7. Cambia el prefijo de la base de datos
Si modificas el prefijo de la base de datos por uno aleatorio o personalizado, evitarás que los hackers puedan tratar de adivinar el nombre de las tablas: prefijo_tabla.

8. Elimina las referencias a Joomla del código fuente
Así costará un poco más saber la versión de Joomla que  estás utilizando, lo que resultará en un mayor nivel de seguridad para ti. Esto es un buen ejemplo de una medida de seguridad “por ocultación”. No cuesta mucho esfuerzo y, aunque no es una medida de seguridad auténtica (porque no resuelve ningún fallo), sí puede servirte de gran ayuda.

9. Incluye un captcha en cada formulario
No te interesa que sea un robot (un programa informático) el que rellene tus formularios para enviarte spam, fingiendo ser un humano. Para impedir que pueda hacerlo, tendrás que utilizar un CAPTCHA: el usuario humano tendrá que introducir manualmente las cifras o letras que se mostrarán aleatoriamente en una imagen distorsionada, que una máquina no sería capaz de leer.

10. Haz copias de seguridad de forma habitual
No nos cansaremos de repetir que una de las cosas más importantes és HACER COPIAS DE SEGURIDAD DE TODOS TUS FICHEROS Y BASES DE DATOS DE FORMA PERIÓDICA, ya que si llega a ser necesario, siempre podrás reinstalarlo todo de nuevo y dejar tu instalación de Joomla igual como la tenías en el momento en el que hiciste tu última copia de seguridad.  Haz caso a este consejo y nunca pienses que a ti no te pasará nada. Por desgracia, como proveedores de Web Hosting y desarrolladores de sitios y aplicaciones web, asistímos frecuentemente a clientes que no pueden restaurar su sitio web por que se lo han hackeado o modificado y nunca han tenido la costumbre de hacer PERIÓDICAMENTE copias de seguridad de su Joomla.

.

Extensiones de seguridad para JoomlaEl uso de una extensión de seguridad puede ayudarte a detener inyecciones de SQL o ataques de fuerza bruta, por ejemplo. En el directorio de extensiones de Joomla encontrarás numerosos recursos (unos gratuitos y otros de pago) para ayudarte a mejorar la seguridad de tu web. Nosotros hemos recopilado algunas de las que consideramos las mejores extensiones de seguridad para Joomla gratuitas.

Brute Force Stop
Esta extensión te ayudará a combatir ataques de fuerza bruta. Sirve para bloquear de forma automática al visitante o al bot que está realizando el ataque. Puedes configurar un límite de intentos fallidos y, una vez se alcance, la extensión bloquea al usuario que está intentando loguearse.

También podrás conocer la IP que utilizó el atacante para intentar loguearse, ya que esos registros quedan guardados en la opción Failed Logins. Gracias a esta IP, podrás saber si estás bloqueando a un usuario legítimo. Si es así, puedes meterla en una lista blanca para que no vuelva a ocurrir.

Akeeba Backup
Se trata de un componente de código abierto que sirve para crear una copia de seguridad completa de tu web en tan solo un clic. También puedes automatizar la creación de los backups, para no tener que acordarte de realizarlos de forma periódica. Así, en caso necesario, puedes utilizarlos para restaurar tu sitio a su estado correcto fácilmente. Y si quieres, también puedes crear backups más sencillos: únicamente de los archivos o de la base de datos.

AdminExile
Otra buena forma de proteger tu sitio de Joomla contra los ataques de fuerza bruta es ocultar la URL de inicio de sesión. Con el plugin AdminExile no tendrás problemas para conseguirlo: podrás modificar la URL de modo que no sea tudominio/administrator, sino que sea necesaria una clave para acceder correctamente. También podrás configurar la extensión para que te envíe un enlace de inicio de sesión en caso de que olvides la clave.  Además, podrás restringir o permitir el inicio de sesión utilizando listas blancas y negras para las direcciones IP que tú quieras. Recibirás una notificación si recibes un ataque de fuerza bruta y se bloqueará la IP del atacante tras recibir un número de intentos fallidos de inicio de sesión (un número que configurarás tú mismo).

Admin Tools
Esta extensión te ayuda, en general, con todas las tareas de administración de tu instalación de Joomla. También te echa una mano con la mejora del nivel de seguridad de tu web, ya que te informa de las actualizaciones que debes realizar, realiza mantenimientos para protegerte contra ataques y optimiza tu web. También te ayuda con los permisos de archivos y directorios, las redirecciones personalizadas y la creación de un archivo .htaccess seguro, entre otras cosas.

Marco’s SQL Injection
Esta extensión sirve para proteger tu web contra inyecciones SQL y ataques de inclusión de archivos locales. Como administrador, si se detecta una de estas amenazas se bloqueará el ataque y recibirás una notificación automática. Puedes configurar fácilmente el plugin para añadir direcciones IP, errores y componentes que no tengan que pasar el examen del filtro de seguridad. También puedes definir el número de intentos de inicio de sesión fallidos que deben tener lugar antes de que se bloquee esa dirección IP.

Estos son únicamente algunos ejemplos prácticos que puedes aplicar a tu sitio web hecho con JOOMLA!, pero existen muchísimos más recursos en el sitio web OFICIAL de Joomla! www.joomla.org

.

© Copyright 2016.  Publicado por el Dpto. Técnico de ServiNetwork.

.




OTROS ARTICULOS RECIENTES :