joomla
Páginas: 12 (2760 palabras)
Publicado: 10 de junio de 2013
Checklist de seguridad básica en Joomla!
A continuación encontraremos una serie de items fundamentales que tenemos que observar a la hora de implementar Joomla en un ambiente seguro. Es apenas un listado, que a buen seguro servirá de mucha utilidad, sin embargo, si se desea obtener mayores explicaciones, recordamos que está disponible el hangoutdonde el equipo de #joomlaIO ofreció muchos otrosdetalles, consejos y guías para implementación de estos items de seguridad.
Primeros pasos / Seguridad en el core de Joomla!:
Descargar desde joomla.org o sitios de absoluta confianza
Comprobar que estamos instalando la última versión estable de Joomla!
Comprobar que no estamos utilizando el nombre de superusuario por defecto (admin)
No establecer la contraseña de FTP (establecerlaconstituiría una vulneración de la seguridad)
Activar el fichero .htaccess en servidores Linux (para ello debemos renombrar el fichero htacess.txt a .htaccess). Podemos ampliar la seguridad con docs.joomla.org Htaccess_examples_(security)
Habilitar las URLs amigables para los motores de búsqueda (SEF)
Comprobar que la duración de la sesión no excede de 15 minutos
Eliminar plantillas que no seannecesarias
Comprobar que los permisos de directorios están en 755 y los permisos de archivos en 644
Utilizar un usuario de base de datos para la configuración de Joomla que no tenga acceso externo a la misma
Primeros pasos / Seguridad durante la instalación y mantenimiento de las extensiones Joomla!:
Realizar un backup de la estructura FTP y la base de datos antes de instalar cualquier extensión.UtilizarAkeeba Backup / Admin Tools
Descargar extensiones solo de sitios de confianza extensions.joomla.org
Comprobar que las extensiones que instalamos son la última versión estable disponible
Eliminar las extensiones que no vayan a ser utilizadas y no formen parte del CORE (conviene revisar manualmente que los directorios y archivos asociados a la extensión se han borrado correctamente)Configuración del servidor / Directivas de PHP:
Comprobar que register_globals está desactivada
Comprobar que allow_url_fopen está desactivada
Comprobar que allow_url_include está desactivada
Comprobar que open_basedir está activada y las rutas asociadas (esta directiva limita los archivos que se pueden abrir por PHP al árbol de directorios especificado)
Comprobar que están desactivadasshow_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Comprobar que safe_mode está desactivado
Configuración del servidor / Estructura de archivos:
Comprobar que las carpetas del sitio están en 755
Comprobar que los archivos del sitio están en 644
Comprobar que no existen ficheros en la carpeta temporal /tmp
Configuración del servidor / Protección de archivos y carpetascríticas:
Para obtener una mejor protección del sitio web en Joomla, es conveniente sacar fuera de la estructura httpdocs el fichero configuration.php , para ello debemos modificar los siguientes archivos:
Motivo:Sacar fuera de la estructura httpdocs el fichero configuration.php y definir la ruta en la constante para que el fichero sea accesible por Joomla!
Ruta de los ficheros a modificar:/includes/defines.php y /administrator/includes/defines.php Línea de código a modificar: define('JPATH_CONFIGURATION', JPATH_ROOT);
Extensiones recomendadas para mejorar la seguridad de Joomla
Hay varias extensiones que nos permiten añadir una capa extra de protección en Joomla! muchas de ellas son muy conocidas, algunas no tanto. Nombramos algunas de ellas con una pequeña descripción.
RSFirewall RSFirewall es una extensión que todos deberían usar. Correctamente configurada nos alertará de los intentos de intrusión en el sitio y nos permitirá realizar acciones como la denegación de IPs, o definir las ubicaciones desde la que se podrá acceder al backend, entre muchas otras funciones.
Admin Tools
Una navaja suiza para la administración del sitio web en Joomla. Verificar y corregir los...
A continuación encontraremos una serie de items fundamentales que tenemos que observar a la hora de implementar Joomla en un ambiente seguro. Es apenas un listado, que a buen seguro servirá de mucha utilidad, sin embargo, si se desea obtener mayores explicaciones, recordamos que está disponible el hangoutdonde el equipo de #joomlaIO ofreció muchos otrosdetalles, consejos y guías para implementación de estos items de seguridad.
Primeros pasos / Seguridad en el core de Joomla!:
Descargar desde joomla.org o sitios de absoluta confianza
Comprobar que estamos instalando la última versión estable de Joomla!
Comprobar que no estamos utilizando el nombre de superusuario por defecto (admin)
No establecer la contraseña de FTP (establecerlaconstituiría una vulneración de la seguridad)
Activar el fichero .htaccess en servidores Linux (para ello debemos renombrar el fichero htacess.txt a .htaccess). Podemos ampliar la seguridad con docs.joomla.org Htaccess_examples_(security)
Habilitar las URLs amigables para los motores de búsqueda (SEF)
Comprobar que la duración de la sesión no excede de 15 minutos
Eliminar plantillas que no seannecesarias
Comprobar que los permisos de directorios están en 755 y los permisos de archivos en 644
Utilizar un usuario de base de datos para la configuración de Joomla que no tenga acceso externo a la misma
Primeros pasos / Seguridad durante la instalación y mantenimiento de las extensiones Joomla!:
Realizar un backup de la estructura FTP y la base de datos antes de instalar cualquier extensión.UtilizarAkeeba Backup / Admin Tools
Descargar extensiones solo de sitios de confianza extensions.joomla.org
Comprobar que las extensiones que instalamos son la última versión estable disponible
Eliminar las extensiones que no vayan a ser utilizadas y no formen parte del CORE (conviene revisar manualmente que los directorios y archivos asociados a la extensión se han borrado correctamente)Configuración del servidor / Directivas de PHP:
Comprobar que register_globals está desactivada
Comprobar que allow_url_fopen está desactivada
Comprobar que allow_url_include está desactivada
Comprobar que open_basedir está activada y las rutas asociadas (esta directiva limita los archivos que se pueden abrir por PHP al árbol de directorios especificado)
Comprobar que están desactivadasshow_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Comprobar que safe_mode está desactivado
Configuración del servidor / Estructura de archivos:
Comprobar que las carpetas del sitio están en 755
Comprobar que los archivos del sitio están en 644
Comprobar que no existen ficheros en la carpeta temporal /tmp
Configuración del servidor / Protección de archivos y carpetascríticas:
Para obtener una mejor protección del sitio web en Joomla, es conveniente sacar fuera de la estructura httpdocs el fichero configuration.php , para ello debemos modificar los siguientes archivos:
Motivo:Sacar fuera de la estructura httpdocs el fichero configuration.php y definir la ruta en la constante para que el fichero sea accesible por Joomla!
Ruta de los ficheros a modificar:/includes/defines.php y /administrator/includes/defines.php Línea de código a modificar: define('JPATH_CONFIGURATION', JPATH_ROOT);
Extensiones recomendadas para mejorar la seguridad de Joomla
Hay varias extensiones que nos permiten añadir una capa extra de protección en Joomla! muchas de ellas son muy conocidas, algunas no tanto. Nombramos algunas de ellas con una pequeña descripción.
RSFirewall RSFirewall es una extensión que todos deberían usar. Correctamente configurada nos alertará de los intentos de intrusión en el sitio y nos permitirá realizar acciones como la denegación de IPs, o definir las ubicaciones desde la que se podrá acceder al backend, entre muchas otras funciones.
Admin Tools
Una navaja suiza para la administración del sitio web en Joomla. Verificar y corregir los...
Leer documento completo
Regístrate para leer el documento completo.