Centro de Ayuda Joomla!

Spanish

Cmo Mantener Seguro un Sitio Joomla!?

1. Lo ms importante. Usar un host web confiable, con un buen soporte de registros. Asegurarse que el host mantenga su servidor lo ms seguro posible y que los scripts bsicos del servidor (PHP, MySQL, paneles de control, phpMyAdmin, etc.) estn actualizados a las ltimas versiones estables. Algunos hosts actualizan a versiones beta y RC. Estas son actualizaciones previas a las versiones estables, lo cual significa la posibilidad de que existan fallos y vulnerabilidades. Recuerde, que si su espacio de servidor es vulnerable, los hackers podrn entrar. Muchas brechas de seguridad que han sido descritas, no tienen nada que ver con Joomla! y estn relacionadas con otros programas que se estn ejecutando en el servidor. 2. Asegurarse de eliminar el directorio de instalacin. Joomla! le recuerda que elimine el directorio de instalacin una vez que la instalacin est completa. Si no elimina el directorio de instalacin, no podr utilizar Joomla!, ya que de otro modo su sitio sera vulnerable (cualquiera podra entrar y utilizarlo). 3. Register_Globals=OFF. La caracterstica Register_Globals=ON ha sido desaprobada en PHP. Esta es la fuente de muchos ataques a servidores. Joomla! no necesita register_globals=ON, pero algunas extensiones s. Pregunte a su proveedor de hosting para hacer el cambio de su servidor a register_globals=OFF. Esto protege no solo su instalacin de Joomla!, sino a todo script que se ejecute en su servidor y que pueda ser afectado por las globales. Si su host no hace el cambio para desactivarlas, existe una forma en que usted mismo puede hacerlo. Consulte el artculo 'Gua de Manejo de Archivos .htaccess'. Si est usando un componente, mdulo o cualquier cosa que necesite register_globals=ON, contacte con el desarrollador y pregntele si lo va a modificar, o si es existe algn parche para esto. Si no existe un parche disponible, considere si realmente necesita usar esa extensin de Joomla! y si no existe una alternativa ms segura. 4. Cuando la instalacin est completa, elimine el archivo configuration.php-dist. El archivo configuration.php-dist no es necesario tras la instalacin. Sin embargo es tenido en cuenta por los motores de bsqueda. Google actualmente dirige 12,600 enlaces hacia configuration.php-dist. Si quiere anunciar que su sitio es Joomla!, simplemente djalo all, los hackers se lo agradecern por hacerles saber donde encontrarlo. 5. Si posee los conocimientos o puede contactar a alguien que los tenga &ndash; mueva su configuration.php fuera de su espacio pblico. El archivo configuration.php no necesita estar en su espacio de http o www para ejecutarse. 6. Nuevamente, solo para usuario expertos &ndash; Cambie de nombre a la carpeta 'Administrator'. Esto requiere modificaciones considerables en el ncleo del sistema, cambiando cada referencia hacia el directorio, pero supone una mayor seguridad. 7. Estar seguro de no utilizar como nombre de usuario 'admin' para entrar al Administrador (Back-end). Escoja un nombre nico para su login y asegrese de usar una contrasea segura, preferiblemente de 8 caracteres, mezclando letras, nmeros y otros caracteres. Note que no es una buena idea utilizar $ en cualquier contrasea, ya que MySQL puede confundirse con ello. Otros caracteres como !^()>< etc. son correctos para una contrasea. 8. No deje los permisos de configuration.php en 777. El archivo configuration.php debe ser escribible cuando desee hacer cambios a travs del Administrador de Joomla!. Tan pronto haya terminado sus cambios, regrese los permisos a 644. Si realiza los cambios directamente en el archivo nunca cambie los permisos de 644.
http://ayuda.joomlaspanish.org Potenciado por Joomla! Generado: 27 April, 2009, 22:42

Centro de Ayuda Joomla! Spanish

9. Proteja su directorio 'administrator' con una contrasea. Esto puede realizarse fcilmente usando cpanel o cualquier otro panel de control del servidor. Solo seleccione &ldquo;Proteger Directorio&rdquo; y seleccione la carpeta 'administrator'. Esto automticamente agrega la informacin necesaria al archivo de contraseas del servidor y al archivo .htaccess. 10. Utilice FTP seguro cada vez que ingrese a su sitio va FTP. La mayora de hosts ofrecen OpenSSL o alguna otra forma gratuita de usar SSL. Cuando se conecta usando un FTP no seguro, su contrasea y usuario no estn protegidos. Cualquiera que monitoree su IP puede ver fcilmente su nombre de usuario y contrasea. Muchos clientes FTP gratuitos permiten el acceso a travs de SSL (capa segura de conexin). 11. Suscrbase a los anuncios de seguridad va mail. As recibir una notificacin va mail sobre cada Nuevo parche o arreglo de seguridad. 12. Actualice el sitio con los parches de seguridad tan pronto como sea posible. Algunos arreglos de seguridad son simples cambios en el cdigo y otros requieren bajar e instalar archivos. Recuerde que los anunciantes de seguridad, como Secunia, muchas veces contienen enlaces a sitios que reportan vulnerabilidades. Cuando una vulnerabilidad es publicada en algn lugar, todo el mundo puede ver donde se encuentra el fallo. De tal forma que, si los hackers no han la han encontrado, los anunciantes estarn dando un buena idea de lo que buscar. 13. Asegurar su archivo .htaccess de ojos curiosos. Este es un simple paso de seguridad que ayuda a proteger todo su servidor, no solo la instalacin de Joomla!. En todos sus archivos .htaccess agrege lo siguiente:<Files .htaccess> order allow,deny deny from all </Files> Cambie los permisos de sus archivos a 664 (chmod 644) Esto se debe realizar en cada .htaccess que utilice. 14. Proteja su directorio 'administrator' con SSL. Primero, revise si su host tiene OpenSSL y mod_ssl configurado para su cuenta. Si no han hecho esta actualizacin todava, la deberan agregar por usted. En caso de que lo necesite realizar usted mismo, estos links le pueden ayudar: http://www.openssl.org y http://www.modssl.org/docs/ Asumiendo que tiene instalado el mod_rewrite en su servidor, puede asegurar que los usuarios que traten de ingresar a la seccin administrativa de Joomla! sean forzados a utilizar una conexin con SSL. Para realizar esto, edite el archivo .htaccess que se encuentra dentro de la carpeta 'administrator'. Agrege las siguientes lneas a su archivo .htaccess: RewriteEngine On RewriteRule ^/$ /index.php RewriteCond %{SERVER_PORT} !443$ RewriteRule ^(.*) https://yourhost.com/administrator/$1 [R=301,L] Esto crea una sesin encriptada antes de que sea solicitado el usuario y contrasea del administrador de Joomla!. De tal forma que, si alguien esta realizando un ataque de sniffing contra su servidor con la esperanza de capturar el usuario y la contrasea en texto claro, simplemente no podrn ver la informacin 15. Restringir el acceso al directorio 'administrator'. Ya hemos tratado como proteger su directorio de administracin mediante una contrasea, y tambin hemos dado las pautas de como usar SSL para protegerlo. Si realmente quiere fortalecer ms el acceso al Administrador (Back-end), tambin puede usar mod_access a travs de su archivo .htaccess de la carpeta 'administrator' para permitir el acceso nicamente a ciertos IP. Primero, revise si tiene instalado mod_access (normalmente es as, pero es una buena idea revisar).
http://ayuda.joomlaspanish.org Potenciado por Joomla! Generado: 27 April, 2009, 22:42

Centro de Ayuda Joomla! Spanish

Puede agregar alguna proteccin incluyendo lo siguiente al archivo .htaccess de su administrador. Este archivo .htaccess se encuentra dentro de la carpeta 'administrator'. NO REALICE estos cambios en el archivo .htaccess de la raz del sitio o bloquear a todos los usuarios, y no podrn acceder a su sitio Si esta usando IP dinmicos (es decir no estticos), puede denegar el acceso a todos menos a una porcin del dominio de su proveedor de servicio de Internet (ISP):Order Deny,Allow Deny from all Allow from tu_isp.com Esto le dice a mod_access que el acceso solo es permitido desde 'su_isp.com' lo cual ayuda a bloquear el sitio, PERO incluye la posibilidad de que otros tengan acceso a su directorio de administracin usando 'su_isp.com'. Usted tiene que tomar la decisin sobre este nivel de riesgo. Puede bloquear el directorio con cualquier bloque de direcciones IP que su proveedor de Internet le asigne, por ejemplo:Order Deny,Allow Deny from all Allow from 69.1.0.0/255.255.0.0 Nota: Agregando el bloque de IP con la mscara previene problemas con los cambios en su IP dinmica. Sin un rango de IP, corre el riesgo de ser bloqueado cuando su ISP cambie a IP. De nuevo, permitir el acceso al bloque significa que existe el riesgo de que cualquier persona usando un IP de ese bloque pueda tener acceso a su directorio. Si est usando IP estticos, solo agrege:Order Deny,Allow Deny from all Allow from 216.239.37.99 (Donde 216.239.37.99 es su direccin IP esttica). Cuando tiene ms de un usuario administrador, simplemente agrege ms directivas &ldquo;Allow&rdquo; con sus respectivas direcciones IP. 16. Back-up, Back-up, Back-up! Toda la seguridad del mundo no le ayudar si un avin se estrella contra el edificio donde se encuentra su servidor. LOS BACKUPS DEBEN TENER UNA ALTA PRIORIDAD! (no tenga en cuenta el orden de cada uno de los epgrafes de este artculo, ya que no hacen referencia a su prioridad). Si utiliza un host que dice que realiza backups (copias de respaldo), asegrese de conocer exactamente qu es lo que guardan en los backups, con qu fecuencia lo hacen, cuanto tiempo mantienen los backups previos, y donde se almacenan. Existen muchas historias de terror sobre hosts que ofrecen backups, en las que el cliente se entera ms tarde que el backup no incluye ninguna base de datos (o un caso peor, como el de un cliente cuyo host solo obtena los backups de los html, lo cual dejaba sin backup todos los scripts, archivos PHP y base de datos). No deje el backup en el servidor. Si el servidor es golpeado por un avin, pierde todo. Ciertamente, sabemos que los centros de datos raramente son golpeados por aviones, pero no hace mucho tiempo un centro de datos en Inglaterra fue alcanzado por una explosin de aceite y todos los servidores (y backups) fueron quemados. Los accidentes pueden pasar. Incluso el mantenimiento de un servidor tiene riesgos. Con qu frecuencia se debera realizar el backup? Eso depende de cuanta informacin este dispuesto a perder. Tambin depende de cuanto tiempo est dispuesto a perder en reconstruir su sitio. Para la mayora de sitios, un backup semanal es suficiente. Si su host no incluye un backup completo una vez a la semana (almacenado en otro centro de datos), hgalo usted mismo y gurdelo en su mquina. Esto le asegura no perder todo. En el caso de que su sitio sea hackeado, es fcil restaurlo al ltimo backup seguro. Esto tambin significa que puede comparar los archivos para ver que cuales fueron los cambios realizados por los hackers. 17. Hgale difcil a los hackers, el encontrar su sitio. Esto ya se ha explicado un poco en los puntos anteriores. Los hackers dedicados no necesitan encontrar su sitio, todo lo que necesitan es escribir un bot y soltarlo en Internet con la esperaza que tarde o temprano el bot encuentre un sitio inseguro que atacar. Por lo tanto, cuando vea en entradas log de intentos fallidos para explotar cosas como Register_Globals, esto no significa que alguien deliberadamente esta atacando su sitio, puede ser que as sea, pero normalmente significa que existe un bot que se encuentra viajando. Los sitios estticos que no tienen nada que ver con
http://ayuda.joomlaspanish.org Potenciado por Joomla! Generado: 27 April, 2009, 22:42

Centro de Ayuda Joomla! Spanish

los CMS tambin reciben estos intentos en sus logs. No obstante, los hackers casuales y scripts insidiosos pueden tener varias ideas de cmo hackear un sitio realizado con Joomla! si pueden identificar claramente un objetivo. Sugerencia: Elimine cualquier cosa de la pgina pblica que identifique su sitio como un sitio realizado con Joomla!. Cosas como la informacin del pie de la pagina. Reemplzala con su propia informacin. Google muestra 6.88 millones de razones por lo cual es una buena idea: http://www.google.com/search?hl=en&q...re+released%22 Efecte una bsqueda en Google con la sentencia: inurl:administratora &ldquo;bienvenido a Joomla!&rdquo;; y podr ver 18,700 resultados, los cuales no solo le dicen a cualquiera que busque donde se encuentra el directorio de administracin, sino que muchas veces permite ver a cualquiera la versin que est ejecutando. Texto original: "How do I keep my site safe?", por Mambo Guru. Traducido por: Equipo de Traduccin y Documentacin de Joomla! Spanish.

http://ayuda.joomlaspanish.org

Potenciado por Joomla!

Generado: 27 April, 2009, 22:42