Seguridad Cms
Páginas: 8 (1896 palabras)
Publicado: 22 de septiembre de 2011
Centro de Ayuda Joomla! Spanish
Medidas de Seguridad en Joomla!
{mosgoogle left} Consideraciones generales e ISPs - Cambie sus passwords regularmente y no use siempre los mismos. Utilice una combinación aleatoria de letras, números, o símbolos y evite usar nombres o palabras que puedan ser encontradas en un diccionario. Nunca utilice los nombres de sus parientes, mascotas, etc. - Si ustedesta usando un servicio compartido de hosting en su proveedor, asegurese de que ningún otro usuario en el servidor pueda ver o accedes a los archivos de su sitio, por ejemplo a través de cuentas shell, cpanels, etc. - Nunca dependa de los backups de otro. Hágase responsable personalmente de respaldar regularmente los archivos de su sitio y su base de datos. Muchos ISPs expresan en sus contratos queusted no puede confiar únicamente en los backups que hace el proveedor de hosting. - Utilice un sistema de Prevención/Detección de intrusos para bloquear/alertar sobre solicitudes HTTP maliciosas. Ejemplo de búsqueda en Google (Intrusión+Prevención) Servidores de desarrollo - Configure un servidor local de desarrollo, y realice allí todas las actualizaciones y testeos. Los amigos de Apache proveena XAAMP, un instalador de aplicaciones LAMP fácil de usar y gratuito que trabaja en muchos sistemas operativos, incluyendo GNU/Linux y Windows. - Algunos ISPs particulares ofertas de servidores de desarrollo y backups. Post: Como escoger un servidor un servidor compartido de calidad. HTTP Server (Apache, etc.) - PHP, MySQL y muchos otros componentes base fueron originalmente diseñados para, ygeneralmente funcionan mejor en, servidores Apache. Evite usar otros servidores si es posible. - Utilice archivos .htaccess para bloquear intentos de exploits. Puede encontrar un muy buen y pequeño tutorial en Post: Cómo proteger un sitio utilizando .htaccess y mod_rewrite - Regularmente revise los registros de acceso en busca de actividad sospechosa. No confie en sumarios y graficas. Revise los "rawlogs" (registros en crudo) para detalles mas reales. - Configure los filtros de Apache mod_security y mod_rewrite para que bloqueen ataques PHP. MySQL - Asegurese de que la cuenta MySQL de Joomla! esta configurada con acceso limitado. Este consciente de que la instalación inicial de MySQL es insegura. Una cuidadosa configuración manual es requerida luego de la instalación. Ver Documentación MySQL- En un servidor compartido, si usted puede ver los nombres de las bases de datos de otros usuarios, entonces puede estar bastante seguro de que ellos ven las suyas. Si ellos pueden ver las bases de datos que usted posea, ellos están innecesariamente un paso más cerca de entrar. Un buen ISP limitara estrictamente el acceso de cada usuario a sus propias bases de datos. PHP - Antes que nada PHP 4 yano es mantenido activamente, actualice su código PHP a PHP 5. - Aplique todos los parches necesarios para PHP y para aplicaciones basadas en PHP. - Se recomienda un frecuente escaneo wen en ámbitos donde un gran numero de aplicaciones PHP están en uso. - Utilice herramientas como Paros Proxy para realizar pruebas automáticas de SQL Injection en contra de sus aplicaciones PHP. - Siga el principiode "Least Privilege" (El menor privilegio) para correr PHP usando herramientas como PHPsuExec, php_suexec o suPHP desde suPHP. php.ini - Estudie la lista oficial de directivas php.ini en www.php.net. Lista de directivas php.ini - Configure register_globals OFF. Esta directiva determina si registrar o no las variables EGPCS (Environment, GET, POST, Cookie, Server) como variables globales. Post:Seguridad con php.ini - Use disable_functions para desactivar peligrosas funciones PHP que no son necesarias para su sitio. - Desactive allow_url_fopen. Esta opción activa las URL-aware fopen wrappers que permite el acceso a los objetos URL como archivos. Los wrappers (envolturas) son proveidos para el acceso de archivos remotos usando el ftp o el protocolo http, algunas extensiones como zlib son...
Medidas de Seguridad en Joomla!
{mosgoogle left} Consideraciones generales e ISPs - Cambie sus passwords regularmente y no use siempre los mismos. Utilice una combinación aleatoria de letras, números, o símbolos y evite usar nombres o palabras que puedan ser encontradas en un diccionario. Nunca utilice los nombres de sus parientes, mascotas, etc. - Si ustedesta usando un servicio compartido de hosting en su proveedor, asegurese de que ningún otro usuario en el servidor pueda ver o accedes a los archivos de su sitio, por ejemplo a través de cuentas shell, cpanels, etc. - Nunca dependa de los backups de otro. Hágase responsable personalmente de respaldar regularmente los archivos de su sitio y su base de datos. Muchos ISPs expresan en sus contratos queusted no puede confiar únicamente en los backups que hace el proveedor de hosting. - Utilice un sistema de Prevención/Detección de intrusos para bloquear/alertar sobre solicitudes HTTP maliciosas. Ejemplo de búsqueda en Google (Intrusión+Prevención) Servidores de desarrollo - Configure un servidor local de desarrollo, y realice allí todas las actualizaciones y testeos. Los amigos de Apache proveena XAAMP, un instalador de aplicaciones LAMP fácil de usar y gratuito que trabaja en muchos sistemas operativos, incluyendo GNU/Linux y Windows. - Algunos ISPs particulares ofertas de servidores de desarrollo y backups. Post: Como escoger un servidor un servidor compartido de calidad. HTTP Server (Apache, etc.) - PHP, MySQL y muchos otros componentes base fueron originalmente diseñados para, ygeneralmente funcionan mejor en, servidores Apache. Evite usar otros servidores si es posible. - Utilice archivos .htaccess para bloquear intentos de exploits. Puede encontrar un muy buen y pequeño tutorial en Post: Cómo proteger un sitio utilizando .htaccess y mod_rewrite - Regularmente revise los registros de acceso en busca de actividad sospechosa. No confie en sumarios y graficas. Revise los "rawlogs" (registros en crudo) para detalles mas reales. - Configure los filtros de Apache mod_security y mod_rewrite para que bloqueen ataques PHP. MySQL - Asegurese de que la cuenta MySQL de Joomla! esta configurada con acceso limitado. Este consciente de que la instalación inicial de MySQL es insegura. Una cuidadosa configuración manual es requerida luego de la instalación. Ver Documentación MySQL- En un servidor compartido, si usted puede ver los nombres de las bases de datos de otros usuarios, entonces puede estar bastante seguro de que ellos ven las suyas. Si ellos pueden ver las bases de datos que usted posea, ellos están innecesariamente un paso más cerca de entrar. Un buen ISP limitara estrictamente el acceso de cada usuario a sus propias bases de datos. PHP - Antes que nada PHP 4 yano es mantenido activamente, actualice su código PHP a PHP 5. - Aplique todos los parches necesarios para PHP y para aplicaciones basadas en PHP. - Se recomienda un frecuente escaneo wen en ámbitos donde un gran numero de aplicaciones PHP están en uso. - Utilice herramientas como Paros Proxy para realizar pruebas automáticas de SQL Injection en contra de sus aplicaciones PHP. - Siga el principiode "Least Privilege" (El menor privilegio) para correr PHP usando herramientas como PHPsuExec, php_suexec o suPHP desde suPHP. php.ini - Estudie la lista oficial de directivas php.ini en www.php.net. Lista de directivas php.ini - Configure register_globals OFF. Esta directiva determina si registrar o no las variables EGPCS (Environment, GET, POST, Cookie, Server) como variables globales. Post:Seguridad con php.ini - Use disable_functions para desactivar peligrosas funciones PHP que no son necesarias para su sitio. - Desactive allow_url_fopen. Esta opción activa las URL-aware fopen wrappers que permite el acceso a los objetos URL como archivos. Los wrappers (envolturas) son proveidos para el acceso de archivos remotos usando el ftp o el protocolo http, algunas extensiones como zlib son...
Leer documento completo
Regístrate para leer el documento completo.