Intento de acceso a la web

Hola,

Este tipo de ataques son muy comunes. Se trata de un robot que trata de acceder a la administración lanzado una serie de contraseñas al azar, pero esto no significa que tu web esté en peligro. Es conveniente que la contraseña de tu usuario admin sea segura. Para ello es recomendable que contenga letras mayúsculas y mínúsculas, números y caracteres especiales como asteriscos, comas, paréntesis, etc.

Desde la propia configuración del RsFirewall puedes aumentar algo la seguridad para protegerte de este tipo de ataques, tal como añadir la ip desde donde se han realizado los intentos de conexión a la lista negra del Firewall o poner una contraseña maestra para aumentar la seguridad de acceso.

Te dejo 2 enlaces a nuestro blog donde se habla de la configuración y manejo del RsFirewall:

Buenas tardes Pablo,

No se trata del mismo tema, una cosa es intentar acceder al panel de control de la web, y otra que se introduzcan registros malintencionados, me entiendes?

El componente me dice que tengo la carpeta de registros de usuarios accesible para "html pública",
que me quiere decir?

Saludos, Enrique P.

Hola Enrique,

según entiendo, lo que quería decir Pablo es que es un ataque consistente en que un robot (un script o similar) intenta acceder a tu administrador de Joomla por fuerza bruta, es decir, probando muchas contraseñas al azar con el usuario admin.

Puedes enviarnos una captura del mensaje que te da el RSFirewall?

Saludos,
Rafa Noguera

Buenas tardes,

Primera captura:

Para arreglar éste problema creo que tengo que sustituir esos archivos verdad?

Segunda captura:

Tercera captura:

En esta captura te señalo del problema que te estoy hablando.

Saludos, Enrique P.

Hola Enrique,

1. Es posible que hayas instalado RSFirewall recientemente y en un afán de aplicar un nivel restrictivo al componente para que "pare" todo lo "supuestamente" peligroso este se encuentre colectando demasiados datos, incluidos tus propios accesos para subir archivos (según indican algunos logs del servidor para tu cuenta).

Contenido solo visible a usuarios registrados ¿te suena?.

Nota: He omitido datos sensibles en el log por seguridad.

También cabe la posibilidad de que el sitio analizado se encuentre trabajando con una versión vulnerable y desactualizada de Joomla, por ejemplo la versión 1.5.23 y eso de puertas abiertas a posibles ataques al encontrar vectores que puedan dar esta posibilidad a terceros.

Hay muchas cosas a analizar, las configuraciones aplicadas en cada pestaña de RSFirewall, la versión de Joomla y extensiones y en última instancia su tu mismo subes /n archivos por FTP es posible que RSFirewall se queje o al menos te informe.

Saludos

Buenas tardes,

Como puedo solucionar estos errores:

Saludos, Enrique P.

Hola Enrique,

No son errores, sino recomendaciones. Creo que poca seguridad adicional pueden añadir a tu Joomla!.

Para evitar los intentos de registros o accesos a la administración de tu Joomla!, lo mejor es que en componente RSFirewall actives la contraseña para acceder al backend, de esa forma no pueden intentar el acceso a la administración con usuario admin, porque no tendrán acceso a esa parte de la administración.

Saludos

Buenas tardes Jordi,

Pero que me quiere decir RSFirewall con que esas 3 carpetas de la imagen son accesibles a través de HTML pública?

Saludos, Enrique P.

Enrique,

lo que quieren decir estos mensajes es que esas tres carpetas pueden ser accesibles por el servidor web, es decir, que están situadas por encima de la carpeta a partir de la cual tiene acceso el servidor web (generalmente public_html).

De todos modos, y tal y como te comenta Jordi, son recomendaciones (no errores) que no implican que tu Joomla esté inseguro.

Saludos,
Rafa Noguera

Buenas tardes Rafa,

Y si metiera esas 3 carpetas dentro del public_html que pasaría? Ya me han hackeado varias veces esta web y quiero ponerla lo más segura posible, una de ella fue porque accedían directamente al directorio de registro.

Saludos, Enrique P.

Hola Enrique

Las carpetas y archivos ya estan en Public_html, la recomendación es sacarlos del public

Creo que te complicarías por que al actualizar tu joomla tendrías que tener en cuenta esto.

Recuerda que en nuestros servidores ya se maneja seguridad a nivel de archivos y carpetas (755 para carpetas y 644 para archivos) , sin embargo si quieres dar una medida extra puedes considerar cambiar permisos a 444 al archivo configuration.php de esta manera sólo se podrá leer por el sistema.

Además ten en cuenta que si ya te han hackeado es posible que sea debido a alguna extensión vulnerable externa al core de Joomla, como medida de seguridad adicional realiza siempre un backup de tu sitio web periódicamente.

Saludos.

Buenas tardes Jhon,

Como se llaman esas 3 carpetas que podría sacar del public_html?, y ponerlas a nivel de public_html?

Saludos, Enrique P.

Hola,

Como ya te hemos comentado antes, esos mensajes que se muestran sobre los directorios y el archivo configuration.php son recomendaciones.

Los directorios que indica mover de dirección son las carpetas tmp y logs que se encuentran en el directorio public_html. Recomiendan moverlos fuera del directorio public_html para que no sean accesibles desde la web. Para hacer esto tendrás que editar además la configuración global de tu Joomla para cambiar la ruta a los logs y ficheros temporales.

Sobre el archivo configuration.php la recomendación también es moverlo fuera del directorio public_html, aunque en este caso tendrás que hacer cambios en el código del propio Joomla.

Pulsando sobre los símbolos de interrogante que se muestran junto a cada una de las recomendaciones podrás ver instrucciones más detalladas sobre el proceso a seguir. Ten en cuenta que estos cambios podrían provocar errores de funcionamiento en la web, sobre todo si se hace algo mal.

Para temas de seguridad es más importante mantener todas las extensiones actualizadas, no utilizar extensiones de procedencia sospechosa, desinstalar las extensiones que no se estén usando y tener contraseña seguras para el acceso a la administración de la web.