Aquí te muestro algunas recomendaciones para ayudarte a mejorar la seguridad de tu instalación de Joomla!, como extensiones se seguridad.
Ayer hablábamos de algunos trucos para Webs Joomla, y hoy traigo otro listado de trucos que os ayudarán a mantener vuestra Web lo más protegida posible. Todos estos trucos se pueden realizar desde el directorio local php.ini (si tu servidor te permite editarlo), así dejamos el global intacto.
Amplìar la seguiridad de Joomla
Hazte a la idea de una cosa: no existe un CMS 100% seguro. Para mantener tu instalación de Joomla! a salvo, sin embargo, hay muchas medidas que puedes tomar para ponérselo difícil a cualquier usuario malintencionado que quiera poner en peligro tu proyecto.
- Usa las “disable_functions” para prevenir el uso de algunas funciones PHP peligrosas. Pro ejemplo disable_fuctions = show_source, exec, phpinfo Usa open_basedir
- Esto limitará qué archivos PHP pueden abrirse y cuales no. Veamos un ejemplo open_basedir = /home/webguy/www/html
- Deshabilita register_globals Joomla te avisará cuando esta función no esté activada. La usaremos del sigueinte modo register_globals = 0
- Deshabilita allow_url_fopen Esta función se utiliza cuando creamos PHP wrappers para abrir URLs remotas.
- Para configurarlo tendremos que añadir allow_url_fopen = 0.
El uso de una extensión de seguridad puede ayudarte a detener inyecciones de SQL o ataques de fuerza bruta. En el directorio de extensiones de Joomla! encontrarás numerosos recursos, algunos gratuitos y otros de pago, para ayudarte a mejorar la seguridad de tu web. A continuación, te muestro algunas de las mejores extensiones de seguridad para Joomla gratuitas.
Brute Force Stop
Esta extensión te ayudará a combatir ataques de fuerza bruta. Sirve para bloquear de forma automática al visitante o al bot que está realizando el ataque. Puedes configurar un límite de intentos fallidos y, una vez se alcance, la extensión bloquea al usuario que está intentando loguearse.
También podrás conocer la IP que utilizó el atacante para intentar registrarse, ya que esos registros quedan guardados en la opción Failed Logins. Gracias a esta IP, podrás saber si estás bloqueando a un usuario legítimo. Si es así, puedes meterla en una lista blanca para que no vuelva a ocurrir