Consejos de seguridad para evitar un hackeo en Joomla

Como todos ya sabréis, muchos se dedican a intentar hackear una web hecha en Joomla aprovechando posibles vulnerabilidades. Sin embargo, teniendo ciertas precauciones en la seguridad de tu web Joomla podrás hacer que esa tarea se convierta en algo más complicada.

Por ello me gustaría incluiros una lista de acciones que recomendamos tener en cuenta para no poner en peligro la seguridad de tu web, muchas de ellas ya os sonarán ya que las repetimos hasta la saciedad pero es mejor machacar al personal y no lamentarse despues.

  1. Descarga Joomla sola y únicamente de www.joomla.org y mantenlo siempre actualizado. Véase Actualización Joomla y sus extensiones
  2. Instala extensiones que estén en el JED (http://extensions.joomla.org) ya que estas pasan al menos por un control de seguridad y son retiradas en caso de encontrarse bugs de seguridad no solucionados. El core de Joomla puede ser impenetrable pero si instalas alguna extensión vulnerable, vuelves vulnerable todo.
  3. Instala plantillas de proveedores reconocidos y con prestigio, así te aseguraras de que lleva ningún script oculto que deteriore la seguridad o el posicionamiento de tu web. Si lo prefieres puedes construir tu propia plantilla usando algunos de los frameworks existentes para ello: Gantry, T3, Zen Grid,  etc.. Todo lo dicho anteriormente para las extensiones es extensible para las plantillas.  Os recomiendo los siguientes proveedores de plantillas: Joomla XTC, Joomlart, Shape5 ,Gavick, etc.
  4. Haz backup periodicamente tanto de la base de datos como de los archivos. Veáse Haz una copia de seguridad de tu web. ¿No sabes cómo o no te sale bien? Acude a nuestro servicio de soporte Joomla profesional y te ayudaremos.
  5. Puedes proteger el acceso al administrador utilizando .htaccess para protegerlo con contraseña (HTTP Authentication)
  6. Da los permisos correctos a los archivos de Joomla, 755 para carpetas y 644 para archivos. Veáse Cambiar los permisos a los ficheros y carpetas de Joomla
  7. Evita utilizar nombres o contraseñas “fáciles” de adivinar o de vulnerar mediante “fuerza bruta”. Nunca utilices las mismas contraseñas y usuarios para FTP y para las bases de datos (esto último es muy peligroso).
  8. Contrata hostings profesionales, donde conocen a fondo y dan mucha importancia al tema de la seguridad. A veces el ahorro de pocos euros te puede ocasionar muchos problemas.
  9. Ten una configuración de PHP correcta: Registros globales desactivados, modo seguro, activación de comillas mágicas GPC, ejecución de shell deshabilitado para PHP, etc.
  10. Deshabilita el reporte de errores de PHP, hasta cuando necesites identificar problemas únicamente. Es más seguro usar el log de Apache.
  11. Nunca esta de más usar algún componente que aumente la seguridad de nuestra web. Nosotros por experiencia, recomendamos RsFirewall y AdminTools.
  12. Un aspecto muy a tener en cuenta en hostings multidominios. Si alguno de los dominios que tienes alojados es vulnerable, harás que todo tu hosting lo sea (con todas las webs que tienes alojadas). Ten en cuenta todas las recomendaciones anteriores sea cual sea el CMS que uses.
  13. Si tu web está hecha con Joomla 1.5/1.0.x es posible que aunque tengas en cuenta todas las recomendaciones anteriores sigas siendo objeto de múltiples hacks. Migra tu web a Joomla 2.5, la versión 1.5/1.0.x ya no tiene soporte y por tanto todo agujero de seguridad encontrado no será subsanado. Veáse Migración de Joomla 1.5 a 2.5. ¿No tienes tiempo para hacerlo? ¡Nosotros nos encargamos!
  14. Bájate una copia y pásale el antivirus kaspersky o avast. Éstos son capaces de detectar codigo malicioso en php como shell scripts.

¿Nos hemos olvidado algún consejo de seguridad? Deja tu comentario y ayúdanos a completar la lista

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s