7 pasos para Proteger accesos de una web

La seguridad para proteger accesos en Joomla requiere tiempo y esfuerzo, como en cualquier otro sistema. Joomla es muy seguro, y está en constante actualización. Si embargo, si has trabajado en Joomla durante años, te das cuenta de que son necesarias ciertas medidas. No voy hablar aquí de todo aquello que podemos encontrar en Google sobre seguridad en Joomla, sinó de otros aspectos de la experiencia personal…

Quizás cuando leais ciertos aspectos penseis: «vaya rollo, tener que hacer esto!… menuda lata». Pues si… La seguridad requiere trabajo y no es una cosa que se pueda configurar automáticamente. Muchas de las cosas os parecerán obvias pero… es que la gente no lo hace.

Yo expongo como hago y puede que a algún «avanzado» de Joomla le parezca que no es necesario o incluso una verdadera tontería, pero toda precaución es poca. De todas maneras esperamos vuestros comentarios.

A veces es necesario estar cambiando permisos cada dos por tres en las carpetas… y es ahí por donde empezaremos:

1.- Permisos de las carpetas para proteger accesos

De todos es sabido no dejar las carpetas con permisos (CHMOD) que puedan dar entrada a ataques (por ejemplo un CHMOD 777). En este caso solo quiero concretar una cosa, y es el hecho de una vez modificado el permiso para que un componente pueda ejecutarse, probar luego a volver a los permisos seguros (por ejemplo un CHMOD 755). En ocasiones muchos programas se ejecutan con  permisos seguros aunque nos den aviso de que hay que ponerlos en 777.

Para los archivos el permiso es CHMOD 644 y para archivos sensibles como el de configuration.php, lo ideal es que una vez hemos instalado nuestro joomla, le pongamos CHMOD 444 para proteger accesos.

Es decir, tenemos que dedicar tiempo a repasar permisos, poner todos seguros y luego poco a poco si vemos que el programa no funciona ir probando con otros permisos para proteger accesos. Ensayo y error amigos!

Y esto es importante aplicarlo también a la carpeta raiz, esa en la que subimos los documentos mediante FTP. En mi caso es «httpdocs» y puede ser tambien «public_html» (estas son las más usadas).

Para cambiar los permisos de acceso CHMOD se suele utilizar un cliente FTP, como el Filezilla.

Acceder al cambio de los permisos CHMOD

Filezilla

Cambiar Permisos para proteger accesos

Cambiar permisos CHMOD

2.- Acceso desde el front-end (por ejempo galerías de imágenes y subida de documentos)

Si no es estrictamente necesario no lo hagas. Si tienes tiempo, una web puede subsistir si tu subes los documentos y las imágenes de las Galerías o los componentes de descarga.

Evita habilitar la subida desde el frontend a usuarios registrados (y menos a usuarios públicos). Si lo haces, estás dejando una puerta abierta a código malicioso, y no lo digo que lo hagan tus usuarios, pero si ya hay un lugar en donde cualquier experimentado puede acceder.

Y si decides dejar esa «puerta abierta» procura restringir concienzudamente el tipo de archivos que vas permitir subir.
Y una cosa drástica… Si no necesitas un componente imprescindiblemente, no lo uses. Cuantos más componentes y plugins, mas código y más posibilidades de que encuentren un lugar débil para atacar.

3.- Configuración .htaccess

.Htaccess es una potente herramienta con miles de tutoriales en la red. Debes tener un .htacces configurado con los parámetros que trae Joomla, y luego añadir los tuyos propios. Usa nuevamente Google para ver como utilizar este documento a nivel de seguridad. Te muestro texto básico que debes añadir al inicio del htaccess aparte de, como dije, lo que trae Joomla por defecto (en su htaccess de ejemplo).

order allow,deny
deny from all

Como añadido, seguramente al instalar su joomla, vean el archivo htaccess, pero como archivo txt de texto, htaccess.txt y para que el archivo sea el correcto para que realize sus funciones, debemos cambiarlo por .htaccess (Punto htaccess) sin la extensión txt.

4.- Módulos o Componentes que no uses

Todo aquello que no uses elimínalo, aunque lo tengas deshabilitado y no se puede ver en el frontend, un  atacante experimentado puede comprobar si tienes un componente y aprovechar sus bugs aunque esté desactivado. Ten en tu servidor solo aquello que estés usando. Y además así ahorrarás espacio.

5.- Sistemas de seguridad de terceros: yo personalmente NO. Me refiero a esos componentes (la mayoría de pago) que nos aseguran protegernos contra ataques.

A ver, su función pueden hacerla mejor o peor pero mi opinión es que consumen muchos recursos y ralentizan la página. La mayoría usan tablas muy grandes en las Bases de Datos para guardar IPs sospechosas. Esas IPs además deben actualizarse y lo que es peor… a veces nos dan errores inesperados o restringen el sitio a gente «normal».

Ya sabemos que eso de las IP asociadas a ciertos usuarios es muy relativo. Muchos además ejecutan en segundo plano scripts que pueden ralentizar e incluso bloquear el propio Joomla. O hacen consultas interminables a la Base de datos, provocando lo mismo que comentamos antes.

6.- Protege el acceso a backend.

Por ejemplo mediante una contraseña en tu servidor. En este caso debes estar usando Plesk o CPanel (paneles de control de los servidores) y pones una contraseña para el acceso a esa carpeta (tu dominio/administrator). Es un paso más que un intruso debe pasar. Y no le pongas el mismo usuario y contraseña que tu acceso al backend.

7.- Contraseñas

Las claves o contraseñas para proteger accesos como el de la administración de tu web, NUNCA puede ser una palabra simple conocida, o una fecha de nacimiento, sobre todo si trabajas con gente conocida que al mismo tiempo te conocen y saben cosas de ti, de las conversaciones que se mantienen con café o una cerveza.

Programas como John the Ripper es capaz de detectar el tipo de cifrado de entre muchos disponibles a traves de su libreria, y se puede personalizar su algoritmo de prueba de contraseñas. Se usa a modo de Fuerza bruta, termino que se usa para la técnica que emplea dicho programa.

Bueno, con esto, la seguridad del propio Joomla, un poco de precaución y lo que ya está publicado de seguridad en Joomla en la red,  podremos (con suerte) subsistir una larga temporada.

¡ Pide Presupuesto GRATIS ! – Rellenar el formulario solo te llevara 30″ segundos.

No es obligatorio, es simple cortesía para saber como dirigirnos a la persona que envío el formulario.
Por favor añada su email corercto para que podamos ponernos en contacto.
Indique aquí la dirección de la web en cuestión
Escriba aquí cual es son sus preferencias, si es que las tiene, a nivel de SEGURIDAD, para que nos hagamos una idea del alcance de sus preocupaciones.

Deja un comentario

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad