Seguridad Joomla! (16)

Proteger el formulario de registro de usuarios en Joomla es siempre importante, principalmente para evitar ataques de fuerza bruta y el uso de scripts maliciosos que mediante ataques con diccionarios u otras técnicas traten de inyectar usuarios en la base de datos forma fraudulenta.

Segurizar el formulario de registro en Joomla ayuda a evitar ataques de inyección SQL que permiten a scripts o bots de spam registrar usuarios indiscriminadamente en la base de datos con el fin de utilizarlos posteriormente para insertar spam en otros formularios de comentarios, productos de VirtueMart u otros componentes.

Discriminar el registro de usuarios reales (humanos) de bots que tratan de registrarse inyectando usuarios y contraseñas aleatorios en los campos del formulario de Joomla de forma automática, es tarea importante a tener en cuenta como medida de seguridad; hacer uso de reCAPTCHA o en este caso de NO CAPTCHA reCAPTCHA es ¡un reto de 3 minutos que queremos mostrarte!.

El pasado mes de diciembre Chema Alonso, CEO de Eleven Paths comunico públicamente el lanzamiento de Latch una herramienta destinada a gestionar nuestras identidades digitales y controlar los accesos a diferentes servicios (bancos, cuentas FTP, WordPress, etc.) de forma que a modo de "pestillo" podamos "echarlo" cuando consideremos que no es necesario el acceso a zonas de mantenimiento (frontend/backend de Joomla, dashboard de WordPress, etc.) u otros servicios o recibamos alertas mediante la herramienta instalada en nuestros dispositivos móviles (Android, iOS6, Windows Phone).

Tal como ellos mismos describen "Latch es un servicio que te permite añadir una capa adicional de seguridad a tus servicios en línea para evitar o prevenir el uso no autorizado por medio de un "pestillo" con el que puedes activar/desactivar tus cuentas con un solo toque desde tu móvil o tableta cuando no requieres su uso".

Dicho esto queda claro que lo siguiente es preguntarse ¿como puede ayudarme Latch en el control de accesos al backend o frontend de mi sitio web Joomla?, la respuesta es ¡mucho y de forma sencilla mediante una extensión disponible para este CMS!.

Frenar el spam en formularios de contacto, formularios de comentarios u otros, para protegerlos de los bots de spam (programas automatizados y scripts que simulan ser usuarios sin necesidad de intervención manual), solo se consigue con la correcta habilitación de sistemas antispam como reCAPTCHA (doble CAPTCHA) que dificulte a estos scripts la inyección de mensajes en comentarios y formularios de Joomla.

El fin de la mayoría de estos "ataques" de spam contra formularios no es otro que el insertar enlaces a productos "basura" o "milagrosos" para que usuarios confiados accedan a dichos enlaces desde tus formularios o comentarios en artículos.

Frenarlos depende de ti, como usuario o administrador de sitios web Joomla, y la forma de hacerlo es sencilla, la hemos comentado aquí muchas veces, ¡habilitando reCAPTCHA desde el backend de Joomla 3.x! algo simple de resolver para los seres humanos, pero que es prácticamente imposible que sea resuelto por un script automatizado.

Ha sido puesta a disposición de todos los usuarios de Joomla una versión de seguridad para el componente eXtplorer, utilizado para la gestión de archivos del backend de Joomla.

Se trata de la versión 2.1.5 que corrige una grave vulnerabilidad por lo que se recomienda, a la mayor brevedad posible, actualizar a esta versión estable, previa copia de seguridad [1], [2], [3].

Se trata de una vulnerabilidad que permite a un usuario mal intencionado acceder directamente a ver los ficheros de su cuenta de alojamiento, y si tiene varias webs en su hosting, seguramente tendría acceso a todas ellas.

En este articulo de Blog vamos hacer un repaso de un tema que ya se ha tratado anteriormente (Recuperar la contraseña de administrador en Joomla 2.5), los pasos básicamente son los mismos sin embargo también indicaremos como recuperar el acceso en un caso extremo en el que el registro se haya eliminado completamente de la tabla.

Recomendamos la lectura del articulo antes mencionado ya que detalla como recuperar el acceso por medio del phpMyAdmin que nos brinde nuestro Hosting, para nuestro caso el cPanel.

Paso muchas horas prestando atención o soporte a clientes en Webempresa que, de repente, perdieron el acceso a su "backend" aduciendo olvido de contraseña, perdida de la misma (lo que seria nuevamente olvido) o que tras haber sido hackeado su sitio web, han perdido este primordial acceso al panel de administración de la web y a todos ellos y a los que alguna vez se han visto en este problema, sencillo para quien domina pero complejo para quien entiende que Joomla es una herramienta para su trabajo y no el centro de este trabajo les invito a ver como en menos de dos minutos recuperamos dicho control.