05 Ene

Seguridad #joomla Como #proteger de ataques tu #web #joomla3 Secure joomla

Si aún leyendo esta entrada en el blog, sigue teniendo problemas , deje un mensaje en los comentarios y en el momento que pueda le echaré una mano.

Si necesita ayuda profesional , sepa que puede contratarme en Diseñowebensevilla.org 

Existen varios modos de tener más o menos protegido tu servidor con webs joomla, es totalmente extensible a otros cms  y se debería de convertir en una práctica habitual.

Muchas veces pensamos que nuestra web es demasiado pequeña, que nadie la va a atacar. Si bien lleva un poco de razón, normalmente los que atacan no son personas sino robots. Es cierto que suelen intentar atacar a webs por orden de importancia ( o no) pero la verdad es que nadie estamos a salvo.

1) Guardar tu web y tener actualizado el core/las extensiones etc 

Dos cosas son imprescindibles cuando usas un cms como en este caso joomla y son a, tener copias de seguridad cada vez que no quieres perder algo y b tener las actualizaciones de las extensiones y core al día.

Con estas dos sencillas normas nos evitaremos muchísimos quebraderos de cabeza.

2) Evitar que entren en tu administrador. Usar una clave potente o programas que eviten encontrar la carpeta.


Realmente es improbable que con una contraseña medianamente potente te vayan a entrar en el administrador a no ser, claro esta que quieran hacerlo.El motivo es porque la técnica mas usada es el bruteforce   que se basa en probar todas las combinaciones posibles hasta encontrar la adecuada. Pero vuelvo a repetir, esto se hace si le interesa a alguien tu web, no va a ser para spam (por lo menos en mi experiencia).

Hay varios modos de evitar que entren en tu administrador. A bote pronto voy a decir 3 pero hay muchas más y montones de extensiones que sirven para ello.

      a) Poner una clave muy fuerte, para ello es necesario 4 factores.
              1.1 Clave entre 8 y 16 caracteres
              1.2 Que contenga Carácteres alfa y numéricos a-z 0-9
              1.3 Que al menos contenga una letra en mayúscula A-Z
              1.4 Usar caracteres reservados como # @  

      b) Usar  jsecure

Usaremos jSecure para 2 cosas la primera es cambiar el acceso a nuestro administrador de joomla .

ej. Si antes era riskoo.blogspot.com/administrator   ahora sera riskoo.blogspot.com/administrator/?key
dónde key es una palabra al azar que nos inventemos o que queramos poner, por lo cual no podrán encontrar el administrator de joomla .

Otro cosa que usaremos será poner una segunda clave con este programa . Por lo cual ya serán dos diferentes, casi imposible de flanquear y mucho menos si no se tiene intención directa de hackeo de tu web joomla.

        c) Usar  sh404Sef
Este programa al igual que otros tiene una opcion para cuando hagan flooding en tu web. Podrás definir el número de veces que aceptas que desde una misma ip puedan hacer una petición a tu web joomla.

3) Usar adecuadamente los permisos de carpetas y propietarios.

 Posiblemente no te hayas dado cuenta pero muchas veces tenemos nuestros archivos abiertos a los demás sin darnos cuenta. ¿El motivo? Muchas veces dan problema de permisos algunas extensiones que queremos instalar en joomla , deberemos de ir jugando con estos permisos para dejar instalar pero posteriormente devolver a los valores que deben de tener para más seguridad.

Estos son recomendaciones y no todos los ftp te dejan poner y quitar permisos directamente. Yo personalmente uso Filezilla que es gratuito y se puede modificar perfectamente. A veces también uso desde plesk o cpanel el gestor de archivo que también deja. Pero se que otros programas ftp no son tan fáciles o no lo traen.

  • Establece los permisos de carpeta de tu web joomla a 755
  • Los permisos de tus archivos web joomla deben de estar a 644
  • Los permisos de tu archivo configuration.php deberían de estar en 444
Nunca usar el tipo 777 que es otorgar todos los permisos a todo el mundo, a no ser que en un momento dado quieras instalar algo y te de fallo, pero recuerda volver a cambiarlo.

4) Usar .htaccess para no permitir otra ip en administrador que no sea la tuya.

Con .htaccess puedes jugar a ser portero y decidir quien entra y quien no entra en tu sitio o en una carpeta en particular de tu joomla, en este caso el de administrator.
Podrías poner una clave, pero para mi lo mas fácil y más eficiente es el usar mediante ip, así no hay quien te entre.
El proceso seria ir a http://www.cualesmiip.com/ por ejemplo, ver tu ip, acceder mediante el ftp a la carpeta administrator, modificar un htaccess que hayamos insertado (solo la primera vez). En este htaccess tendremos lo siguiente
Deny from ALL Allow from x.x.x.x
Dónde la x.x.x.x es tu ip. Con esto solo dejarás que entren en tu web desde tu ip… si por ejemplo entras desde dos sitios, tu trabajo y tu casa… puedes añadir tantas líneas Allow from x.x.x.x como quieras.
Share this

Leave a reply