La rápida evolución de Internet plantea como desafío la seguridad de la información, y cada vez oímos sobre más brechas. La cantidad de sitios web aumenta, y en caso de que se vean comprometidos, se expone tanto a empresas como a personas.
Aunque no hay una única manera de asegurar un sitio web, ya que la seguridad absoluta no existe, sí se pueden tomar medidas para reducir al mínimo los vectores de ataque. Aquí veremos algunas cuestiones a tener en cuenta a la hora de configurar Joomla, para fortalecerlo.
- El panel de login y una contraseña robusta
Es muy bueno tener cuenta que el administrador por defecto, como posee el usuario "admin" y una contraseña por defecto, es probablemente el mayor riesgo para la seguridad en Joomla.
Mantener estas credenciales por defecto, con una clave fácil de adivinar (o encontrar) facilita muchísimo el trabajo de un cibercriminal. La forma de mitigar esto es cambiar el usuario administrador por defecto “admin” y su respectiva contraseña por datos que no sean sencillos de adivinar. Un claro ejemplo de esto fue, el de las cámaras IP que eran encontradas a través de Shodan, el buscador de dispositivos conectados a Internet; los atacantes accedían con usuarios y contraseñas por defecto, que los usuarios nunca cambiaban.
Para generar contraseñas fuertes y robustas es recomendable seguir ciertas pautas como por ejemplo, no colocar nombres, números telefónicos y demás, ya que es información que podría encontrarse disponible en buscadores; al igual que también es muy buena práctica usar programas gestores de contraseñas, que se encargan de guardar toda esta información, permitiendo crear contraseñas fuertes sin la necesidad de recordarlas.
- Crear copias de seguridad periódicamente
Algo a tener presente a la hora de adquirir un servicio de hosting es que la empresa de alojamiento tenga un buen plan de copia de seguridad. Es bueno que también el servicio cuente con la opción de ejecutar la copia de seguridad de Joomla manualmente. Incluso, si es posible, colocar un cron (Archivo que se encarga de ejecutar tareas en segundo de manera automatizada por tiempo) para tener copia de seguridad en forma semanal configurada personalmente.
- Usar una contraseña secreta previa a iniciar sesión en el panel de administración
Ocultar el panel de administrador de los posibles atacantes permite que los ciber delincuentes que tienen esta dirección URL del panel de login no puedan encontrarlo e ingresar al sitio.
Hay varias alternativas para realizar esto, pero el concepto es añadir una capa más de seguridad con algún tipo de autenticación diferente, con el fin de establecer uso de credenciales para poder llegar al sitio de logueo.
- Mantener actualizada la plataforma
Es muy importante que el cualquier administrador de la página Joomla la mantenga actualizada, inclusive sus extensiones.
Es recomendable revisar constantemente la lista de extensiones vulnerables proporcionada por Joomla y aplicar las actualizaciones, además de considerar la desinstalación de extensiones obsoletas si fuera necesario. Joomla en su sitio oficial dispone de un tutorial para actualizar la plataforma. Ya se han visto algunas vulnerabilidades en esta plataforma, lo que significa que todos los sistemas pueden tener vulnerabilidades, es por esto que es tan importante mantenerlos actualizados
- Monitorear constantemente el sitio Joomla
La disponibilidad es clave para el cliente y la empresa. Es recomendable tener en cuenta a la hora de suscribirse a un proveedor de servicios que pueda supervisar su sitio y mantenerlo al día de cualquier fallo.
- Activar SEF (Search Engine Friendly)
SEF hace la URL de su sitio web Joomla más amigable. Es un excelente complemento para añadir seguridad al sitio, esto enmascara la información y hace más difícil para un atacante encontrar vulnerabilidades o agujeros de seguridad.
Esta es la forma de activar esta funcionalidad:
- Inicio de sesión en Administración de Joomla
- Clic en Sitio > Configuración global
- En la ficha Sitio seleccionar "Sí" junto a Buscar URLs amigables para los motores
- Eliminar complementos no deseados y evitar extensiones por desarrolladores terceros desconocidos
Joomla es de código abierto y como administrador permite instalar muchos módulos para probar nuevas funcionalidades. Es bueno tratar de mejorar, pero no es bueno hacerlo sin conocer la reputación del desarrollador del módulo.
- Analizar periódicamente el sitio web
Existe una gran cantidad de herramientas que se encargan de revisar estas plataformas, con la finalidad de encontrar vulnerabilidades y corregirlas. Otra opción es contratar un servicio de pentest, donde un especialista de seguridad informática se encargará de ejecutar estas tareas y presentar informes con las respectivas correcciones a aplicar.
- La correcta aplicación de permisos a los archivos y directorios es muy importante
Todos los archivos deben tener una correcta configuración de permisos con el comando CHMOD. Veamos el ejemplo:
- Archivos PHP - 644
- Archivos de Configuración - 666
- Otras carpetas - 755
- Implementación de soluciones como doble factor de autenticación
La versión 3.2 una de las novedades introducidas en esta versión es la autenticación de dos factores para Joomla Login. Esto añade una capa de protección extra contra los atacantes, ya que si consigue las credenciales de un usuario, va a necesitar esa segunda contraseña para acceder al sistema –puede, por ejemplo, ser un código de acceso único enviado mediante mensaje de texto al teléfono personal. Esto significa que aunque el atacante tenga usuario y contraseña, si no dispone del equipo físico de la víctima, no podrá ingresar al sitio administrador de Joomla.
Para habilitar el factor de doble autenticación, debes:
- Ingresar a Joomla
- Acceder a la sesión de administración
- Acceder al administrador de complementos
- Allí se podrá activar la función “Factor de Doble Autenticación”
- Allí seleccionar el método con el cual se llevará a cabo
En conclusión, la implementación de buenas prácticas, la administración responsable y la eliminación de configuraciones por defecto ayudará a reducir los vectores de ataque. En conjunto con tecnologías como factor de doble autenticación, también ayudará a prevenir la fuga de información, ataques que le permitirían a un cibercriminal manipular un sitio para realizar actividades delictivas.
Un sitio vulnerado puede ser usado para infectar victimas con malware; una vez que tiene acceso a este sitio el ciberdelincuente, puede subir su código malicioso para infectar a las víctimas que accedan a este sitio. Otra de las situaciones que podría ocurrir es que el cibercriminal use este sitio para montar su campaña de phishing, lo cual usaría para robar información de sus víctimas. Es por esto que resulta fundamental comprender la importancia de una correcta administración web.