Avisos
Vaciar todo

Mensajes de postinstalación, se hace des del hosting o debemos hacerlo nosotros  

 
Alceste
 Alceste
Famed Member

Hola,

Veo que nos aparecen estos mensajes de postinstalación. Dichos cambios, ¿se actualizan desde el hosting o debemos llevarlos a cabo manualmente los administradores de cada web? Lo pregunto porque hay archivos delicados como '.htaccess' y porque hay terminología técnica como "...Para los sitios de Joomla alojados detrás de balanceadorres de carga y proxies inversos"

Estamos usando Joomla 3.10.11 y Virtuemart 4.0.12. ¿Cuales de estos cambios debemos hacer? Si actualizamos a Joomla 4, ¿debemos hacerlos igualmente?

Muchas gracias y feliz 2023

Bloquear 'FLoC' (Learning of Cohorts)

Desde la versión 3.9.27

Actualmente se está implementando una nueva tecnología en los navegadores para reemplazar las 'cookies' de seguimiento de terceros. Esta tecnología se llama 'Federated Learning of Cohorts' (FLoC) y puede leer más sobre ella en ... Comenzando con Joomla! 3.9.27 su sitio web bloquea esta tecnología, pero puede volver a permitirla desde la 'Configuración global'. Además, para deshabilitar esta tecnología para todas las solicitudes a su servidor, debe actualizar su archivo '.htaccess'.

Nueva configuración del servidor "Detrás del balanceador de carga"

Desde la versión 3.9.26

Para los sitios de Joomla alojados detrás de balanceadorres de carga y proxies inversos, con Joomla 3.9.26 se ha introducido una nueva configuración en la 'Configuración global'.

Esta configuración, cuando está habilitada, permitirá que su balanceador de cargar o proxi inverso proporcione la dirección IP real de sus visitantes. Esta IP se utilizará en sus Registros de acción y se utilizará para realizar un seguimiento de la votación de los artículos (si estas funciones están habilitadas).

Solo los sitios detrás de un balanceador de cargar o proxi inverso desearán habilitar esta función.

Actualización del archivo '.htaccess' en referencia listado de directorios

Desde la versión 3.9.22

Antes de la versión 3.9.22, el archivo 'htaccess.txt' predeterminado contenía un código erróneo destinado a deshabilitar las listas de directorios. El equipo de seguridad recomienda aplicar manualmente los cambios necesarios a cualquier archivo '.htaccess' existente, ya que este archivo no se puede actualizar automáticamente.

El código anterior:

<IfModule autoindex>
  IndexIgnore *
</IfModule>

El código nuevo:

<IfModule mod_autoindex.c>
  IndexIgnore *
</IfModule>
Protección XSS adicional para el uso de archivos SVG

Desde la versión 3.9.21

Desde la versión 3.9.21, Joomla se envía con una regla de seguridad adicional en el archivo 'htaccess.txt' predeterminado. Esta regla protegerá a los usuarios de archivos svg de posibles vulnerabilidades de 'XSS' (Cross-Site-Scripting).
El equipo de seguridad recomienda aplicar manualmente los cambios necesarios a cualquier archivo '.htaccess' existente, ya que este archivo no se puede actualizar automáticamente.

Cambios para el archivo '.htaccess'

<FilesMatch "\.svg$">
  <IfModule mod_headers.c>
    Header always set Content-Security-Policy "script-src 'none'"
  </IfModule>
</FilesMatch>

Actualmente no conocemos un método para configurar esto de manera condicional en los servidores web IIS, comuníquese con su proveedor de alojamiento para obtener más ayuda.

Recomendaciones de filtros de texto actualizadas

Desde la versión 3.9.19

Como parte de la revisión de nuestro equipo de seguridad, hemos realizado algunos cambios en la configuración predeterminada de los filtros de texto globales en una nueva instalación de Joomla. La configuración predeterminada para los grupos 'Público', 'Invitado' y 'Registrado' ahora es 'Sin HTML'. Como estos cambios solo se aplican a nuevas instalaciones, le recomendamos que revise estos cambios y actualice su sitio desde: Sistema -> Configuración global -> Filtros de texto

Actualización de seguridad .htaccess y web.config

Desde la versión 3.9.3

Joomla ahora se entrega con refuerzos de seguridad adicionales en los archivos predeterminados htaccess.txt y web.config.txt. Estos endurecimientos deshabilitan la función de rastreo del tipo MIME en los navegadores web. El rastreo conduce a vectores de ataque específicos, donde se ejecutarán los scripts en formatos de archivo normalmente inofensivos (por ejemplo, imágenes), lo que dará lugar a vulnerabilidades de secuencias de comandos entre sitios.

El equipo de seguridad recomienda aplicar manualmente los cambios necesarios a Los archivos .htaccess o web.config existentes, ya que no se pueden actualizar automáticamente.

Cambios para .htaccess
Agregue las siguientes líneas antes de "## Mod_rewrite" use.":

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Cambios para web.config
Agregue las siguientes líneas justo después de "</rewrite>":

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
 </customHeaders>
</httpProtocol>
Mayor gestión de la privacidad de los usuarios

Desde la versión 3.9.0

Con la introducción de GDPR para ciudadanos de la UE y regulaciones similares en otras partes del mundo, puede ser necesario solicitar el consentimiento del usuario antes de almacenar cualquier información personal de un usuario.

Joomla 3.9 presenta nuevas capacidades para ayudarlo a crear políticas de privacidad del sitio y recopilar el consentimiento del usuario. Además, hay un flujo de trabajo disponible para ayudarlo a administrar las solicitudes de información del usuario, como las solicitudes para eliminar los datos personales de los usuarios su sitio.

Las acciones del usuario ahora pueden registrarse

Desde la versión 3.9.0

Con el lanzamiento de Joomla 3.9.0, ahora puede registrar todas las acciones administrativas realizadas por los usuarios en las extensiones compatibles. Ahora es fácil ver quién hizo qué y cuándo lo hicieron.

Los registros se pueden revisar en Joomla o exportar para uso externo.

Para obtener más información sobre esta nueva función, lea

Recomendaciones de seguridad del sitio actualizadas

Desde la versión 3.8.8

Como parte de la revisión de nuestro equipo de seguridad, hemos hecho algunos cambios en la configuración predeterminada de las instalaciones nuevas de Joomla. Como estos cambios solo se aplican en las instalaciones nuevas, le recomendamos que revise esos cambios y que actualice su sitio.

Los cambios de configuración son:

  • Configuración global > Filtros de texto: El grupo "Administrador" predeterminado ha cambiado de "Sin filtros" a "Lista negra predeterminada"
  • Usuarios > Enviar contraseña: La opción de enviar la contraseña de usuario en texto plano cuando se crea la cuenta ahora está deshabilitada como opción predeterminada
  • Gestor multimedia: Los archivos Flash (extensiones de archivo "swf" y los tipo MIME "application/x-shockwave-flash") no tienen permiso de subida
  • Artículos > Mostrar correo electrónico: La opción de mostrar un icono de correo electrónico con los artículos está deshabilitado como opción predeterminada
Recolección de estado en Joomla

Desde la versión 3.5.0

Desde Joomla! 3.5 un plugin de estadísticas enviará anónimamente datos al Proyecto Joomla. Esto solo enviará la versión de Joomla, la versión de PHP, el motor y la versión de la base de datos y sistema operativo del servidor.

Estos datos se recolectan para intentar asegurar que las futuras versiones de Joomla podrán usar las características de las últimas versiones de las base de datos y PHP sin afectar a un gran número de usuarios. La necesidad de hacer esto empezó cuando se requería la versión mínima PHP 5.3.10 para implementar en Joomla! 3.3 las contraseñas más seguras con Bcrypt.

Con el interés de máxima transparencia y para ayudar a los desarrolladoress ...Una API y gráficas mostrarán la versión de Joomla, las versiones de PHP y de las bases de datos en uso.

Si usted no desea proporcionar al Proyecto Joomla dicha información, puede deshabilitar el plugin 'Sistema - Estadísticas Joomla'.

Actualización del robots.txt

Desde la versión 3.3.0

Se ha realizado un cambio en el archivo 'robots.txt' de Joomla! 3.4 para permitir a Google que acceda a los archivos de plantillas y de multimedia predeterminadamente para mejorar el SEO. Este cambio no se va a aplicar automáticamente en las actualizaciones y se recomienda a los usuarios que revisen los cambios en el archivo 'robots.txt.dist' para implementar esos cambios en su propio archivo 'robots.txt'. 
Actualización del .htaccess y web.config

Desde la versión 3.4.0

Se ha realizado un cambio en los archivos '.htaccess' y 'web.config' de Joomla! 3.4 para deshabilitar el listado de carpetas predeterminadamente. Se recomienda a los usuarios que implementen este cambio en sus archivos. Por favor, para más información consulte
La autentificación de factor doble está disponible

Desde la versión 3.2.0

Joomla! viene de serie con un sistema de autentificación por factor doble. Eso permite incrementar la seguridad a la hora de identificarse, con un código secundario que es secreto y cambia a cada 30 segundos. Puede usar la aplicación para móvil ...para producir ese código

Seleccionando el botón que hay a continuación:

  • Joomla! habilitará el plugin de factor doble de autentificación
  • La autentificación por factor doble estará disponible para todos los usuarios.
  • Cada usuario puede configurar la autentificación por factor doble desde los detalles de su cuenta.
  • Siempre que lo desee podrá deshabilitar el plugin de identificación por factor doble, o configurarlo para que solo se use en la zona de la administración.
  • Desde la página del perfil de usuario es desde donde encontrará más información sobre el asunto y podrá habilitarlo para su cuenta de usuario.

Contenido solo visible a usuarios registrados

Citar
Respondido : 03/01/2023 6:43 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Alceste

No tienes que realizar nada, el servidor no utiliza un balanceador de carga o proxy inverso por lo que puedes omitir esas acciones.

 

Un Saludo

 

ResponderCitar
Respondido : 03/01/2023 10:12 am

wpdoctor-revisa-la-salud-de-tu-wordpress

Alceste
 Alceste
Famed Member

Hola Pepe

Lo del servidor balanceado solamente afecta a uno de los mensajes. Los otros no hacer referencia a esto. Trato de separarlo por mensajes para que los puedas leer mejor. Pongo los títulos de cada mensaje en negrita y subrayado. Disculpa, sé que son muchos mensajes, pero no me había percatado de ellos. 

Bloquear 'FLoC' (Learning of Cohorts)

Desde la versión 3.9.27

Actualmente se está implementando una nueva tecnología en los navegadores para reemplazar las 'cookies' de seguimiento de terceros. Esta tecnología se llama 'Federated Learning of Cohorts' (FLoC) y puede leer más sobre ella en ... Comenzando con Joomla! 3.9.27 su sitio web bloquea esta tecnología, pero puede volver a permitirla desde la 'Configuración global'. Además, para deshabilitar esta tecnología para todas las solicitudes a su servidor, debe actualizar su archivo '.htaccess'.

-fin mensaje uno-

Actualización del archivo '.htaccess' en referencia listado de directorios

Desde la versión 3.9.22

Antes de la versión 3.9.22, el archivo 'htaccess.txt' predeterminado contenía un código erróneo destinado a deshabilitar las listas de directorios. El equipo de seguridad recomienda aplicar manualmente los cambios necesarios a cualquier archivo '.htaccess' existente, ya que este archivo no se puede actualizar automáticamente.

El código anterior:

<IfModule autoindex>
  IndexIgnore *
</IfModule>

El código nuevo:

<IfModule mod_autoindex.c>
  IndexIgnore *
</IfModule>
--fin mensaje 2-
Protección XSS adicional para el uso de archivos SVG

Desde la versión 3.9.21

Desde la versión 3.9.21, Joomla se envía con una regla de seguridad adicional en el archivo 'htaccess.txt' predeterminado. Esta regla protegerá a los usuarios de archivos svg de posibles vulnerabilidades de 'XSS' (Cross-Site-Scripting).
El equipo de seguridad recomienda aplicar manualmente los cambios necesarios a cualquier archivo '.htaccess' existente, ya que este archivo no se puede actualizar automáticamente.

Cambios para el archivo '.htaccess'

<FilesMatch "\.svg$">
  <IfModule mod_headers.c>
    Header always set Content-Security-Policy "script-src 'none'"
  </IfModule>
</FilesMatch>

Actualmente no conocemos un método para configurar esto de manera condicional en los servidores web IIS, comuníquese con su proveedor de alojamiento para obtener más ayuda.

---fin mensaje 3---

Recomendaciones de filtros de texto actualizadas

Desde la versión 3.9.19

Como parte de la revisión de nuestro equipo de seguridad, hemos realizado algunos cambios en la configuración predeterminada de los filtros de texto globales en una nueva instalación de Joomla. La configuración predeterminada para los grupos 'Público', 'Invitado' y 'Registrado' ahora es 'Sin HTML'. Como estos cambios solo se aplican a nuevas instalaciones, le recomendamos que revise estos cambios y actualice su sitio desde: Sistema -> Configuración global -> Filtros de texto

--fin mensaje 4---

Actualización de seguridad .htaccess y web.config

Desde la versión 3.9.3

Joomla ahora se entrega con refuerzos de seguridad adicionales en los archivos predeterminados htaccess.txt y web.config.txt. Estos endurecimientos deshabilitan la función de rastreo del tipo MIME en los navegadores web. El rastreo conduce a vectores de ataque específicos, donde se ejecutarán los scripts en formatos de archivo normalmente inofensivos (por ejemplo, imágenes), lo que dará lugar a vulnerabilidades de secuencias de comandos entre sitios.

El equipo de seguridad recomienda aplicar manualmente los cambios necesarios a Los archivos .htaccess o web.config existentes, ya que no se pueden actualizar automáticamente.

Cambios para .htaccess
Agregue las siguientes líneas antes de "## Mod_rewrite" use.":

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Cambios para web.config
Agregue las siguientes líneas justo después de "</rewrite>":

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
 </customHeaders>
</httpProtocol>

---fin mensaje 5---
Mayor gestión de la privacidad de los usuarios

Desde la versión 3.9.0

Con la introducción de GDPR para ciudadanos de la UE y regulaciones similares en otras partes del mundo, puede ser necesario solicitar el consentimiento del usuario antes de almacenar cualquierinformación personalde un usuario.

Joomla 3.9 presenta nuevas capacidades para ayudarlo a crear políticas de privacidad del sitio y recopilar el consentimiento del usuario. Además, hay un flujo de trabajo disponible para ayudarlo a administrar las solicitudes de información del usuario, como las solicitudes para eliminar los datos personales de los usuarios su sitio.

---fin mensaje 6--

Las acciones del usuario ahora pueden registrarse

Desde la versión 3.9.0

Con el lanzamiento de Joomla 3.9.0, ahora puede registrar todas las acciones administrativas realizadas por los usuarios en las extensiones compatibles. Ahora es fácil ver quién hizo qué y cuándo lo hicieron.

Los registros se pueden revisar en Joomla o exportar para uso externo.

Para obtener más información sobre esta nueva función, lea

---fin mensaje 7---

Recomendaciones de seguridad del sitio actualizadas

Desde la versión 3.8.8

Como parte de la revisión de nuestro equipo de seguridad, hemos hecho algunos cambios en la configuración predeterminada de las instalaciones nuevas de Joomla. Como estos cambios solo se aplican en las instalaciones nuevas, le recomendamos que revise esos cambios y que actualice su sitio.

Los cambios de configuración son:

  • Configuración global > Filtros de texto: El grupo "Administrador" predeterminado ha cambiado de "Sin filtros" a "Lista negra predeterminada"
  • Usuarios > Enviar contraseña: La opción de enviar la contraseña de usuario en texto plano cuando se crea la cuenta ahora está deshabilitada como opción predeterminada
  • Gestor multimedia: Los archivos Flash (extensiones de archivo "swf" y los tipo MIME "application/x-shockwave-flash") no tienen permiso de subida
  • Artículos > Mostrar correo electrónico: La opción de mostrar un icono de correo electrónico con los artículos está deshabilitado como opción predeterminada

--fin mensaje 8--

Recolección de estado en Joomla

Desde la versión 3.5.0

Desde Joomla! 3.5 un plugin de estadísticas enviará anónimamente datos al Proyecto Joomla. Esto solo enviará la versión de Joomla, la versión de PHP, el motor y la versión de la base de datos y sistema operativo del servidor.

Estos datos se recolectan para intentar asegurar que las futuras versiones de Joomla podrán usar las características de las últimas versiones de las base de datos y PHP sin afectar a un gran número de usuarios. La necesidad de hacer esto empezó cuando se requería la versión mínima PHP 5.3.10 para implementar en Joomla! 3.3 las contraseñas más seguras con Bcrypt.

Con el interés de máxima transparencia y para ayudar a los desarrolladoress...Una API y gráficas mostrarán la versión de Joomla, las versiones de PHP y de las bases de datos en uso.

Si usted no desea proporcionar al Proyecto Joomla dicha información, puede deshabilitar el plugin 'Sistema - Estadísticas Joomla'.

--fin mensaje 9---

Actualización del robots.txt

Desde la versión 3.3.0

Se ha realizado un cambio en el archivo 'robots.txt' de Joomla! 3.4 para permitir a Google que acceda a los archivos de plantillas y de multimedia predeterminadamente para mejorar el SEO. Este cambio no se va a aplicar automáticamente en las actualizaciones y se recomienda a los usuarios que revisen los cambios en el archivo 'robots.txt.dist' para implementar esos cambios en su propio archivo 'robots.txt'.
--fin mensaje 10---
Actualización del .htaccess y web.config

Desde la versión 3.4.0

Se ha realizado un cambio en los archivos '.htaccess' y 'web.config' de Joomla! 3.4 para deshabilitar el listado de carpetas predeterminadamente. Se recomienda a los usuarios que implementen este cambio en sus archivos. Por favor, para más información consulte
---fin mensaje 11---
La autentificación de factor doble está disponible

Desde la versión 3.2.0

Joomla! viene de serie con un sistema de autentificación por factor doble. Eso permite incrementar la seguridad a la hora de identificarse, con un código secundario que es secreto y cambia a cada 30 segundos. Puede usar la aplicación para móvil ...para producir ese código

Seleccionando el botón que hay a continuación:

  • Joomla! habilitará el plugin de factor doble de autentificación
  • La autentificación por factor doble estará disponible para todos los usuarios.
  • Cada usuario puede configurar la autentificación por factor doble desde los detalles de su cuenta.
  • Siempre que lo desee podrá deshabilitar el plugin de identificación por factor doble, o configurarlo para que solo se use en la zona de la administración.
  • Desde la página del perfil de usuario es desde donde encontrará más información sobre el asunto y podrá habilitarlo para su cuenta de usuario.

--fin mensaje 12---

ResponderCitar
Respondido : 03/01/2023 11:01 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Alceste.

Actualización del archivo '.htaccess' en referencia listado de directorios

No tienes que realizar nada, si editas el archivo .htaccess veras que no tienes el código, este código lo que hace es impedir el acceso a directorios que no tengan un archivo index pero en tu caso tienes los directorios protegidos con archivo index aunque puedes añadir el código que te indica

Protección XSS adicional para el uso de archivos SVG

Es una protección paar archivo SVG, Los archivos SVG (Scalable Vector Graphics) son gráficos vectoriales los cuales nos permiten escalar automáticamente las imágenes adaptándolas a cualquier resolución, básicamente son archivos de texto basados en el formato XML.

A diferencia de los formatos JPG o PNG que utilizan píxeles, este formato utiliza el lenguaje XML para escribir los atributos de la imagen.

Al ser un archivo que utiliza código XML puede ser susceptible de contener código no deseado, si no utilizas ese tipo de imágenes puedes omitirlo, si utilizas ese tipo de imágenes simplemente añade el código en tu archivo .htaccess

Actualización de seguridad .htaccess y web.config

Puedes añadirlos en el archivo .htaccess y en web.config, es una cabecera de seguridad.

 

Lo demás son acciones que ya se tomaron cuando actualizas la version de joomla.

 

Un Saludo

ResponderCitar
Respondido : 03/01/2023 11:36 am

Cursos Gratuitos WordPress

Alceste
 Alceste
Famed Member

Hola Pepe,

Veo que en nuestro actual archivo .httacces, el código que sugieren ya está puesto. Sin embargi, sugieren ponerlo antes de Modo rewrite está puesto ANTES y DESPUÉS. ¿Es correcto que vuelva a aparecer después?

 

O sea está así

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>
 
## Mod_rewrite in use.
 
RewriteEngine On, etc
 
Y luego al final de todo vuelve a aparecer
 
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>
 
O sea, el archivo .httacces termina con este código
 
En cuanto al web.config, está tal como indican, pero con tres líneas más, que supongo son normales porqué cierran (Las pongo en rojo)
 
</rewrite>
 <httpProtocol>
    <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff" />
    </customHeaders>
</httpProtocol>
</system.webServer>
</location>
</configuration>
 
 
¿Está correcto así?
 
ResponderCitar
Respondido : 11/01/2023 7:26 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Alceste.

O sea, el archivo .httacces termina con este código

Puedes eliminar el último.

está tal como indican, pero con tres líneas más

Exacto es el cierre de las tres primeras líneas:

<configuration>
<location path=".">
<system.webServer>

 

Un saludo

ResponderCitar
Respondido : 11/01/2023 9:26 am

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación