Joomla se ha convertido en uno de los mejores gestores de contenidos para la Web disponible libremente para su descarga y uso. Con la utilización masiva de Joomla no han llegado sólo beneficios en forma de una enorme comunidad de usuarios que crean extensiones y mejoran el sistema; también existen riesgos de seguridad que conviene conocer e intentar superar. A continuación ofrecemos algunos consejos que harán más segura tu instalación de Joomla.
1. Actualiza Joomla.
Usa siempre la última versión de Joomla disponible. Una versión no actualizada de Joomla es un objetivo muy fácil para los hackers. La actualización siempre suele ser igual: basta con subir los archivos a actualizar vía FTP o por medio del Administrador de archivos de cPanel. No es necesario realizar ninguna modificación en la base de datos.
Muy importante: Siempre descarga Joomla y sus actualizaciones desde los sitios oficiales que se especifican en los enlaces de actualización. NUNCA descargar versiones de Joomla de sistemas P2P (emule, torrent, etc) ni en páginas no oficiales del proyecto Joomla. Recomendamos siempre usar el sitio oficial de Joomla: http://www.joomla.org/ ó http://www.joomlaspanish.org/ para descargar cualquier actualización.
2. Actualizar las extensiones.
Es necesario comprender que cuantas mas extensiones instaladas más inseguro es tu sitio Web en Joomla. Cada extensión es un programa independiente de Joomla que requiere su propio mantenimiento (esto incluye a componentes, módulos y plugins). Cada cierto tiempo, el creador de una extensión publica una actualización, que será preciso instalar en nuestro sitio Web. El proceso de actualización suele ser siempre el mismo (desinstalar la anterior e instalar la nueva), aunque pueden existir extensiones que requieran otro tipo de actualización.
Te recomendamos que las extensiones instaladas se encuentren en la libreria oficial de Joomla: http://extensions.joomla.org/
Te recomendamos que las extensiones instaladas se encuentren en la libreria oficial de Joomla: http://extensions.joomla.org/
Sobre las extensiones, recordar siempre que:
Una extensión no utilizada es mejor que sea eliminada.
Comprobar que es utilizada por mucha gente y tiene soporte (que sea popular).
Que se encuentre publicada en la libreria oficial de extensiones de joomla: http://extensions.joomla.org/
Instalar siempre la última versión disponible de la extensión.
Evitar la instalación de extensiones que diseñadas para una versión diferente a la que actualmente se encuentre instalada.
No descargues e instales extensiones de lugares diferentes a extensions.joomla.org (oficial).
No uses extensiones descargadas de sistemas P2P (emule, etc), ni plantillas, pues pueden contener troyanos, virus, o ser extensiones de pago (comerciales) que no son de libre utilización.
Comprobar que es utilizada por mucha gente y tiene soporte (que sea popular).
Que se encuentre publicada en la libreria oficial de extensiones de joomla: http://extensions.joomla.org/
Instalar siempre la última versión disponible de la extensión.
Evitar la instalación de extensiones que diseñadas para una versión diferente a la que actualmente se encuentre instalada.
No descargues e instales extensiones de lugares diferentes a extensions.joomla.org (oficial).
No uses extensiones descargadas de sistemas P2P (emule, etc), ni plantillas, pues pueden contener troyanos, virus, o ser extensiones de pago (comerciales) que no son de libre utilización.
3. Haz una copia de seguridad.
4. Medidas de seguridad a nivel de administración.
-
Cambia el prefijo de la base de datos (durante la instalación). Joomla crea las tablas de la base de datos con el prefijo "jos_" de forma predeterminada. Durante la instalación, podemos modificar este parámetro en el paso de creación de la base de datos por cualquier otro valor, por ejemplo "col_", "tbl_"... Esto no afectará al funcionamiento de Joomla. También se podría hacer cuando Joomla está instalado, modificando un parámetro en el archivo "configuration.php" y renombrando las tablas vía PHPMyAdmin, pero es más complicado y es conveniente probar antes en modo local (no en linea desde el servidor ya que puede afectar significativamente la bases de datos). Esto ayudará a prevenir la mayoría de ataques de tipo "inyección SQL", así como los intentos de hackers por lograr los detalles de la cuenta de super-administrador a través de la tabla "jos_users".
- Elimina las plantillas que no estás utilizando. Deja sólo la que muestra tu sitio Web. No es seguro tener muchas plantillas instaladas, ya que algunas también tienen agujeros de seguridad.
-
No activar el "FTP" en la configuración global de Joomla. Esto se puede configurar en la primera instalación o bien en el panel de administración de Joomla. No es conveniente activar esta opción por motivos de seguridad. Ten en cuenta que Joomla almacenará esta valiosa información (datos del FTP, los cuales suelen ser el mismo usuario y contraseña del cPanel) en el archivo de configuración, que podría ser obtenido por un atacante aprovechando alguna otra vulnerabilidad. Esta opción no es necesaria para el buen funcionamiento de Joomla.
-
Cambia el nombre de usuario "admin" del administrador. Tras la instalación, acceder a la gestión de usuarios, crea un super-administrador adicional y cambia el nombre de usuario al super-administrador "admin" por cualquier otro. Recuerda escribir estos datos para posteriormente acceder. Esta combinación hará más complejo el robo del usuario principal del sistema.
-
Usa contraseñas complicadas. Intenta utilizar contraseñas complejas para los usuarios administradores. Un ejemplo de una contraseña compleja es A*$m4kWz. Intenta que tu contraseña incluya alguna mayúscula, números, símbolos como *^!.)[ o similares y minúsculas, y que no tengan menos de 8 caracteres. Cambia también esta contraseña cada cierto tiempo.
Hay sitios Web que te ayudan a generar contraseñas complejas: http://www.strongpasswordgenerator.com/
Asigna los permisos correctos a tus archivos vía FTP. Es FUNDAMENTAL tener correctamente asignado los permisos de seguridad o CHMOD, la forma correcta son:
Archivos PHP: 644; Archivos de configuración: 666; otras carpetas: 755. NUNCA ASIGNAR PERMISOS DEL TIPO "777",- Usa una extensión que "oculte" tu directorio de administración. JSecure es una extensión que te permite ocultar el directorio "administrator". Un plugin en el que puedes definir una palabra (por ejemplo "administrador" o "miWeb", o lo que desees) para acceder al panel de administración. Por ejemplo: http://americandominios.com/portal/administrator, con JSecure pasa a ser http://americandominios.com/portal/miWeb (distingue mayúsculas/minúsculas). ¡Cuidado! con este plugin pues te podría impedir el acceso al administrador, úsalo con precaución y no olvides la palabra que sustituye tu administrator. Descarga de la extensión "JSecure".
Por ultimo recomendamos siempre revisar la siguiente lista de vulnerabilidades de algunas extensiones de joomla en: http://docs.joomla.org/Vulnerable_Extensions_List
