Protege tu sitio web Joomla

¿Cómo asegurar tu sitio web hecho en Joomla lo mejor posible?

Es mucho más común de lo deseado encontrar sitios haqueados hechos en Joomla. Lo más seguro es que sean sitios muchas veces bien hechos en aspectos de diseño y con la funcionalidad que la plataforma Joomla ofrece, pero sin tomar en cuenta aspectos de seguridad permanentes que un sitio web requiere en la actualidad. Generalmente nos llaman indicando que su sitio ha sido afectado y que el daño muchas veces es mayúsculo o irreparable.

Los pasos básicos para proteger un sitio Joomla son muy fáciles de seguir y de esa manera prevenimos que nuestros sitios sean dañados fácilmente o sean arruinados completamente. Todos los sitios, todos, son vulnerables a los ataques de haquers. Sin embargo, los sitios hechos con scripts de código abierto, y expresamente Joomla, tienen especificaciones conocidas que le proporcionan a los atacantes un mapa completo para provocar el daño.  Las siguientes recomendaciones harán tu sitio más resistente a los ataques más conocidos que se dan en la internet hacia sitios Joomla. No son infalibles, por lo que el mantenimiento y vigilancia del webmaster es siempre importante para prevenir ataques:

1. Respalda tu sitio de manera frecuente

Este primer paso es esencial para tener un punto de recuperación del sitio. Está listado como el número 1 debido a su alta importancia. Nunca se espera un ataque, pero si se da, un respaldo limpio nos dará la oportunidad de recuperar el sitio en cuestion de horas. Este tipo de respaldo debe realizarse de manera independiente a los respaldos que pudiera realizar el proveedor de hospedaje. Si utilizas cPanel como panel de administración del hospedaje, utiliza la herramienta de respaldos que allí se incluye, o cualquier otra herramienta si la hay, incluyendo la descarga manual de la base y archivos. El respaldo deberá estar en tu computadora preferiblemente, fuera del hospedaje web.

2. Actualización oportuna de Joomla

El equipo de desarrollo de Joomla libera de manera frecuente actualizaciones del script. Es común que estas actualizaciones sirvan para corregir agujeros de seguridad en el script o para mejorar/adecuar la funcionalidad como tal. Si tienes un sitio Joomla es importante que te suscribas a las actualizaciones de Joomla Security, y estar informado de las actualizaciones oportunamente.

3. Es importante tener presente la diferencia entre el script Joomla y los desarrollos de módulos, extensiones y componentes de terceros.

Revisa la lista de extensiones con vulnerabilidad antes de instalar cualquier extensión de Joomla. Las extensiones no son siempre seguras y es deseable que consultes la lista antes de instalar una extensión. Incluso es importante que revises la lista de extensiones con vulnerabilidad cada vez que actualices esas extensiones. Puedes suscribirte a la lista de Extensiones Vulnerables de Joomla para recibir notificación oportuna.

4. Revisa el checlist de Seguridad de Joomla

La lista de seguridad la proporciona Joomla como una manera de controlar la instalación de Joomla que hagas, y confirmes la configuración de tu servidor. Te ayudará a evaluar posibles agujeros de seguridad que la configuración tenga.

6. Elimina el usuario ADMIN

El usuario ADMIN viene por defecto con la instalación original y es, por supuesto, conocido por los haquers. Si lo dejas habilitado, le proporcionas al atacante un dato valioso que obtiene sin ningún esfuerzo. Crea un usuario ADMINISTRADOR distinto al que viene por defecto.

7. Elimina la funcionalidad FTP en la Configuración Global

Si algún atacante tiene acceso a tu panel de administración del sitio Joomla, y el FTP está habilitado, le das acceso libre al servidor. Elimina esta funcionalidad, deshabilita esa opción.

8. Cambia el password de manera frecuente

Cambia el password de tu sitio Joomla y de los FTP en tu servidor de manera frecuente. La frecuencia la decides tú, pero no lo dejes allí para siempre. Esto es particularmente importante si te conectas desde distintas computadoras a las cuales tienen acceso otras personas. Al crear un password, no utilices tu nombre o el de tu mascota. Usa un generador de password aleatorio, de manera que la seguridad sea mayor al conjugar mayúsculas, minúsculas, signos y números, con una longitud mínima de 8.

9. Deshabilita o desinstala extensiones que no uses

La instalación básica de Joomla incluye varios componentes, módulos y plugins. En el caso no los uses, no los habilites. En el caso sean extensiones de terceros que tú hayas instalado con anterioridad y no uses ya, lo mejor es desinstalarlos.

10. No corras tu sitio en Legacy Mode

Si tienes alguna extensión que requiera ejecutarse en Legacy Mode, lo mejor es darse el tiempo necesario para suplirla con alguna extensión que sea nativa de la versión de Joomla que usas. El Legacy Mode no permite la utilización de algunas extensiones que mantienen el sitio seguro.

11.  Instala extensiones de seguridad para tu sitio en Joomla.

Como lo mencionamos anteriormente, no hay plataforma web que sea seguro al 100 por ciento. Sin embargo, lo que podemos hacer de nuestra parte es proteger lo mejor posible nuestros sitios manteniendo nuestros sitios actualizados con las extensiones de seguridad consideradas más confiables. Algunas de nuestras recomendaciones de esas extensiones están a continuación:

a) Admin Tools

La extensión Admin Tools es verdaderamente una caja de seguridad para tu sitio Joomla. Existe una versión gratis, que te dará la protección básica para detectar e instalar fácilmente actualizaciones Joomla tan pronto estén disponibles, vigilará los permisos de tus archivos y directorios, protegerá tu directorio de administrador con password, cambiar el prefijo de la base de datos si es necesario, cambiar un usuario Super Administrador seguro, así como ejecutar tareas de mantenimiento de bases de datos, todo en una sola pantalla.

La versión pagada o Professional de Admin Tools proporciona mayor seguridad que la versión gratis.

Para descargar esta esta extensión visita la liga siguiente.
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/14087

b)Akeeba Backup

Una extensión que es una herramienta formidable para el manejo de respaldos desde el mismo panel de Joomla es Akeeba Backup, el cual tiene una versión sin costo. Puedes crear un respaldo que puede ser restablecido sin mucho esfuerzo. Los procesos de respaldo y restauración están controlados vía AJAX para evitar posibles interrumpciones en el servidor, incluso con sitios muy grandes.

Alternativamente, puedes realizar respaldo sólo de la base de datos o sólo de tus archivos.

Para descargar esta extensión visita la liga siguiente:
http://extensions.joomla.org/extensions/access-a-security/site-security/backup/1606

c) Instala JISecure My Site

Este plugin incorporará una llave y un valor requerido a la URL del administrador. Esto ayudará a prevenir acceso no autorizado al panel de control sin las credenciales correctas.

Por ejemplo, si configuras el plugin para el uso de la key=idea & value=buena, la URL para el panel del administrador será: http://www.tudominio.com/administrator?idea=buena

Puedes descargar el plugin en la liga siguiente:
http://extensions.joomla.org/extensions/access-a-security/site-access/backend-a-full-access-control/18288

Como siempre, no olvides revisar la lista de extensiones vulnerables en Joomla, ya sea en instalación nueva o actualización.