Guía de seguridad Joomla

1. Introducción

Joomla es un sistema de gestión de contenido (CMS, Content Management System), que permite crear sitios web, su popularidad ha logrado que resulte muy atractivo para los actores maliciosos, con el fin de explotar vulnerabilidades.

2. Asegurando joomla

Para mitigar el riesgo de ataques a Joomla, se recomiendan las siguientes buenas prácticas de seguridad.

2.1. Verificar parches de seguridad

Comprobar regularmente si hay nuevos parches de seguridad disponibles para solucionar vulnerabilidades de seguridad e instalarlos, para ello existe el complemento “Plugin Securitycheck”.

A continuación se describe los pasos para el uso del Plugin Securitycheck:

• Instalar el plugin siguiendo el enlace:
  

https://extensions.joomla.org/extension/securitycheck/

• Una vez instalado ir al menú Components→Securitycheck

• Verificar vulnerabilidades en los complementos.

• La columna de “Known vulnerabilities” de todos los complementos listados debe estar en estado “No”.

Se recomienda suscribirse a canales de seguridad oficiales de Joomla, por ejemplo:

• https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions/es
• https://developer.joomla.org/security-centre.html

Siempre debe mantener actualizado Joomla a una versión con soporte.

También se recomienda que se considere actualizar las tecnologías complementarias para el uso de Joomla como es php, mysql y el sistema operativo, tomando en cuenta que estas actualizaciones sean compatibles con la versión de Joomla que utiliza, aplicando estos cambios primero en un entorno de pruebas.

2.2. Asegurar nombre de usuario y contraseña

• No utilizar el nombre de usuario admin predeterminado.
• Utilizar una contraseña robusta, por ejemplo, que contenga mayúsculas, minúsculas, cifras y caracteres especiales.
• Configurar la robustez de la contraseña, para ello se debe ingresar a Users > Manage:

• Seleccionar Options:

• En password options establecer:

• Guardar y cerrar:

2.3. Proteger el archivo de configuración

Proteger el archivo configuration.php, que se encuentra en el directorio raíz de la instalación de Joomla con apache, para impedir que se pueda editar.

• Activar el módulo htaccess:

$ sudo nano /etc/apache2/apache2.conf

• Buscar las líneas:

<Directory /var/www/>
	Options Indexes FollowSymLinks
	AllowOverride None
	Require all granted
</Directory>

Cambiar a:

<Directory /var/www/>
	Options FollowSymLinks
	AllowOverride All
	Require all granted
</Directory>

• Reiniciar servidor de apache:

$ sudo service apache2 restart

• Añadir al archivo .htaccess:

<FilesMatch “configuration.php”>
	Require all denied
</FilesMatch>

• Cambiar los permisos considerando:

Archivos PHP - 644
Archivos de configuración - 644
configuration.php: 440
Otras carpetas - 755

2.4. Proteger el acceso al panel de administrador

Por defecto el panel de administrador de Joomla se encuentra en la url “/administrator” de la página. Para evitar que personas no autorizadas intenten acceder al panel de administración seguir los siguientes pasos:

•  Crear un directorio que únicamente conozcan los usuarios administradores del sitio web (debe recordar que el directorio miotroadm es solo un ejemplo).

$ sudo mkdir miotroadm

• Crear un archivo index.php para redireccionar al panel de administración, cambiar la cookie “admin_cookie_code” por una más larga y difícil de adivinar.

$ cd miotroadm
$ sudo nano index.php

<?php
	$admin_cookie_code="1254789654258"
	setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/");
	header("Location: ../administrator/index.php");
?>

• Adicionar al principio del index.php del directorio “administrator” que solicite la cookie, caso contrario devolver al index.php

$ sudo nano administrator/index.php

if($_COOKIE['JoomlaAdminSession']!="1254789654258")
{
	setcookie('JoomlaAdminSession', null, -1, '/');
	header("Location: ../../index.php");
}

• Añadir al final en el index.php del panel de administración el siguiente comando para eliminar la cookie creada.

$ sudo nano index.php

if ($_COOKIE['JoomlaAdminSession']!="")
{
	setcookie('JoomlaAdminSession', null, -1, '/');
}

2.5. Ocultar la versión de Joomla

Deberá deshabilitar manualmente ingresando al panel de administración de joomla:

Site > Global Configuration

Establecer en “No” la opción “Show Joomla Version”.

Adicionalmente, deberá eliminar la carpeta “installation” ubicada en el directorio raíz de la instalación de Joomla.

2.6. Activar search engine friendly (sef)

SEF permite hacer las URLs de Joomla más amistosas para el usuario y también dificulta a los escáneres automatizados encontrar información útil para efectuar ataques al sitio web.

Para activar SEF en Joomla debe acceder al panel de administración e ingresar a “Global Configuration”.

Establecer la opción Search Engine Friendly URLs en “Yes”:

2.7. Realizar copia de seguridad

Para realizar la copia de seguridad de Joomla puede utilizar el plugin Akeeba Backup.

• Instalar el plugin siguiendo el enlace:

https://extensions.joomla.org/extension/akeeba-backup/

• Una vez instalado ir al menú Components>Akeeba Backup

• Hacer clic en “Default Backup Profile” para sacar la copia de seguridad de Joomla.

• Se despliega el proceso de backup

• Los backups se muestran en Manage Backups.

• Se muestra el listado de backups generados.

• Establecer copias de respaldo cada cierto tiempo de acuerdo a las políticas de seguridad.