Seguridad Joomla!

Información práctica para mejorar la seguridad en tu Web Joomla.

Medidas de seguridad básicas en Joomla para aumentar la seguridad de tu Web: Plugins, módulos, extensiones, etc

CMS:  Joomla! |  Versión:  2.5.x |  Dificultad:  Básico |  Tiempo lectura:  10 minutos
Características de RSFirewall!En el capítulo anterior escrito por Jordi Sala conocíamos la extensión RSFirewall! y destacábamos las principales funciones de esta extensión orientada a la protección y monitorización de sitios webs Joomla desde el backend y a través del vídeo que incluye revisábamos el proceso de descarga e instalación en Joomla.

En líneas generales podemos decir que RSFirewall! es la protección integral simple para cualquier sitio web Joomla 1.5, 2.5 y 3.0. Permite un mayor control de usuarios, protección de permisos de lectura/escritura así como otras configuraciones relacionadas con el servidor que pueden debilitar las medidas generales de seguridad que ofrece Joomla!.

Un aspecto que la mayoría, si no todos los usuarios de Joomla!, dan por sentado, es la seguridad. A pesar de que Joomla! sí es bastante seguro, gracias a que todo el equipo de seguridad comprueba constantemente los problemas reportados por la comunidad de Joomla!, nadie, o mejor aún, nada está protegiendo las extensiones de terceros vulnerables instaladas en Joomla.


Viernes, 18 Enero 2013 07:58

Seguridad en Joomla: Introducción a RSFirewall (I)

Escrito por Jordi Sala
CMS:  Joomla! |  Versión:  2.5.x |  Dificultad:  Básico |  Tiempo lectura:  10 minutos

RSfirewall_1En este articulo tratamos el tema de mejorar la seguridad en Joomla! con la extensión RSFirewall ( http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/8968 )

RSFirewall! se utiliza para proteger un sitio web en Joomla! de intrusiones y ataques de hackers. Es una extensión de Joomla! de tipo comercial y compatible de forma nativa con la versiones de Joomla! 1.5, 2.5 y 3.0


CMS:  Joomla! |  Versión:  2.5.x |  Dificultad:  Básico |  Tiempo lectura:  10 minutos
JHacker WatchEn otros artículos dedicados a la seguridad en Joomla, nos hemos centrado en los aspectos relacionados con la seguridad activa, y en concreto en la monitorización para la prevención, teniendo muy en cuenta que esta practica garantiza en un alto porcentaje que numerosos intentos de ataque u obstrucción en el funcionamiento de sitios web Joomla no lleguen a culminarse.

Nos centramos en esta ocasión una vez más en la escucha de los eventos que suceden cotidianamente en un sitio web Joomla en producción y que en la mayoría de casos los administradores de dichos sitios ignoran, por desconocimiento, por falta de tiempo o simplemente porque no les llega la información adecuada en el momento en que suceden.

Para hacer más fácil la tarea de recibir notificaciones de eventos que sucedan en un sitio web gestionado con Joomla, vamos a utilizar un plugin llamado JHacker Watch, escrito para Joomla 1.5 y Joomla 2.5.


CMS:  Joomla! |  Versión:  2.5.x |  Dificultad:  Básico |  Tiempo lectura:  5 minutos
Login ProtectorDelegar toda la seguridad de un sitio web Joomla a extensiones como RSFirewall, Jsecure, jomDefender, jFirewall AntiHacker, JJAntispam, etc., es importante y muy recomendable para establecer un perímetro de control en torno al CMS y las acciones que se puedan ejecutar en el mismo mediante conocidas técnicas de inyección, XSS, etc., pero no siempre la seguridad activa es necesariamente la primera línea de defensa.

No obstante, para mejorar la seguridad es importante implementar métodos de control que permitan monitorizar determinados aspectos del uso de la web por parte de personas autorizadas y/o visitantes con ACLs permisivos que podemos enmarcar dentro de la seguridad activa que se recomienda implementar en un sitio web más allá de la establecida por el servidor.

En este sentido, vigilar los accesos legítimos de los usuarios privilegiados a áreas restringidas aportan mayor control global de cualquier sitio web corporativo, comercial o particular pues ayudan a detectar posibles vectores o patrones de ataque posteriores a un sitio web.


CMS:  Joomla! |  Versión:  2.5.x |  Dificultad:  Básico |  Tiempo lectura:  10 minutos
SecuritycheckEn Joomla! disponemos actualmente, en el Joomla! Extensions Directory, de cerca de 9000 extensiones de terceros para instalar y utilizar en nuestros sitios web. Estas extensiones pasan por un filtro de control por parte de miembros de los distintos equipo de desarrollo y seguridad de Joomla! que garantiza que cuando estas han sido publicadas en el JED son estables y no presentan vulnerabilidades conocidas.

Naturalmente el tiempo pasa muy deprisa y muchos desarrolladores no actualizan debidamente sus extensiones y algunas de ellas acaban siendo vulnerables por diferentes razones, la más destacable diríamos que deriva de fallos de programación que a ojos de muchos pasan desapercibidos pero en manos de expertos en seguridad o coders, hackers, etc. se convierten en vectores de ataques a sitios web mediante la explotación de las mismas con diferentes técnicas.

No vamos a hablar de como detectar y protegernos de todas las vulnerabilidades existentes pero si de lo importante que es implementar medidas de prevención o pasivas, en este caso, mediante la información de las extensiones y sus versiones.

Securitycheck realiza una comprobación de las versiones de todos los componentes instalados, comparándolos con su base de datos para mostrar los que son vulnerables y estables. Esta extensión evita tener que probar de forma individual cada componente para evitar vulnerabilidades.


Jueves, 15 Diciembre 2011 22:50

Segurizar Joomla! 1.5 y 2.5 con jHackGuard

Escrito por Luis Méndez Alejo
CMS:  Joomla! |  Versión:  2.5.x |  Dificultad:  Básico |  Tiempo lectura:  10 minutos
En ocasiones anteriores hemos dedicado algunos artículos de Blog para explicar algunas medidas preventivas importantes para prevenir ataques a un sitio web basado en Joomla! principalmente todas las relacionadas con las copias de seguridad, actualización del "core" y extensiones de terceros y otras pautas encaminadas a dificultar la exposición de datos sensibles de un sitio online que puedan servir de vector de ataque.

Existen cada vez más extensiones encaminadas a mejorar la seguridad tanto del backend de Joomla!, como de la base de datos en uso permitiendo que usuarios con pocos conocimientos puedan instalarlas y establecer un perímetro de seguridad en su web que permita un control y contención de un evento puntual así como la gestión de alertas directas o mediante logs (archivos de registro) que posteriormente puedan ser analizados para analizar el fallo o punto débil del sitio web.

Hoy hablamos de un plugin desarrollado por SiteGround para proteger sitios web, basados en Joomla!, de ataques por parte de hackers, principalmente de acciones de inyección SQL, ataques RFI, ejecuciones remotas de código y ataques XSS llamado jHackGuard .


Página 2 de 3