Proteger accesos

La seguridad en Joomla requiere tiempo y esfuerzo, como en cualquier otro sistema. Joomla es muy seguro, y está en constante actualización. Si embargo, si has trabajado en Joomla durante años, te das cuenta de que son necesarias ciertas medidas. No voy hablar aquí de todo aquello que podemos encontrar en Google sobre seguridad en Joomla, sinó de otros aspectos de la experiencia personal…

Quizás cuando leais ciertos aspectos penseis: «vaya rollo, tener que hacer esto!… menuda lata». Pues si… La seguridad requiere trabajo y no es una cosa que se pueda configurar automáticamente. Muchas de las cosas os parecerán obvias pero… es que la gente no lo hace.

Yo expongo como hago y puede que a algún «avanzado» de Joomla le parezca que no es necesario o incluso una verdadera tontería, pero toda precaución es poca. De todas maneras esperamos vuestros comentarios.

A veces es necesario estar cambiando permisos cada dos por tres en las carpetas… y es ahí por donde empezaremos:

1.- Permisos de las carpetas: de todos es sabido no dejar las carpetas con permisos (CHMOD) que puedan dar entrada a ataques (por ejemplo un CHMOD 777). En este caso solo quiero concretar una cosa, y es el hecho de una vez modificado el permiso para que un componente pueda ejecutarse, probar luego a volver a los permisos seguros (por ejemplo un CHMOD 664). En ocasiones muchos programas se ejecutan con  permisos seguros aunque nos den aviso de que hay que ponerlos en 777. Es decir, tenemos que dedicar tiempo a repasar permisos, poner todos seguros y luego poco a poco si vemos que el programa no funciona ir probando con otros permisos. Ensayo y error amigos!

Y esto es importante aplicarlo también a la carpeta raiz, esa en la que subimos los documentos mediante FTP. En mi caso es «httpdocs» y puede ser tambien «publichtml» (estas son las más usadas)

2.- Acceso desde el front-end (por ejempo galerías de imágenes y subida de documentos): si no es estrictamente necesario no lo hagas. Si tienes tiempo, una web puede subsistir si tu subes los documentos y las imágenes de las Galerías o los componentes de descarga. Evita habilitar la subida desde el frontend a usuarios registrados (y menos a usuarios públicos). Si lo haces, estás dejando una puerta abierta a código malicioso; y no lo digo que lo hagan tus usuarios, pero si ya hay un lugar en donde cualquier experimetado puede acceder Y si decides dejar esa «puerta abierta» procura restringir concienzudamente el tipo de archivos que vas permitir subir.
Y una cosa drástica. Si no necesitas un componente imprescindiblemente, no lo uses. Cuantos más componentes y plugins, mas código y más posibilidades de que encuentren un lugar débil para atacar.

3.- Configuración htaccess: htaccess es una potente herramienta (tienes miles de tutoriales en la red). Debes tener un htacces configurado con los parámetros que trae Joomla, y luego añadir los tuyos propios. Usa nuevamente Google para ver como utilizar este documento a nivel de seguridad. Te muestro texto básico que debes añadir al inicio del htaccess aparte de, como dije, lo que trae Joomla por defecto (en su htaccess de ejemplo).

order allow,deny
deny from all

4.- Modulos o componentes que no uses: todo aquello que no uses elimínalo, aunque lo tengas deshabilitado y no se puede ver en el frontend, un  atacante experimentado puede comprobar si tienes un componente y aprovechar sus bugs aunque esté desactivado. Ten en tu servidor solo aquello que estés usando. Y además así ahorrarás espacio.

5.- Sistemas de seguridad de terceros: yo personalmente NO. Me refiero a esos componentes (la mayoría de pago) que nos aseguran protegernos contra ataques.
A ver, su función pueden hacerla mejor o peor pero mi opinión es que consumen muchos recursos y ralentizan la página. La mayoría usan tablas muy grandes en las Bases de Datos para guardar IPs sospechosas. Esas IPs además deben actualizarse y lo que es peor… a veces nos dan errores inesperados o restringen el sitio a gente «normal». Ya sabemos que eso de las IP asociadas a ciertos usuarios es muy relativo. Muchos además ejecutan en segundo plano scripts que pueden ralentizar e incluso bloquear el propio Joomla. O hacen consultas interminables a la Base de datos, provocando lo mismo que comentamos antes.

6.- Protege el acceso a backend. Por ejemplo mediante una contraseña en tu servidor. En este caso debes estar usando Plesk o CPanel (paneles de control de los servidores) y pones una contraseña para el acceso a esa carpeta (tu dominio/administrator). Es un paso más que un intruso debe pasar. Y no le pongas el mismo usuario y contraseña que tu acceso al backend.

Bueno, con esto, la seguridad del propio Joomla, un poco de precaución y lo que ya está publicado de seguridad en Joomla en la red,  podremos (con suerte) subsistir una larga temporada.

Deja un comentario

Información básica sobre protección de datos Ver más

  • Responsable Lorenzo Lardillier Sanchez.
  • Finalidad  Moderar los comentarios. Responder las consultas.
  • Legitimación Su consentimiento.
  • Destinatarios  htpps://www.unelink.es.
  • Derechos Acceder, rectificar y suprimir los datos.
  • Información Adicional Puede consultar la información detallada en la Política de Privacidad.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Ver Política de cookies
Privacidad