Algunos consejos para mejorar la seguridad en Joomla

Algunos consejos para mejorar la seguridad en Joomla

Joomla

La seguridad es uno de los temas más importantes, independientemente del tipo de web que tengas. Los CMS como Joomla, WordPress o Drupal reciben diariamente ataques, como pueden ser: robo de contraseña y datos, eliminación de información, modificaciones en el sitio web, etc.

Para intentar evitar todos estos tipos de ataques os vamos a mostrar una serie de consejos que podréis tener en cuenta para proteger Joomla.

Consejos para la seguridad de Joomla:

  • Utiliza la versión más reciente de Joomla: es muy importante ir actualizando a la última versión que vaya saliendo, ya que con las versiones nuevas se van corrigiendo errores de vulnerabilidad de las versiones anteriores. También es necesario ir actualizando las extensiones y confirmar que sean seguras.
  • Nombre de usuario y contraseña seguros: es recomendable cambiar el nombre de usuario admin predeterminado. Además deberías escoger una contraseña más segura, para ello utiliza más de 8 caracteres e incluye mayúsculas, minúsculas, números y caracteres especiales.
  • Protege el archivo de configuración de Joomla: el archivo “configuration.php”, se encuentra en el directorio raíz de tu hosting. Para impedir que este archivo se pueda editar marca la opción “Make unwriteable after saving” en la configuración de Joomla.
  • Elimina las plantillas y extensiones que no usas: es recomendable que borres estas plantillas y extensiones, ya que si en algún momento se detecta una vulnerabilidad los hackers podrían utilizarla.
  • Cambia los permisos de los archivos: otra cosa que podemos hacer es restringir los permisos de los archivos más importantes y así impediremos que se puedan editar y modificar.
  • Elimina las referencias a Joomla del código fuente: con esto costará más saber la versión de Joomla que utilizamos, lo que aportara un mayor nivel de seguridad.
  • Incluye un captcha en cada formulario: no te interesa que sea un programa informático el que rellene tus formularios para enviarte spam. Podemos impedirlo utilizando un captcha y que sea el usuario el que tenga que introducir manualmente cifras y letras.

Extensiones de seguridad:

  • Brute Force Stop: esta es una extensión que te ayudara contra los ataques de fuerza bruta. Bloquea de forma automática al visitante o bot que esté realizando un ataque. Te da la opción de configurar un límite de intentos fallidos y una vez sobrepasado ese límite bloquea al usuario que esté intentando acceder. También podrás conocer la IP del atacante que intento loguearse.
  • Admin Tools: aparte de ayudarte con las tareas de administración de tu instalación de Joomla, también con la mejora de seguridad de tu web, ya que te informa de actualizaciones disponibles, realiza mantenimientos para protegerte contra ataques y optimiza tu web. También te servirá para los permisos de archivos y directorios.
  • Akeeba Backup: sirve para crear una copia de seguridad completa de tu web con solo un clic. También podrás automatizar la creación de backups, por si fuera necesario utilizarlos para restaurar tu sitio.
Los papeles de Panamá pudieron filtrarse por no tener actualizado un plugin de WordPress

Los papeles de Panamá pudieron filtrarse por no tener actualizado un plugin de WordPress

Papeles de Panama

Para los que no conozcan todavía que son los denominados “Papeles de Panamá”, que imagino serán pocos puesto que no hay día que no aparezcan en las noticias, se trata de una serie de documentos que salieron a la luz en donde se muestran como múltiples personalidades famosas aprovechan paraísos fiscales para no pagar impuestos y así aumentar sus fortunas.

Los responsables de la empresa de seguridad WordFence, tras analizar los servidores de Mossack Fonseca, que es el bufete de abogados de Panamá de donde se han filtrado estos documentos de sus clientes conocidos como los Papeles de Panamá, han descubierto que dicha filtración pudo ser causada por un plugin sin actualizar de WordPress y a una versión antigua de Drupal, que es un sistema de gestión de contenidos.

Según ha explicado WordFence, Mossack Fonseca tenía dos portales, uno para ofrecer sus servicios con WordPress y otro para intercambiar documentos con sus clientes con Drupal. En este ultimo portal tenían Drupal 7.23 esta versión fue parcheada de inmediato a Drupal 7.32 pero ellos no lo hicieron y los expertos en seguridad que analizaron la versión 7.23 detectaron problemas graves de vulnerabilidad.

El plugin Revolution Slider de WordPress también fue clave para la filtración, ya que podría haber tenido una antigua vulnerabilidad que no corrigieron con su actualización, permitiendo al atacante tener acceso shell al servidor web para ejecutar todo tipo de comandos y así recopilar todo tipo de ficheros.

La importancia de tener las actualizaciones al día y que no te pase lo de los Papeles de Panamá.

Es muy importante tener las actualizaciones de tus plugins al día, así como no escatimar en medidas de seguridad para tu sitio web. Si vas actualizando los plugins y temas de WordPress los posibles errores que pudieran tener las versiones anteriores los vas eliminando y así mejoraras la seguridad en tu web.

Las actualizaciones es recomendable hacerlas manualmente para evitar incompatibilidades, pero puedes usar un plugin llamado Easy Updates Manager que te permite automatizar las actualizaciones y así no preocuparte de ellas.

Se recomienda que antes de cada actualización importante realicemos un backup o copia de seguridad por si surge algún problema tener la posibilidad de restaurarlo todo.

Los certificados SSL

Un cerficado SSL es uno de los componentes más indispensables para que cualquier operación en la web sea segura, gracias a este certificado los visitantes de su web verán que están en un sitio de total confianza.

El SSL (Secure Sockets Layer) es un protocolo de seguridad, cuya función es lograr que la transferencia de datos entre usuario y servidor a través de internet sea completamente segura. Otra ventaja de este certificado es que se puede utilizar con cualquiera de los servicios más comunes de internet, como HTTP, SMTP, FTP, etc., siendo el HTTP el más utilizado.

La seguridad de la transmisión con este certificado radica en la utilización de un sistema de cifrado y encriptado que crea una clave de seguridad mediante un algoritmo matemático que solo conocen el usuario y el servidor. Gracias a esto cualquier servidor con SSL que transmita una información mediante un navegador que soporte la tecnología SSL viajará a salvo de que pueda ser copiado y descifrado.

Saber si una web cuenta con certificado SSL es muy fácil, para ello debemos mirar que el prefijo HTTP de la dirección URL de la web tenga añadida la letra “S” es decir HTTPS. Además en la ventana del navegador aparecerá un candado (depende del navegador puede aparecer en un sitio o en otro), el cual indica los datos del certificado SSL.

Para conseguir tu certificado SSL tienes que solicitarlo a la autoridad de certificación (CA). Existen varios tipos de certificados SSL:

  • Validación de dominio: se emiten una vez que la CA ha comprobado que el solicitante tiene el control del dominio, son los más económicos.

 

  • Validación de organización: se emiten después de que la CA haya verificado el control de dominio y las verificaciones de antecedentes de la empresa propietaria del sitio web.

 

  • Validación extensa: ofrecen al usuario un alto nivel de confianza y convierte la barra de direcciones de nuestro navegador en una barra verde, advirtiéndonos de manera visual de esta seguridad de la que disponemos. Los Certificados de validación extensa se emiten según las directrices establecidas por CA/Browser.

 

Si ha decidido adquirir un certificado SSL, tendrás que saber instalarlo, para ello una vez que su certificado ha sido aprobado por la CA debes dirigirte a la página web del CA que lo haya tramitado y descargar una serie de comandos para el sello y añadirlos en las páginas webs adecuadas. El sello no es más que una línea de códigos enlazada a una ventana emergente de la CA que contiene la información de su certificado SSL.

 

Consejos de seguridad para su WordPress

WordPress está situado entre los gestores de contenidos web más utilizados en el mundo y a su vez es de los más atacados por los hackers, principalmente para practicar SPAM. Hoy vamos a enseñarles una serie de consejos para aumentar la seguridad de su WordPress:

-Actualización (actualiza WordPress a su última versión, así como tu tema y plugins).

La actualización de WordPress es muy importante, ya que los posibles problemas de seguridad que pueda tener se van solucionando con cada actualización, si tienes una versión más antigua se lo estarás poniendo más fácil a los hackers.

-Contraseña

Crea una contraseña aleatoria con el generador de contraseñas, siempre con letras mayúsculas y minúsculas, números y símbolos. También es recomendable cambiar la contraseña cada cierto tiempo.

-Backup o copia de seguridad

Se recomienda realizar copias de seguridad periódicas de nuestra página web y base de datos, esto se puede hacer desde el cpanel. Gracias a este backup podrás restaurar todo en caso de que sea necesario.

Mediante esta serie de plugins también se pueden realizar copias de seguridad:

-BackWPup Free – WordPress Backup Plugin

-Back Pup Free plugin seguridad wordpress

-UpdraftPlus Backup Restoration

-UpdraftPlus Backup and Restoration

-WordPress Backup to Dropbox

-WordPress Backup to Dropbox

-Instalación segura de temas y plugins:

Tenemos que evitar instalar nuestros temas y plugins que procedan de sitios poco fiables, lo que facilitaría la entrada de malware y hackers. Se recomienda instalar los plugins de la página oficial de WordPress.

-Instalar plugins de seguridad

Existen muchos plugins de seguridad para nuestro WordPress. Los mas valorados son iThemes Security y Wordfence Security, ambos están disponibles de forma gratuita y de pago y ayudaran a que tu sitio web sea mas seguro.

-Eliminar el usuario “admin”

Es recomendable cambiar el usuario “admin” que trae por defecto WordPress por otro, asi estaremos aumentando la seguridad, ya que miles de hackers prueban con el usuario “admin” miles de contraseñas.

-Numero de intentos de login

Usando el plugin Limit Login Attempts podrás controlar el número máximo de intentos que hacen login.

Realizando todos estos consejos no es seguro que no te vayan a atacar los dichosos hackers pero si podrás aumentar la seguridad y ponerles más barreras a los que intenten atacar tu gestor WordPress.

×

Hola!

Haga clic en uno de nuestros representantes para chatear en WhatsApp o envíenos un correo electrónico a info@coriaweb.hosting

× Háblanos por whatsapp!