No podemos negar que Joomla tiene un inconveniente, cualquier usuario de Internet puede saber fácilmente si el sitio está desarrollado en Joomla! escribiendo la URL para acceder al área de administración (es decir www.misitioweb.com/administrator).
Esto permite a los hackers lanzar ataques de diccionario contra tu sitio, para obtener un usuario y contraseña válidos para acceder al administrador de Joomla!. Son ataques también llamados de fuerza bruta, en los que un script automatizado va probando el acceso a tu web con contraseñas del tipo “1234”, “password”, “admin” o similares mediante el uso de diccionarios. Es importante que te asegures de que tu contraseña incluye caracteres y mayúsculas-minúsculas, ejemplos: B=45giW?$a^ o !HilnT88(-z
El componente que te recomendamos hoy es jSecure Lite. Su funcionamiento es muy simple: impide ver la página de acceso a la administración (backend) por el dominio habitual, y solo muestra el formulario de acceso si se usa www.tudominio.com/?palabra_de_paso. Esta doble validación fortalece la seguridad de tu Joomla y lo puedes añadir en menos de 5 minutos.
Ver y valorar JSecure Lite en el Joomla! Extensions Directory.
Una vez instalado el componente y verificado que el plugin se encuentra habilitado, configuramos el componente con la palabra de paso deseada y establecemos si queremos redireccionar las autenticaciones incorrectas a una url determinada, al index de la web o a archivo 404.html que incorpora el componente.
Posteriormente el acceso correcto al backend seria añadiendo al final de la url del backend /?palabra_de_paso, ejemplo: http://www.misitioweb.com/administrator/clave donde “clave” es la palabra de paso establecida en el componente.
También podemos personalizar la página de salida, en caso de acceso incorrecto editando el archivo HTML localizado en:
En el siguiente vídeo explicamos el proceso de instalación y uso del componente JSecure Lite:
¿Te has quedado sin acceso al backend al activar el plugin?
Puedes deshabilitar el plugin JSecure Lite si por error instalaste la extensión, habilitaste el plugin y no estableciste en el componente la configuración de la palabra de paso, o perdiste la sesión y se te cerró el backend, siguiendo estas indicaciones:
- Debes acceder a tu cPanel, Bases de Datos, phpMyAdmin y editar la base de datos de la instalación de Joomla afectada.
- Realiza una copia de seguridad de dicha base de datos desde la opción “Exportar” y guárdala en tu PC en formato comprimido .gzip.
- Localiza la tabla _plugins y haz clic en “Editar”.
- Localiza el registro jsecure_lite (normalmente está el último en la segunda o tercera página (phpMyAdmin presenta las consultas paginadas de 30 en 30 ítems).
- Edita el ítem jsecure_lite y modifica el campo “Published” de “1” (publicado) a “0” (despublicado” y haz clic en Guardar.
- Verifica que ya carga tu web desde el backend y establece primero las configuraciones del componente (palabra de paso) antes de volver a habilitar el plugin.
Otros artículos publicados en el Blog de Webempresa sobre Seguridad en Joomla que pueden ser de utilidad:
¿Como detener los intentos de acceso no autorizados al backend de mi web Joomla 2.5 o 3.0?.
Seguridad en Joomla: Introducción a RSFirewall (I).
Seguridad en Joomla – Características de RSFirewall! (II).
Seguridad en Joomla – Monitorizar actividades sospechosas en Joomla con JHacker Watch.
Restringir y notificar los accesos a Joomla con Login Protector.
Seguridad en Joomla! – Listando extensiones vulnerables en Joomla! 2.5 con Securitycheck.
Segurizar Joomla! 1.5 y 2.5 con jHackGuard.
Seguridad en Joomla! – Bloqueo de IPs/Rangos.
Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Soporte técnico en CiberProtector. Teacher en weuniversity.
