Los siguientes son los tips m谩s importantes para mantener seguro su(s) sitio(s) Joomla.
1. Asegurarse de eliminar el directorio de instalaci贸n.
Joomla! le recuerda que elimine el directorio de instalaci贸n una vez que la instalaci贸n est茅 completa. Si no elimina el directorio de instalaci贸n, no podr谩 utilizar Joomla!, ya que de otro modo聽su sitio ser铆a vulnerable (cualquiera podr铆a entrar y utilizarlo).
2. Cuando la instalaci贸n est茅 completa, elimine el archivo configuration.php-dist.
El archivo configuration.php-dist no es necesario tras la instalaci贸n. Sin embargo es tenido en cuenta por los motores de b煤squeda. Google actualmente聽dirige 12,600 enlaces hacia configuration.php-dist. Si quiere anunciar que su sitio es Joomla!, simplemente d茅jalo all铆, los hackers se lo agradecer谩n por hacerles saber donde encontrarlo.
3. Si posee los conocimientos o puede contactar a alguien que los tenga 鈥 mueva su configuration.php fuera de su espacio p煤blico.
El archivo configuration.php no necesita estar en su espacio de http o www para ejecutarse. Para proteger el archivo configuration.php de una manera elegante podemos sacar el archivo por encima de la carpeta public_html creando un nuevo archivo configuration.php con el siguiente contenido <?php require( dirname( __FILE__ ) . ‘/../mijoomla.conf’ ); ?>. Muy atentos de no incluir espacios antes ni despu茅s de los tags php porque nos reportar铆a un error del tipo “headers already sent…”. Este archivo no puede ser escrito para evitar ser sobreescrito por com_config. Si deseamos hacer modificaciones en el archivo de configuraci贸n real las realizamos a mano en el archivo mijoomla.conf o como ustedes lo quieran llamar, que es el encargado de toda la informaci贸n que antes ten铆a configuration.php y es el archivo que se ubica arriba de public_html.
4. Nuevamente, solo para usuario expertos 鈥 Cambie de nombre a la carpeta ‘Administrator’.
Esto requiere modificaciones considerables en el n煤cleo del sistema, cambiando cada referencia hacia el directorio (un trabajo tedioso), pero supone una mayor seguridad.
5. Estar seguro de no utilizar como nombre de usuario ‘admin’ para entrar al Administrador (Back-end).
Escoja un nombre 煤nico para su login y aseg煤rese de usar una contrase帽a segura, preferiblemente de 8 caracteres, mezclando letras, n煤meros y otros caracteres. Note que no es una buena idea utilizar $ en cualquier contrase帽a, ya que MySQL puede confundirse con ello. Otros caracteres como !^()>< etc. son correctos para una contrase帽a.
6. No deje los permisos de configuration.php en 777.
El archivo configuration.php debe ser escribible cuando desee hacer cambios a trav茅s del Administrador de Joomla!. Tan pronto haya terminado sus cambios, regrese los permisos a 644. Si realiza los cambios directamente en el archivo nunca cambie los permisos de 644.
7. Proteja su directorio ‘administrator’ con una contrase帽a.
Esto puede realizarse f谩cilmente usando su cpanel. Solo seleccione 鈥淧roteger Directorio鈥 y seleccione la carpeta聽’administrator’. Esto autom谩ticamente agrega la informaci贸n necesaria al archivo de contrase帽as del servidor y al archivo .htaccess.
8. Utilice FTP seguro cada vez que ingrese a su sitio v铆a FTP.
FelWeb le ofrece OpenSSL. Cuando se conecta usando un FTP no seguro, su contrase帽a y usuario no est谩n protegidos. Cualquiera que monitoree su IP y tenga acceso f谩cil a su computador puede ver f谩cilmente聽su nombre de usuario y contrase帽a. Muchos clientes FTP gratuitos permiten el acceso a trav茅s de SSL (capa segura de conexi贸n).
9. Suscr铆base a los anuncios de seguridad v铆a mail de Joomla!
As铆 recibir谩 una notificaci贸n v铆a mail sobre cada Nuevo parche o arreglo de seguridad.
10. Actualice el sitio con los parches聽de seguridad tan pronto como sea posible.
Algunos arreglos de seguridad son simples cambios en el c贸digo y otros requieren bajar e instalar archivos.
Recuerde que los anunciantes de seguridad, como Secunia, muchas veces contienen enlaces a sitios que reportan vulnerabilidades. Cuando una vulnerabilidad es publicada en alg煤n lugar, todo el mundo puede ver donde se encuentra el fallo. De tal forma que, si los hackers no la han encontrado, los anunciantes estar谩n dando un buena idea de lo que buscar.
11. Asegurar su archivo .htaccess聽de ojos curiosos.
Este es聽un simple paso de seguridad que ayuda a proteger toda su cuenta, no solo la instalaci贸n de Joomla!.
En todos sus archivos .htaccess agrege lo siguiente:
<Files .htaccess> order allow,deny deny from all </Files>
Cambie los permisos de sus archivos a 664 (chmod 644)
Esto se debe realizar en cada .htaccess que utilice.
12. Proteja su directorio ‘administrator’ con SSL.
FelWeb cuenta con mod_ssl y desde el cPanel puede agregar un certificado SSL firmado propiamente por el servidor (self-signed) y utilizarlo en su administrador. Necesita de conocimientos t茅cnicos para implementarlo correctamente.
Puede asegurar que los usuarios que traten de ingresar a la secci贸n administrativa de Joomla! sean forzados a utilizar una conexi贸n con SSL.
Para realizar esto, edite el archivo .htaccess que se encuentra dentro de la carpeta ‘administrator’. Agrege las siguientes l铆neas a su archivo .htaccess:
RewriteEngine On RewriteRule ^/$ /index.php RewriteCond %{SERVER_PORT} !443$ RewriteRule ^(.*) <a href="https://yourhost.com/administrator/$1">https://yourhost.com/administrator/$1</a> [R=301,L]
Esto crea una sesi贸n encriptada antes de que sea solicitado el usuario y contrase帽a del administrador de Joomla!. De tal forma que, si alguien esta realizando un ataque de sniffing contra su servidor con la esperanza de capturar el usuario y la contrase帽a en texto claro, simplemente no podr谩n ver la informaci贸n.
13. Restringir el acceso al directorio ‘administrator’.
Ya hemos tratado como proteger su directorio de administraci贸n mediante una contrase帽a, y tambi茅n hemos dado las pautas de como usar SSL para protegerlo. Si realmente quiere fortalecer m谩s el acceso al Administrador (Back-end), tambi茅n puede usar mod_access a trav茅s de su archivo .htaccess de la carpeta ‘administrator’ para permitir el acceso 煤nicamente a ciertos IP.
Puede agregar alguna protecci贸n incluyendo lo siguiente al archivo .htaccess de su administrador. Este archivo .htaccess se encuentra dentro de la carpeta ‘administrator’. NO REALICE estos cambios en聽el archivo .htaccess de la ra铆z del sitio o bloquear谩 a todos los usuarios, y no podr谩n acceder a su sitio
Si esta usando IP din谩micos (es decir no est谩ticos), puede denegar el acceso a todos menos a una porci贸n del dominio de su proveedor de servicio de Internet (ISP):
Order Deny,Allow Deny from all Allow from tu_isp.com
Esto le dice a mod_access que el acceso solo es permitido desde ’su_isp.com’ lo cual ayuda a bloquear el sitio, PERO incluye la posibilidad de que聽otros tengan acceso a su directorio de administraci贸n聽usando ’su_isp.com’. Usted tiene que tomar la decisi贸n sobre este nivel de riesgo.
Puede bloquear el directorio con cualquier bloque de direcciones IP que su proveedor de Internet le asigne, por ejemplo:
Order Deny,Allow Deny from all Allow from 69.1.0.0/255.255.0.0
Nota: Agregando el bloque de IP con la m谩scara previene problemas con los cambios en su IP din谩mica. Sin un rango de IP, corre el riesgo de ser bloqueado cuando su ISP cambie a IP. De nuevo, permitir el acceso al bloque significa que existe el riesgo de que cualquier persona usando un IP de ese bloque pueda tener acceso a su directorio.
Si est谩 usando IP est谩ticos, solo agrege:
Order Deny,Allow Deny from all Allow from 216.239.37.99
(Donde 216.239.37.99 es su direcci贸n IP est谩tica).
Cuando tiene m谩s de un usuario administrador, simplemente agrege m谩s directivas 鈥淎llow鈥 con sus respectivas direcciones IP.
14. Back-up, Back-up, Back-up!
Toda la seguridad del mundo no le ayudar谩 si un avi贸n se estrella contra el edificio donde se encuentra su servidor. 隆LOS BACKUPS DEBEN TENER UNA ALTA PRIORIDAD! (no tenga en cuenta el orden de cada uno de los ep铆grafes de este art铆culo, ya que no hacen referencia a su prioridad). Nosotros nos encargamos de sus backups diarios en un centro de datos remotos, sin embargo no est谩 de m谩s tener dos, el suyo y el nuestro.
Ciertamente, sabemos que los centros de datos raramente son golpeados por aviones, pero no hace mucho tiempo un centro de datos en Inglaterra fue alcanzado por una explosi贸n de aceite y todos los servidores (y backups) fueron quemados. Los accidentes pueden pasar. Incluso el mantenimiento de un servidor tiene riesgos.
驴Con qu茅 frecuencia se deber铆a realizar el backup? Eso depende de cuanta informaci贸n este dispuesto a perder. Tambi茅n depende de cuanto tiempo est茅 dispuesto a perder en reconstruir su sitio. Para la mayor铆a de sitios, un backup semanal es suficiente. Afortunadamente FelWeb ofrece backup diario en un centro de datos distinto. Esto le asegura no perder todo.
En el caso de que su sitio sea hackeado, es f谩cil restaurlo al 煤ltimo backup seguro. Esto tambi茅n significa que puede comparar los archivos para ver que cuales fueron los cambios realizados por los hackers.
15. H谩gale dif铆cil a los hackers, el encontrar聽su sitio.
Esto ya se ha explicado un poco en los puntos anteriores. Los hackers dedicados no necesitan encontrar su sitio, todo lo que necesitan es escribir un bot y soltarlo en Internet con la esperaza que tarde o temprano el bot encuentre un sitio inseguro que atacar.
No obstante, los hackers casuales y scripts insidiosos pueden tener varias ideas de c贸mo hackear un sitio realizado con Joomla! si pueden identificar claramente聽un objetivo. Sugerencia: Elimine cualquier cosa de la p谩gina p煤blica聽que identifique su sitio como un sitio realizado con Joomla!. Cosas como la informaci贸n del pie de la pagina. Reempl谩zala con su propia informaci贸n. Google muestra 6.88 millones de razones por lo cual es una buena idea: http://www.google.com/search?hl=en&q…re+released%22
Efect煤e una b煤squeda en Google con la sentencia: inurl:administratora 鈥渂ienvenido a Joomla!鈥; y podr谩 ver 18,700 resultados, los cuales no solo le dicen a cualquiera que busque donde se encuentra el directorio de administraci贸n, sino que muchas veces permite ver a cualquiera la versi贸n que est谩 ejecutando.
Texto original: “How do I keep my site safe?”, por聽Mambo Guru.
Traducido por: Equipo de Traducci贸n y Documentaci贸n de Joomla! Spanish.
Adaptado por FelWeb Hosting en Colombia