10 Errores de Seguridad Que..

10 errores de seguridad que debes evitar en Joomla | Nosolocodigo
http://www.nosolocodigo.com/10-errores-de-seguridad-que-debes-evitar...
Joomla Wordpress Javascript CSS AS BBDD APIs SEO Recursos
Joomla
David | 28/09/2009
La seguridad es un aspecto muy importante a la hora de mantener un sitio web. De que sirve gastar tu tiempo y dinero en algo, si cualquiera te lo puede tirar por tierra en cualquier momento? Nunca se est los suficientemente seguro, aunque si no eres un manitico de la seguridad seguramente te bastar con unos cuantos consejos que har la vida ms difcil a los scriptkiddies que merodean la red buscando alguien a quien fastidiar. Por lo tanto, si te estimas mnimamente tu trabajo, una vez hayas instalado Joomla es conveniente que lleves a cabo unas cuantas comprobaciones de seguridad. Joomla es un CMS open source, con sus ventajas y sus inconvenientes. El hecho de que hayan muchos ojos mirando nuestro cdigo no siempre es bueno desde el punto de vista de la seguridad. Adems, muchas de las extensiones que instalamos las damos por seguras cuando realmente no sabemos si sus desarrolladores han usado tcnicas de programacin seguras.
1 de 8
09/09/2010 06:40 p.m.
En RSJoomla han elaborado una lista de los errores de seguridad ms comunes que la gente suele cometer cuando instala Joomla. Los he traducido y puesto aqu ya que pienso que pueden resultar de utilidad para mucha gente. Ah van: 1. NO usar siempre la ltima versin de Joomla Los desarrolladores de Jooma lanzan peridicamente nuevas versiones con mejoras de seguridad y correcciones de bugs que se van detectando por la comunidad, por lo tanto es imprescindible estar siempre actualizado a la ltima versin, ya que si no lo haces, todo el mundo sabr que fallos de seguridad tiene tu cdigo y sers un blanco fcil. Otro punto importante es tener una buena poltica de creacin de backpus por si algn da tienes un imprevisto, poder restaurarlo todo. Existen extensiones que facilitan la tarea de realiza backups. 2. NO revisar los permisos de los directorios de Joomla despus de instalarlo Los directorios que tenga una mscara de permisos mayor de 755 pueden comprometer la seguridad de tu sistema Joomla, dejando una puerta abierta a atacantes que podrn leer o escribir sobre los ficheros de instalacin de Joomla, o incluso subir sus propios ficheros. Imagnate que pasara si alguien lee el fichero configuration.php de tu Joomla 3. NO revisar los permisos de los ficheros Recomendado usar una mscara de permisos de 644 o ms restrictiva. De lo contrario se le estn poniendo las cosas demasiado difciles a los atacantes. 4. Permitir las subidas de ficheros descontrolada (foros, comentarios, gestion de descargas) Los hackers pueden (y lo harn) utilizar estas aplicaciones para subir scripts maliciosos a tu sitio. Debes permitir el menor nmero de extensiones posibles y NUNCA, bajo ningn concepto, permitir subir ficheros ejecutables (.php, .php3, .php4, .php5, .phtml). Puedes utilizar RSFirewall! que automticamente bloquea subidas de ficheros peligrosas y tambin puede escanear tu sitio en busca de scripts maliciosos o cosas sospechosas en tu sitio. 5. Dejar los ficheros y directorios importantes accesibles por cualquiera en el directorio pblico Debes proteger ficheros y directorios especialmente sensibles como el fichero configuration.php, el directorio tmp de Joomla, o el directorio log de Joomla. La mejor manera es moverlos a a un sitio no pblico, es decir, fuera del document root del servidor web. Para cambiar el directorio log hay que dirigirse a Administrator Site Global Configuration System Path to Log. Para cambiar el directorio tmp hay que dirigirse a Administrator Site Global Configuration Server Path to Temp-folder. Para cambiar la ruta del fichero configuration.php hay que modificar los ficheros /includes/defines.php y /administrator/includes/defines.php, en concreto las constantes: define( JPATH_CONFIGURATION, JPATH_ROOT ); Si por ejemplo quieres mover el fichero a una carpeta con nombre seguro situada en un nivel superior, deberas de hacer lo siguiente: define( JPATH_CONFIGURATION, JPATH_ROOT.DS....DS.seguro ); 6. NO tener PHP configurado correctamente Estas son algunas configuraciones que debes tener en tu servidor para que no se comprometa su seguridad. (Estas configuraciones pueden ser aplicadas editando solamente el fichero php.ini) Deshabilitar register_globals. Desconfiar de las extensiones de Joomla que te pidan habilitar esta opcin. Dejando la opcin register_globals=ON la seguridad de Joomla se puede ver comprometida. A partir de PHP 4.2.0 esta opcin se puso a OFF por defecto, y en PHP 6.0.0 ser borrada por completo. Deshabilitar safe_mode, se recomienda deshabilitar esta opcin por que causa ms problemas que soluciones. En PHP 6.0.0 ser eliminada esta opcin. Comprobar allow_url_fopen, lo mejor es que no se permita abrir ficheros remotos a un script. Comprobar allow_url_include, esta opcin permite incluir ficheros php remotos, y ser ejecutados, en un script. Lo mejor es inhabilitarla. Utilizar disable_functions para deshabilitar algunas funciones que pudieran dejar tu sitio vulnerable. Algunas de estas funciones son: system, shell_exec, exec, phpinfo, etc.
2 de 8
09/09/2010 06:40 p.m.
Utilizar open_basedir para definir las rutas desde donde PHP tiene permiso para acceder a ficheros mediante funciones como fopen() o gzopen(). Si algn fichero esta fuera de las rutas incluidas en open_basdir, PHP no permitir abrirlos. Se recomienda usar las siguientes configuraciones de PHP: register_globals = OFF safe_mode =OFF allow_url_fopen =OFF allow_url_include = OFF disable_functions = system, shell_exec, exec, phpinfo (Puedes encontrar ms funciones en este enlace) open_basedir=/tu/ruta/a/joomla Utilizar el usuario admin Cuando se instala Joomla, este viene con un usuario con nombre admin creado por defecto. En su momento sali una vulnerabilidad que utilizaba este usuario para atacar el sistema, y aunque fue corregida, es aconsejable cambiar el nombre del usuario para evitar posibles futuras vulnerabilidades y para evitar posibles ataques de fuerza bruta para averiguar la contrasea del usuario admin. Utilizar el usuario admin con una contrasea dbil, es una forma de facilitar la faena a los atacantes de nuestro sitio. Utilizar contraseas dbiles para usuarios del Back-End Utiliza contraseas difciles de averiguar, no uses palabras comunes, ya que si usas una palabra comn, seguramente se podr obtener mediante un ataque de fuerza bruta. No utilices la misma contrasea para todas tus cuentas. Un buen consejo puede ser utilizar mnemotecnias para recordar fcilmente tus claves. Por ejemplo, para la contrasea hmlPynee8 se podra usar la frase, hola me llamo Pedro y nac en el 82. NO utilizar un buen antivirus en tu ordenador Tanto en el servidor como desde el que accedes al panel de gestin. Sin un buen software antivirus, tu servidor puede ser vctima de un ataque al servidor FTP, SSH, etc Tu ordenador personal desde el que accedes al panel de control de Joomla puede ser vctima de un ataque de phishing si no ests protegido debidamente. Asumir que tu sitio est bien protegido si no se ven signos de ataques Lo mejor es estar siempre atento y no confiarse nunca, ya que el da menos pensado puedes ser atacado y quedarte sin tu web. As que ya sabes, nunca te confies y permanece alerta. Permitir el listado de directorios Este es mo, jejeje. Permitir que alguien liste los directorios de tu sitios es un fallo de seguridad, ya que estas ofreciendo informacin importante al atacante. Una forma sencilla de evitarlo es incluir un fichero con nombre index.html, con contenido en blanco, en cada directorio, de esta forma se le mostrar este fichero al atacante cuando acceda al directorio, en lugar de obtener el listado completo de ficheros.
7.
8.
9.
10. 11.
Compartir: Artculos relacionados: 1. 2. 3. 4. 5. Como eliminar el tag generator en una plantilla de Joomla Como proteger nuestros desarrollos en Joomla de ataques XSS Cambiar el ttulo de la pgina en Joomla! 20 extensiones y plugins para la gestin de ficheros en Joomla Utilizar el calendario que incorpora el API de Joomla
3 de 8
09/09/2010 06:40 p.m.
Kiva Microfinance
"Loans that Change Lives." Make a Difference and Lend Today!
Public Service Ads by Google
Joomla, seguridad, truco Comentarios RSS JoomlaDay Spain 2009, este ao en Barcelona Herramientas para webmasters de Bing
Comentarios
1. 4 Aplicaciones Empresariales 30 de septiembre del 2009 a las 9:34 pm Buena recopilacin de de errores, aunque muchas veces parecen obvios, sobretodo los que recien se relacionan con este CMS deben tenerlos en cuenta. Saludos 2. 5 Horacio 14 de octubre del 2009 a las 1:49 am Muy buen informe, muchas gracias por compartirlo. 3. 6 Jose 20 de octubre del 2009 a las 1:23 pm Me los apunto, bueno.. realmente volver cada vez que instale una nueva web en Joomla jeje. 4. 7 Chucho 4 de noviembre del 2009 a las 3:07 am Estoy necesitando referencias de empresas colombianas que dominen la aplicacin de Joomla relacionada con bases de datos. Por favor me cuentan
Trackbacks
1. 10 errores de seguridad que debes evitar en Joomla 2. Blog de Software Blog Archive 10 errores de seguridad que debes evitar en Joomla | Nosolocodigo 3. Elkin Botero (cybux) 's status on Tuesday, 29-Sep-09 13:45:00 UTC - Identi.ca
4 de 8
09/09/2010 06:40 p.m.
Publicidad
Suscripcin
Nuevo Post: Las 10 mejoras ms importantes de Joomla 1.6 http://bit.ly/ac613r 08 Sep 2010 12:43:53
Suscribete por email:
Etiquetas Recomendado
analitycs
api BBDD blog chuleta cms codigo componente CSS desarrollo eventos extension framework google
Joomla16 JoomlaDay
manual Mootools mvc MySQL noticia
herramienta iconos
online optimizacin php plantilla
plugin Programacin
SEO template theme truco
tutoriales twitter usuario videos web

Ms comentado ltimos posts Programar para el core de Joomla!, una experiencia ilusionante.. (17)
5 de 8
09/09/2010 06:40 p.m.
Videotutoriales para crear un blog en Joomla usando K2 (6) El nuevo gestor de plantillas de Joomla 1.6 (4) Chuleta para crear plantillas de Joomla (2) Tutorial para desarrollar componente con el API de Joomla 1.6 y Google Maps (2)
Archivos
Amigos
Todo el contenido de este blog est licenciado bajo una licencia Creative Commons Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 Espaa LIFE STREAM
6 de 8
09/09/2010 06:40 p.m.
Twitter Nuevo Post: Las 10 mejoras ms importantes de Joomla 1.6 http://bit.ly/ac613r ayer a las 12:43 - Comentar Nosolocodigo - Desarrollo web con Joomla, Wordpress y software libre Las 10 mejoras ms importantes de Joomla 1.6 ayer a las 12:39 - Comentar Twitter RT @mattcutts: Interesting Mashable piece on how to start/run a small business on $10 and a Google account: http://goo.gl/0ij3 martes a las 8:59 - Comentar Twitter Nuevo Post: Pack Joomla 1.6 beta 8 en Espaol http://bit.ly /cY2vIe lunes a las 16:13 - Comentar Nosolocodigo - Desarrollo web con Joomla, Wordpress y software libre Pack Joomla 1.6 beta 8 en Espaol lunes a las 16:10 - Comentar Ver mi FriendFeed - Suscrbete a m
LO QUE LEO Anieto2k Kbytes Videotutoriales Webempresa Webmasterlibre CSSBlog Ayudawordpress MundoGeek Variable not found Chica SEO Enrique Dans
7 de 8
09/09/2010 06:40 p.m.
Webintenta Bitelia Smashingmagazine Noupe Six revisions Ajaxian WPEngineer WebResources Depot INFORMACIN Me llamo David Noguera, tengo 23 aos y soy Desarrollador/Administrador web. Puedes encontrar algo ms de informacin en la pgina sobre m o ponerte en contacto usando el formulario de contacto. Muchas gracias por leerme. COLABORADORES Rafa
8 de 8
09/09/2010 06:40 p.m.

10 Errores de Seguridad Que..

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

10 Errores de Seguridad Que..

Enviado por

Direitos autorais:

Formatos disponíveis

10 errores de seguridad que debes evitar en Joomla | Nosolocodigo

Joomla Wordpress Javascript CSS AS BBDD APIs SEO Recursos

09/09/2010 06:40 p.m.