Los 10 principales problemas de seguridad de Joomla (y cómo solucionarlos)

Los diez principales problemas de seguridad de Joomla ... y cómo evitarlos

Los problemas de seguridad de Joomla son siempre un tema candente :) Desafortunadamente, hay algunos errores que se repiten una y otra vez creando problemas de seguridad que pueden evitarse fácilmente. Estos son los problemas: los problemas de seguridad de Joomla y lo que debe hacer para evitarlos. 

Los diez principales problemas de seguridad de joomla y cómo solucionarlos

 

Contenido[Mostrar]

10 problemas de seguridad de Joomla

10. Proveedores de alojamiento económico

Nunca busque el proveedor de alojamiento más barato que pueda encontrar.

Normalmente, los proveedores de alojamiento baratos utilizan servidores compartidos que alojan cientos de otros sitios, algunos de los cuales son sitios con spam de baja calidad que pueden piratearse fácilmente. Dado que normalmente se encuentran en la misma IP, su sitio será lento, estará en un "barrio malo" con una reputación baja y podría verse comprometido si otros sitios son pirateados.

Consulte la lista de proveedores de alojamiento recomendados y aprobados por Joomla de este sitio web para CollectiveRay aquí.

9. Sin copias de seguridad

Asegúrese de tener regular Copias de seguridad de Joomla. En caso de que su sitio sea pirateado o suceda algo, podrá reconstruirlo desde cero. Recomendamos optar por una combinación de copias de seguridad basadas en hosting como las que ofrece InMotion (el host que usamos y en el que confiamos, enlace en el párrafo anterior) y luego usar una extensión de terceros como AkeebaBackup.

8. Omitir el endurecimiento (ajustar la configuración de seguridad) de PHP y proteger Joomla! ajustes

Olvidar o saltear el ajuste de PHP y Joomla! la configuración para una mayor seguridad es un gran no-no.

Hay muchas configuraciones y ajustes pequeños que puede hacer para crear su servidor PHP y Joomla! más seguro y evitar que la mayoría de los problemas de seguridad de Joomla ocurran en primer lugar y evitar todo tipo de problemas de seguridad.

Tenemos una lista de las cosas que debe hacer para "fortalecer" su instalación más adelante en este artículo.

7. Uso de contraseñas débiles o reutilización de contraseñas

Usando el mismo nombre de usuario y contraseña para su cuenta bancaria en línea, Joomla! cuenta de administrador, cuenta de Amazon, cuenta de Yahoo, cuenta de Gmail y en cualquier otro lugar es otro error que debe evitar como la plaga.

Utilice siempre contraseñas seguras que sean diferentes de las de sus otras cuentas.

Recuerde también cambiar siempre el nombre de la cuenta de administrador a otro que no sea "admin". Además, es muy recomendable instalar un complemento como Adminexile que protege a su administrador de backend de intentos de piratería.

6. Instalar y olvidar

Después de instalar su nuevo y hermoso sitio con tecnología Joomla !, revíselo regularmente para asegurarse de que nada haya salido mal.

Muchas cosas pueden salir mal y puede tener todo tipo de problemas de Joomla si no mantiene todos los componentes de sus instalaciones de Joomla.

Te ayudamos a administrar mejor tu Joomla

Joomla

Botón gratuito de libro electrónico de consejos de Joomla

5. No tener un servidor de desarrollo

Todas las actualizaciones e instalaciones de extensiones deben probarse primero en un servidor de desarrollo, antes de realizarse en el sitio en vivo.

Si algo sale mal en el servidor de desarrollo, puede evitar crear el mismo problema en el servidor y se asegurará de que su sitio en vivo se mantenga limpio. Puede usar servidores simples que se pueden instalar localmente, como XAMPP o MAMP.

4. Confiar en todas las extensiones de terceros

Si desea una seguridad óptima de Joomla, solo debe instalar las extensiones mínimas que necesite.

Si puede evitar instalar un módulo de terceros, evítelo. No todas las extensiones de terceros están libres de problemas, y algunas son simplemente horribles, tienen errores y contienen vulnerabilidades.

Cada extensión de terceros es otro componente que puede exponerlo a vulnerabilidades y debe mantenerse actualizado. Tenga cuidado con las extensiones de terceros que instale, preferiblemente elija componentes profesionales de empresas de renombre. 

Por lo general, solo instalamos extensiones de los proveedores más grandes, como RegularLabs, Tassos Marinos, Akeeba, etc.

3. Olvidar mantener su Joomla! sitio actualizado

Después de instalar su nuevo y hermoso sitio con tecnología Joomla !, manténgase al día con las versiones estables y actualice con cada versión estable.

La mayoría de las versiones estables solucionan problemas y vulnerabilidades.

Olvidar actualizar dejará su sitio expuesto a todo tipo de problemas de Joomla. Esto también se aplica a cualquier tercero Joomla extensiones usted instala. Hay una manera de aunque mantenga su Joomla siempre actualizado - es posible que desee echarle un vistazo aquí.

Problemas de seguridad de Joomla: asegúrese de mantener Joomla actualizado2. Falta de información al pedir ayuda

Si su sitio es pirateado / agrietado, vaya a los foros de Joomla y, antes de comenzar a publicar como loco, asegúrese de tener toda la información relevante disponible, como la versión de Joomla que ha instalado, qué versión de extensiones de terceros tiene instalado.

Esta información ayudará a identificar qué pudo haber causado su pirateo y cómo solucionarlo y evitar que vuelva a suceder.

1. Repare cualquier archivo agrietado y olvídelo

Una vez que su sitio ha sido descifrado, arreglar el archivo dañado no es suficiente.

Verifique los registros de su sitio, cambie sus contraseñas antiguas, elimine todo el directorio y vuelva a generarlo a partir de copias de seguridad limpias, ¡y tome todas las medidas de precaución!

Los problemas graves de seguridad de Joomla pueden repetirse si no restaura desde una copia de seguridad limpia porque pueden haber puertas traseras en su instalación, que serán reactactivados por los piratas informáticos una vez que eliminas lo que crees que es el único archivo infectado.

Esta es una versión revisada del Los diez administradores más estúpidos Trucos, sin el sarcasmo y con recomendaciones de cómo solucionar los diez principales problemas de seguridad de Joomla en su lugar :)

Todas las cosas que debe hacer para proteger su sitio web Joomla 

Aunque por defecto Joomla! El equipo de desarrollo central toma grandes medidas para garantizar que haya pocas o ninguna vulnerabilidad en el código, hay una serie de configuraciones que, si no se les presta la debida atención, pueden dejar su sitio web vulnerable a los ataques.

Este artículo le dará una lista de medidas a tomar para asegurar un Joomla! instalación. Todos estos son consejos que usamos en nuestro propio blog de diseño web, CollectiveRay, así que sabemos que funcionan muy bien.

1. Cambie el nombre de Joomla! cuenta de administrador

Este simple paso endurece significativamente su sitio web. nuevamente, si está paranoico, debe usar caracteres aleatorios tanto para el nombre de usuario como para la contraseña del administrador

2. ¡Asegúrese de que su archivo configuration.php no se pueda escribir!

Este paso es fundamental, y un archivo configuration.php que se puede escribir en todo el mundo es una invitación a la piratería.

Puede hacer que esto no se pueda escribir desde dentro de Joomla. Esto es algo que las nuevas versiones de Joomla hacen automáticamente, pero puedes confirmar si hay algún problema con los permisos de archivos visitando Sistema> Información del sistema> Permisos de carpeta. El configuration.php debe estar marcado como No escribible.

3. Intente siempre mantener su instalación de Joomla actualizada a la última versión

Cada actualización de Joomla o nuevas versiones generalmente agrega seguridad al cerrar cualquier agujero de seguridad y exploits, u otras vulnerabilidades descubiertas. Si omite alguna actualización, está dejando ese "agujero" abierto en la seguridad de su sitio y corre el riesgo de ser pirateado.

NUNCA se debe omitir ninguna actualización centrada en la seguridad. Cada actualización se denominará "Mantenimiento" y corrige errores o pequeños problemas y "Seguridad", que normalmente soluciona las vulnerabilidades de seguridad. Las actualizaciones de seguridad deben instalarse de inmediato porque significa que los piratas informáticos ahora conocen la vulnerabilidad y comenzarán a explotarla de inmediato.

4. Actualice a la última versión de PHP.

Si su anfitrión lo permite, cambie a las últimas versiones seguras de PHP.

Cada versión posterior de PHP introduce seguridad adicional (además de mejorar el rendimiento). Desafortunadamente, las versiones anteriores de PHP generalmente no se actualizan, incluso si se encuentran problemas de seguridad.

Esto significa que cualquier problema de seguridad descubierto NO tendrá solución y su sitio estará expuesto a tales vulnerabilidades.

5. Asegúrese de que los permisos de archivo y carpeta sean correctos

Una vez que tenga un sitio estable, debe cambiar todos los permisos de archivo a protegido contra escritura usando CHMOD (644 para archivos, 755 para directorios).

Cualquier buen software de FTP debería permitirle hacer esto sin tener que usar ningún script, o puede hacerlo a través de CPanel o File Explorer.

También puede utilizar la Configuración global para aplicar los permisos predeterminados a todos los archivos y carpetas.

Las versiones anteriores de Joomla utilizan para permitir el cambio directamente desde el Administrador según las instrucciones a continuación, pero las versiones más nuevas de Joomla lo hacen automáticamente. Sin embargo, asegúrese de no cambiarlos usted mismo para solucionar algún otro problema.

Vaya a Sitio> Configuración global> pestaña Servidor. Desplácese hacia abajo hasta encontrar Creación de archivos. Haga clic en CHMOD nuevos archivos en 0644, y en nuevos directorios CHMOD en 0755, y haga clic en la casilla de verificación Aplicar a archivos existentes para ejecutar esta configuración en todos sus archivos actuales. Una vez hecho esto, asegúrese de que el archivo configuration.php aún no se pueda escribir. Si se puede escribir, haga clic en Hacer no escribible después de guardar para que no se pueda escribir

Aplicar permisos mediante un cliente FTP

Puede usar una extensión como eXtplorer que tiene una manera fácil de editar permisos. Le permite hacer esto de forma recursiva, evitando así tener que pasar por todos y cada uno de los directorios. También puede utilizar componentes como Herramientas de administración para Joomla! de Akeeba, que puede comprobar y solucionar estos problemas de forma automática. 

Admin Tools también realiza una serie de otras correcciones de rendimiento y seguridad. Compruébalo aquí.

6. Revise su sitio en busca de vulnerabilidades

Hay una serie de herramientas que prueban su Joomla en busca de archivos corruptos y vulnerables. Por lo general, estos son probadores de penetración que prueban problemas comunes.

También puede utilizar la lista de Extensiones Vulnerables de Joomla. Esta es una lista en vivo de las extensiones que tienen una vulnerabilidad. De vez en cuando (cada mes aproximadamente), debe verificar la lista más reciente para asegurarse de que ninguna de sus extensiones actuales de Joomla esté en la lista.

Si alguna de sus extensiones está en esta lista, asegúrese de actualizarla a la última versión segura (parcheada).

7. Nunca deje archivos adicionales corriendo

Asegúrese de que no haya archivos innecesarios en su servidor web.

Elimine los archivos sobrantes de la instalación. Elimina tu instalación carpeta y cualquier archivo comprimido que haya subido a su servidor web para instalar Joomla! centro. Elimine cualquier componente / módulo / plantilla que no esté utilizando.

Mantenga siempre su sitio lo más sencillo posible. Cualquier archivo adicional podría convertirse en una responsabilidad. 

8. Proteja sus archivos de configuración y directorios sensibles

  • Todos los archivos de configuración no deben colocarse en el directorio HTML público. Es posible que algunos servidores web (por ejemplo, GoDaddy) no le permitan hacer esto, por lo que la siguiente mejor opción es crear un directorio protegido con contraseña utilizando un archivo .htaccess. Si no está seguro de la función del archivo htaccess, es una buena idea leerlo antes de continuar. Cree un directorio, es una buena idea ponerle un nombre aleatorio, por ejemplo ehxum3jq en lugar de config en su Joomla! directorio.
  • Cree un archivo .htaccess para proteger el directorio. Use un generador de .htaccess para ayudarlo a generar el archivo. Según el ejemplo anterior, debería tener un archivo .htaccess similar a este. Recuerde que el directorio que desea proteger es el directorio de inicio (si no está seguro de poder encontrarlo en la ruta absoluta de su archivo configuration.php original) y agregando el nombre del directorio, colocará sus archivos protegidos en, por ejemplo, / home / content / a / b / c / abccompany / html / ehxum3jq /
  • NB: Esto solo proporciona autenticación básica que no ofrece una seguridad rigurosa. En palabras de Apache.org:

La autenticación básica no debe considerarse segura para ninguna definición particularmente rigurosa de seguro.

Aunque la contraseña se almacena en el servidor en un formato cifrado, se pasa del cliente al servidor en texto sin formato a través de la red. Cualquiera que escuche con cualquier variedad de rastreadores de paquetes podrá leer el nombre de usuario y la contraseña en claro a medida que se transmite.

Parámetro para crear archivo .htaccess

Archivo .htaccess y .htpasswd generados

Para ofrecer realmente seguridad, debe enviar la contraseña a través de SSL (donde se cifrará en el camino).

  • Utilice contraseñas o frases de contraseña seguras o caracteres aleatorios para el archivo .htpasswd, que debería ser algo así como este. Puede proteger su directorio aún más mediante el uso de direcciones IP en el archivo .htaccess como se indica en estas preguntas frecuentes
  • Pruebe para asegurarse de que el directorio esté protegido. Coloque un archivo en él e intente acceder, por ejemplo, https://www.yourcompany.com/ehxum3jq/myfile.txt. Se le debe solicitar una contraseña. Proporcionar el nombre de usuario y la contraseña especificados durante la generación debería otorgarle acceso al archivo; de lo contrario, debería obtener un error 401 (Acceso denegado).

Ventana de autenticación básica

  • Use la siguiente Preguntas frecuentes sobre el foro de Joomla para ayudarlo a mover archivos de configuración del HTML público al directorio protegido con contraseña que ha creado. Sin embargo, tenga mucho cuidado cuando actualice el archivo de configuración global, ya que esto sobrescribirá el archivo que ha creado. Proteja contra escritura el archivo configuration.php y cualquier cambio que necesite hágalo manualmente utilizando un cliente FTP. Y agregue la siguiente línea para que cualquier persona que intente acceder al archivo php obtenga un error de "Acceso restringido". Como regla general, todos los archivos PHP de su sitio web deben contener esta línea. Cualquier archivo PHP que no contenga esta línea es un riesgo de seguridad.

 

definido ('_ JEXEC') o morir;

definido ('_VALID_MOS') o morir ('Acceso restringido'); // para versiones anteriores de Joomla

 

9. Mantenga actualizadas las extensiones de terceros

Las extensiones de terceros son una de las mejores cosas de Joomla!

Existe una variedad tan amplia de extensiones que probablemente pueda encontrar algo que ya haya escrito para usted. Sin embargo, las extensiones de fiesta 3D vienen en todas las formas y tamaños y no son monitoreadas por el equipo central.

Esto significa que existe una vulnerabilidad que puede comprometer su instalación. Debe tener mucho cuidado al instalar las extensiones. Supervise la lista de extensiones vulnerables de terceros o que no sean de Joomla. Si instala extensiones, asegúrese de supervisar sus versiones y de seguir sus recomendaciones de seguridad.

Para más información ir a la Joomla! Preguntas frecuentes sobre seguridad.

10. ¡Copia de seguridad! ¡Respaldo! ¡Respaldo!

Incluso si ha tomado TODAS las medidas para asegurarse de que su sitio web sea 100% seguro, las vulnerabilidades aún pueden acechar, esperando ser encontradas y explotadas. Si su sitio es pirateado, DEBE asegurarse de que vuelva a estar en línea lo antes posible con la menor pérdida de contenido posible. Para ello, debe asegurarse de tener copias de seguridad que funcionen bien (diariamente o con mayor frecuencia según surja la necesidad).

AkeebaBackup es un componente de código abierto para Joomla! CMS que permite respaldos completos del sitio (archivos y base de datos). Le permite crear copias de seguridad completas y tiene una funcionalidad completa para restaurar su sitio si las cosas salen mal.

¿Algún otro consejo de seguridad de Joomla?

Eso es por ahora. Si tiene más sugerencias de seguridad de Joomla, nos encantaría escucharlas en los comentarios a continuación.

Sobre el autor
David Attard
Autor: David AttardPagina Web: https://www.linkedin.com/in/dattard/
David ha estado trabajando en o alrededor de la industria digital / en línea durante los últimos 18 años. Tiene una vasta experiencia en las industrias de software y diseño web utilizando WordPress, Joomla y los nichos que los rodean. Como consultor digital, su enfoque es ayudar a las empresas a obtener una ventaja competitiva utilizando una combinación de su sitio web y plataformas digitales disponibles en la actualidad.

Una cosa más... ¿Sabías que las personas que comparten cosas útiles como esta publicación también se ven IMPRESIONANTES? ;-)
Por favor deja un eficiente Comente con sus pensamientos, luego comparta esto en su (s) grupo (s) de Facebook que lo encontrarán útil y cosechemos los beneficios juntos. ¡Gracias por compartir y ser amable!

Divulgación: Esta página puede contener enlaces a sitios externos para productos que amamos y recomendamos de todo corazón. Si compra productos que le sugerimos, es posible que ganemos una tarifa de referencia. Tales tarifas no influyen en nuestras recomendaciones y no aceptamos pagos por reseñas positivas.

 

¿quienes somos?

CollectiveRay está dirigido por David Attard: trabajando en y alrededor del nicho del diseño web durante más de 12 años, brindamos consejos prácticos para las personas que trabajan con y en sitios web. También ejecutamos DronesBuy.net, un sitio web para aficionados a los drones.

David attard

 

 

Autor (es) destacado en:  Logotipo de la revista Inc   Logotipo de Sitepoint   Logotipo de CSS Tricks    logotipo de webdesignerdepot   Logotipo de WPMU DEV   y muchos más ...