Guía para mejorar la seguridad de tu Joomla
Joomla es el segundo CMS más popular del mundo, por lo que es normal que sea blanco de todo tipo de ataques. Un simple fallo de seguridad puede llegar a convertirse en un gran problema y costarnos mucho dinero. Por lo tanto, es de vital importancia tomar medidas de protección.
Los hackers (aunque lo correcto sería decir «crackers«) están constantemente buscando vulnerabilidades y agujeros de seguridad en nuestras webs.
En este artículo vamos a explicarte 14 estrategias que debes tener en cuenta para proteger tu sitio web creado en Joomla (aunque muchos de los consejos pueden servirte también si usas otro tipo de gestor de contenidos).
Es necesario mencionar que estas medidas de seguridad no van a darte protección total ante hackers, porque una web 100% segura no existe, pero al menos sí que van a protegerte de la mayoría de los ataques.
? Actualiza Joomla y las extensiones a la última versión
Una parte esencial para mejorar la seguridad de tu sitio web es mantenerlo constantemente actualizado a la última versión. Cada actualización viene con corrección de errores y mejoras en la seguridad.
Tener una versión antigua de tu Joomla, de cualquier extensión o plugin es dejar abierta una puerta trasera para que los hackers hagan de las suyas.
Actualiza tu Joomla accediendo a Componentes > Actualización de Joomla! Actualiza tus extensiones accediendo a Extensiones > Gestionar > Actualizar
?? Usa una contraseña fuerte o segura
Un agujero de seguridad muy común es el uso de credenciales débiles para iniciar sesión en el back-end. Puede llegar a ser relativamente sencillo crackear un usuario y una contraseña débiles con lo que se conoce como un ataque de fuerza bruta.
Nunca dejes la cuenta del administrador con el usuario por defecto «admin». Si un hacker llegara a loguearse como tal, tendría vía libre para hacer y deshacer a discreción.
Una buena práctica es usar una cuenta de correo electrónico como usuario y usar una contraseña que cumpla con los requisitos mínimos de complejidad, en este artículo ya te contamos algunos consejos a tener en cuenta para crear una contraseña segura.
⏱ Realiza copias de seguridad a menudo
Cuando algo sale mal, una copia de seguridad puede ser tu salvación. Deberías hacer regularmente un backup de tus ficheros y de la base de datos para poder recuperar lo que necesites en caso de catástrofe.
Nunca está de más realizar copias de seguridad tanto a nivel de hosting como a nivel de web usando alguna extensión específica de Joomla. Akeeba Backup es la que usamos nosotros en nuestros proyectos hechos con Joomla y nos da muy buenos resultados.
? Protege tu panel de administración
Una manera muy efectiva y fácil de mejorar la seguridad en Joomla es restringir el acceso al área de administración. Puedes hacerlo de dos maneras:
Cambiar la url de acceso al panel
Bien es sabido que para acceder al panel de control de Joomla tan solo hay que añadir /administrator a la url. ¡Demasiado evidente! Todas las webs desarrolladas en Joomla por alguien que no tiene en cuenta la seguridad se deja esa puerta abierta.
Ciérrala cuanto antes. Puedes encontrar plugins como AdminExile o jSecure Lite que te permitirán añadir parámetros adicionales para dejar la url de acceso de la siguiente manera:
/administrator?mi-palabra-secreta
Con este cambio dejas a los mirones fuera.
Bloquear con contraseña el acceso a la carpeta administrator
Desde el panel de hosting podrás protejer la página de administración. Busca alguna opción parecida a «Directorios protegidos con contraseña». Activándola harás que se sea obligatorio añadir un usuario y contraseña adicional cada vez que se acceda a la página de login.
Restringir usuarios por IP
Una tercera forma de controlar el acceso al panel administrativo de Joomla es permitir solamente aquellos usuarios con una dirección IP concreta.
Crea un fichero .htaccess en la carpeta /administrator con el siguiente contenido:
Deny from ALL Allow from x.x.x.x
Sustituye x.x.x.x por tu dirección IP solamente si ésta es fija. En caso de que sea dinámica tendrías que modificar constantemente este valor por la nueva IP que tengas.
? Usa extensiones de seguridad
Si realmente estás preocupado por proteger tu web, una muy buena opción para mejorar la seguridad es el uso de extensiones específicas.
Estas extensiones se encargan de bloquear los ataques y cerrar agujeros de seguridad de tu Joomla. En el JED podrás encontrar una gran variedad de componentes, tanto gratuitos como de pago. Busca, compara, configura y usa la que más te convenga.
Cuidado con la configuración, un parámetro mal puesto podría hacer caer la web o dejarla inaccesible.
Para la tranquilidad de nuestros clientes, todos los que tienen el mantenimiento web contratado llevan una extensión de seguridad configurada a medida.
⛔ No uses plantillas ni extensiones «nulled»
Es bastante fácil encontrar y descargar «gratis» las plantillas premium más famosas y los componentes de pago más usados. Puede ser muy tentador pensar en ahorrarse unos euros, pero a la larga puede salirte caro ¿no te lo crees?
Muchas veces esas plantillas y extensiones «nulled» están infectadas de malware. Funcionarán como si la hubieras comprado, pero está la posibilidad de que te dejen una puerta trasera para entrar en tu sistema sin tu permiso. Entonces, en lugar de ahorrarte dinero, lo que harás es gastarte mucho más en recuperar y limpiar tu web.
☔Deshabilitar la capa FTP
La capa FTP es un gran agujero de seguridad en Joomla. En la mayoría de los casos la capa FTP está deshabilitada por defecto, pero si necesitas habilitarla por algún motivo, te recomendamos que la desactives tan pronto hayas terminado de necesitarlo.
Puedes hacerlo desde el backend de la siguiente manera:
Sistema > Configuración global > Servidor Configuración del FTP
??Permisos correctos en archivos y carpetas
Asignar a los ficheros y a las carpetas los permisos correctos es muy importante. Nunca los dejes en 777. Configúralos de la siguiente manera:
- 755 para carpetas
- 644 para archivos
- 444 para el fichero configuration.php
Lo más seguro es que con tu cliente FTP puedas aplicar de manera recursiva todos estos permisos.
? Elige cuidadosamente tu alojamiento web
La elección del hosting es muy importante. No solo debes fijarte en el precio, un buen hosting tendrá mejores características y te dará un extra de seguridad (prueba nuestro alojamiento web y entenderás de qué estoy hablando).
Este detalle no suele ser muy habitual en los servidores más económicos, los cuales según su configuración, la seguridad puede verse comprometida.
? Instala un certificado SSL
Un certificado SSL proporciona una capa adicional de protección a tu sitio web.
Cuando alguien hace login en tu formulario de inicio de sesión, el usuario y la contraseña se envían directamente al servidor sin cifrar los datos.
Con un certificado instalado esos datos se envían de manera segura, pues al estar cifrados, aunque alguien interceptara los paquetes de datos, no podría usar esa información para loguearse.
Para ponértelo fácil, en ENDEOS te regalamos el certificado SSL, en esta entrada te explicamos qué hacer para obtenerlo gratis.
✏Renombra el fichero htaccess
Por defecto, Joomla tiene un archivo para protegerse de los exploits más comunes. Para activarlo tan solo es necesario buscar en la raíz de ficheros el archivo «htaccess.txt» y renombrarlo a «.htaccess». Fíjate que empieza con un punto.
? Activa las URL amigables para mayor seguridad
Las URL de Joomla dan mucha información de la página que se está visitando y los componentes que se usan. Con esta información, un usuario malintencionado podría atacar la web.
Activando la reescritura de URLs amigables se enmascara esa información y hace que sea más difícil encontrar vulnerabilidades.
Para activarlo tan solo debes acceder a:
Sistema > Configuración global > Sitio > Configuración SEO
URL amigable desactivada: endeos.com/index.php?option=com_content&view=article&id=77&lang=es URL amigable activada: endeos.com/empresa/quienes-somos
? Elimina las extensiones innecesarias
Como administrador de tu web, seguramente te encargas de buscar y probar extensiones con nuevas funcionalidades. Sin embargo, no deberías ir instalando extensiones sin ton ni son.
Cuantos más componentes, módulos y plugins tengas instalados, más opciones de ser vulnerable tendrás. Un hacker podría intentar hacer inyecciones SQL si detecta que tienes instaladas extensiones no seguras.
Por lo tanto, mantén el número de extensiones instaladas al mínimo. Elimina todas las innecesarias. Estarás más seguro y tu web cargará más rápido.
?Actualiza la versión de PHP
La versión obsoleta de cualquier programa se convierte en un problema de seguridad. Es importante que compruebes si tu servidor está ejecutando una versión de PHP segura.
Puedes comprobar qué versión estás usando accediendo al backend de Joomla:
Sistema > Información del sistema.
Oficialmente se recomienda usar PHP versión 5.6 o superior. Por lo tanto, si ves que tienes una versión inferior, ponte en contacto con nosotros y te recomendaremos un alojamiento web con una versión de PHP actualizada y segura.
❤ Conclusiones para mejorar la seguridad de tu web
Si sigues todos y cada uno de estos consejos reducirás significativamente el número de opciones a ser hackeado.
Es cierto que puede llevar tiempo y esfuerzo pero será mucho menor que el tiempo, esfuerzo y dinero que puede llevarte el intentar recuperar una web hackeada.
Ya no deberías tener dudas, tener en cuenta la seguridad de tu web en Joomla es un pilar esencial para su buen funcionamiento y tu tranquilidad.
La pregunta no es ¿debo hacer algo para aumentar la seguridad de mi web? Más bien la pregunta que tienes que hacerte una vez hayas llegado a estas líneas es ¿me encargo yo mismo de la seguridad de mi web o mejor lo dejo en manos de profesionales?
Si te decides por elegir a ENDEOS, tu web, tu tiempo y tu bolsillo te lo agradecerán.
Este post ha sido escrito gracias a la inspiración de este artículo del blog de ThemeXpert.
- factory_shortcodes_assets:
- a:0:{}
- classic-editor-remember:
- classic-editor