En contrapartida al artículo que escribimos hace unos días sobre las 10 mayores estupideces que un administrador de Joomla! puede cometer, estos trucos para Joomla! 2.5 pretenden ser una referencia en la seguridad de una web construida con el CMS (gestor de contenidos) de Joomla!, explicando 10 trucos para los administradores menos experimentados.
1.- Mantenga Joomla! 2.5 actualizado
Es increíble la cantidad de sitios que no poseen la última versión del gestor de contenidos Joomla!, siendo ésta gratuita, de fácil acceso, y fácilmente instalable.
Las vulnerabilidades de Joomla! se exponen abiertamente por grupos de hackers que ayudan a la seguridad de Joomla!. Además el código de Joomla! es abierto (Open Source), lo que significa que cualquier persona con ciertos conocimientos informáticos puede revisar y explotar estas vulnerabilidades para romper (crackear) una web.
Los administradores de Joomla! que no son informáticos (usuarios con niveles bajos e incluso medios) no son conscientes del peligro de no tener Joomla! actualizado hasta que les crackean la web y, es por ello, por lo que hay cientos de sitios que se crackean al día.
Mantenga al día su gestor de contenidos Joomla! 2.5. Puede controlar las nuevas versiones en su panel de administración de Joomla! 2.5 (vea las nuevas funcionalidades de Joomla! 2.5) o puede visitar el control de versiones de NetandSoftware.
2.- Mantenga actualizada cualquier extensión que tenga instalada en Joomla! 2.5
Las vulnerabilidades de las páginas web creadas con Joomla! no terminan en el código de Joomla!, si no que además las extensiones poseen igualmente código abierto.
Esto significa que todas y cada una de las extensiones que tiene instaladas en Joomla! deben ser actualizadas cada vez que salga una nueva versión de esa extensión.
Para controlar eficazmente las versiones de las extensiones en su Joomla! tiene una opción nueva en el panel de control de Joomla! 2.5 en la cual le avisa de las actualizaciones pendientes. Es una nueva funcionalidad de Joomla! 2.5 para la seguridad de su web.
3.- No utilice el usuario admin por defecto, cámbielo por otro
Es muy fácil intuir que la gran mayoría de los usuarios noveles que instalan Joomla! lo hacen con todas sus funcionalidades por defecto.
Los atacantes de webs saben que el usuario de administración por defecto en Joomla! es admin, por lo que tienen una puerta abierta a realizar ataques por fuerza bruta.
Así que obviemos la opción por defecto y utilicemos un nombre de usuario diferente a admin y que no sea predictivo, es decir, que no sea un nombre fácil de sacar o intuir: el mismo nombre del dominio, el nombre del propietario en Whois, etc.
4.- Proteja su zona de administración con contraseñas mediante el servidor
La mejor forma de proteger la zona más vulnerable de su web (la zona de administración), es protegiéndola doblemente con un usuario y contraseña a través de Apache (htaccess).
En la mayoría de las ocasiones su proveedor de hosting le facilitará alguna herramienta para proteger directorios en el servidor, con la cual llevar a cabo la protección del directorio administrator. En cPanel o en Plesk hay herramientas específicas para ello. Consulte los manuales o la FAQ de su servidor para esto.
5.- Uso de contraseñas fuertes y diferentes para cada cosa (le enseñamos como se crea una serie de contraseñas adecuadas de forma fácil)
El uso de contraseñas diferentes para cada protección en la web es realmente importante para la seguridad de cualquier web, aunque se extrapola para cualquier tema informático.
Las contraseñas fuertes son aquellas que cumplen las siguientes condiciones:
- deben ser de, al menos, 8 caracteres, siendo 12 lo correcto;
- deben estar compuestas por letras (mayúsculas y minúsculas) y números, entremezclados;
- deben contener caracteres especiales permitidos (!,@,&, #, $, -, _, *, ?);
- no deben repetirse con mucha frecuencia un mismo caracter;
- no deben contener palabras del diccionario español o inglés;
- no deben contener palabras que relaciones tu dominio;
- no deben tener palabras que pertenezcan al nombre de dominio.
Para construir una contraseña múltiple pondremos un ejemplo.
Para ello, primero contruiremos una contraseña sencilla, por ejemplo: uh9d#Aq8?b
La contraseña anterior tiene 10 caracteres que deberemos memorizar. Será lo único que memoricemos. Pero la contraseña múltiple (que sirve para muchos sitios), no está terminada. Ahora en la posición 3ª, 8ª y 9ª (por poner un ejemplo), vamos a introducir unos nuevos caracteres que siempre dependerán de dónde queramos usar la contraseña.
Supongamos que vamos a meter una contraseña para un email que es Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..
Si tenemos una regla en la que en la 3ª posición de nuestra contraseña (uhn9Jd#Aq8?b) metamos la primera letra del email nEsta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.; en la 8ª posición (uhn9Jd#Adq8?b) la primera letra del dominio del email nombre@dominio.com; y en la 9ª posición (uhn9Jd#AdCq8?b) la letra de la extensión en mayúsculas nombre@dominio.com
Así para este otro email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. tendríamos la contraseña uhn9Jd#AdEq8?b
Si en vez de contraseñas para emails es para darnos de alta en algún sitio web podemos tener una regla similar, la posición 3ª para la primera letras del dominio, la 8ª posición para la última letra del dominio y para la 9ª posición la primera letra de la extensión en mayúsculas.
Por ejemplo, para netandsoftware.es, usaríamos la contraseña uhn9J#AeEq8?b
Otro ejemplo, para joomla.org, usaríamos la contraseña uhj9J#AaOq8?b
6.- No instale más extensiones de las que necesite y obténgalas siempre del sitio oficial
Es tan importante no instalar extensiones de más, como instalar las versiones oficiales de las extensiones.
El hecho de instalar extensiones de más, abre la posibilidad de tener más vulnerabilidades en la web. Tenga las justas para que su web haga todo lo que quiera, ninguna más.
No baje extensiones de redes P2P y similares. Si tiene un sitio oficial de dónde descargar las extensiones, no use otros ficheros de instalación que pueden haber sido manupulados por terceros. Sus amigos o usuarios con los que comparte descargas no tienen ni si quiera porqué saber que los ficheros que comparten poseen virus o código malicioso incrustado. Esto es una fuente que le puede hacer perder el control de su web.
7.- Permisos adecuados siempre en ficheros y directorios
Es importantísimo que todos los ficheros y directorios de su web tengan los permisos adecuados. Si da permisos de más en los directorios (tipo 777) permitirá la escritura y ejecución en ess directorios del servidor, lo que lo hace realmente peligroso. Si se hace en archivos, la visibilidad de ficheros como el configuration.php puede realmente perder el control total de la web.
Los archivos de Joomla! deben tener permisos 644 y los directorio 755.
8.- Mantenga al día su sistema operativo, y todas las actualizaciones de su distribución (si usa un servidor virtual o dedicado).
Si usted no es un administrador de sistemas, o un informático dedicado, le recomendamos que use un hosting para no preocuparse de actualizaciones de seguridad del sistema operativo. Contrate siempre un servidor de calidad, que le ofrezca garantías.
Tenga en cuenta que un servidor virtual es más complejo pero ofrece muchas ventajas frente a un hosting siempre que sepa como usarlo.
9.- No use FTP, use SSH y comandos seguros
El sistema FTP (File Transfer Protocol) es un protocolo bastante inseguro que puede dejar una puerta abierta al control de toda la web.
Recomendamos que use otro tipo de protocolos más seguros como SSH (Secure Shell) o SFTP, para la transferencia de ficheros entre su ordenador y el servidor.
10.- Si puede, ajuste el Firewall, el .htaccess, el PHP y el propio Joomla! para obtener la máxima seguridad
No se quede en los ajustes predeterminados. El firewall puede configurarlo de manera óptima; con el .htaccess puede restringir o banear IPs que intentan accesos, al igual que proteger directorio o personalizar respuestas 404 del servidor; con el php.ini puede restringir la subida de ficheros al servidor, prohibir extensiones especiales, limitar los megabytes de subida, etc.; con Joomla! puedes activar el SEO, usar la reescritura de URLs, activar la compresión, etc.
