Consideraciones al momento de instalar joomla

Consideraciones generales e ISPs
* Cambie sus passwords regularmente y no use siempre los mismos. Utilice una combinación aleatoria de letras, números, o símbolos y evite usar nombres o palabras que puedan ser encontradas en un diccionario. Nunca utilice los nombres de sus parientes, mascotas, etc.
* Si usted esta usando un servicio compartido de hosting en su proveedor, asegurese de que ningún otro usuario en el servidor pueda ver o accedes a los archivos de su sitio, por ejemplo a través de cuentas shell, cpanels, etc.
* Nunca dependa de los backups de otro. Hágase responsable personalmente de respaldar regularmente los archivos de su sitio y su base de datos. Muchos ISPs expresan en sus contratos que usted no puede confiar únicamente en los backups que hace el proveedor de hosting.
* Utilice un sistema de Prevención/Detección de intrusos para bloquear/alertar sobre solicitudes HTTP maliciosas.
Ejemplo de búsqueda en Google: http://www.google.com/search?q=Intrusion+Prevention

Servidores de desarrollo
* Configure un servidor local de desarrollo, y realice allí todas las actualizaciones y testeos. Los amigos de Apache proveen a XAAMP, un instalador de aplicaciones LAMP fácil de usar y gratuito que trabaja en muchos sistemas operativos, incluyendo GNU/Linux y Windows.
* Algunos ISPs particulares ofertas de servidores de desarrollo y backups. Por ejemplo, joomaboom recomienda el servidor de desarrollo ofrecido en GoDaddy:http://forum.joomla.org/index.php/to...html#msg419916

HTTP Server (Apache, etc.)
* PHP, MySQL y muchos otros componentes base fueron originalmente diseñados para, y generalmente funcionan mejor en, servidores Apache. Evite usar otros servidores si es posible.
* Utilice archivos .htaccess para bloquear intentos de exploits. Puede encontrar un muy buen y pequeño tutorial en:
http://forum.joomla.org/index.php/topic,75376.0.html
* Regularmente revise los registros de acceso en busca de actividad sospechosa. No confie en sumarios y graficas. Revise los "raw logs" (registros en crudo) para detalles mas reales.
* Configure los filtros de Apache mod_security y mod_rewrite para que bloqueen ataques PHP.

MySQL
* Asegurese de que la cuenta MySQL de Joomla! esta configurada con acceso limitado. Este consciente de que la instalación inicial de MySQL es insegura. Una cuidadosa configuración manual es requerida luego de la instalación.
See MySQL Documentación: http://dev.mysql.com/doc/refman/4.1/...rivileges.html
* En un servidor compartido, si usted puede ver los nombres de las bases de datos de otros usuarios, entonces puede estar bastante seguro de que ellos ven las suyas. Si ellos pueden ver las bases de datos que usted posea, ellos están innecesariamente un paso más cerca de entrar. Un buen ISP limitara estrictamente el acceso de cada usuario a sus propias bases de datos.

PHP
* Antes que nada PHP 4 ya no es mantenido activamente, actualice su código PHP a PHP 5.
* Aplique todos los parches necesarios para PHP y para aplicaciones basadas en PHP.
* Se recomienda un frecuente escaneo wen en ámbitos donde un gran numero de aplicaciones PHP están en uso.
* Utilice herramientas como Paros Proxy para realizar pruebas automáticas de SQL Injection en contra de sus aplicaciones PHP.
* Siga el principio de "Least Privilege" (El menor privilegio) para correr PHP usando herramientas como PHPsuExec, php_suexec o suPHP desde suPHP.

PHP.INI
* Estudie la lista oficial de directivas php.ini en www.php.net.
Lista de directivas php.ini
* Configure register_globals OFF. Esta directiva determina si registrar o no las variables EGPCS (Environment, GET, POST, Cookie, Server) como variables globales.
Vea este post: http://forum.joomla.org/index.php/topic,75990.0.html
* Use disable_functions para desactivar peligrosas funciones PHP que no son necesarias para su sitio.
* Desactive allow_url_fopen. Esta opción activa las URL-aware fopen wrappers que permite el acceso a los objetos URL como archivos. Los wrappers (envolturas) son proveidos para el acceso de archivos remotos usando el ftp o el protocolo http, algunas extensiones como zlib son capaces de registrar wrappers adicionales. Nota: Esto solo puede ser configurado en php.ini por motivos de seguridad.
* Ajuste la directiva magic_gpc_quotes como sea necesario para su sitio. Debería estar en off para usar software bien escrito, y para los pobremente escritos scripts PHP 3 y PHP 4 . magic_gpc_quotes configura el estado magic_quotes state para operaciones GPC (Get/Post/Cookie). Cuando magic_quotes esta on, todas las ' (single-quote/comillas-simples), " (double quote/comillas dobles), \ (backslash-barra invertida) y NUL's son evitadas con una barra invertida \ automáticamente.
* safe_mode (debería estar activado y configurado correctamente)
Directivas de configuración Seguridad PHP y Safe Mode (Modo Seguro): http://us3.php.net/manual/en/feature...#ini.safe-mode
Funciones PHP restringidas/desactivadas por safe mode: http://us3.php.net/manual/en/feature....functions.php
* open_basedir (debería estar activado y configurado correctamente)
Limite los archivos que pueden ser abiertos por PHP a el arbol de directorios especificado, incluyendo el archivo mismo. Esta directiva no es afectada si el Safe Mode esta On u Off. La restriccion especificada con open_basedir es en realidad un prefijo, no un nombre de directorio. Esto significa que "open_basedir = /dir/incl" también permite el acceso "/dir/include" y "/dir/incls" si es que existen. Cuando quiere restringir el acceso solamente al directorio especificado, cierre con una barra /.

Joomla! Core (Base)
* Siempre actualice a la ultima versión estable.
Vea el post: http://forum.joomla.org/index.php/topic,33226.0.html
* Descargue Joomla! solo de sitios oficiales, sitios de confianza, tales como:
Joomla! Forge: http://forge.joomla.org/sf/sfmain/do...rojects.joomla
* Suscribase, o revise regularmente: Anuncios Relacionados con la seguridad Joomla: http://forum.joomla.org/index.php/topic,40046.0.html.
* Si usted descubre un problema de seguridad en el core de Joomla!, por favor repórtelo ASAP (As soon as possible - Lo antes posible): http://dev.joomla.org/content/view/1450/89/
* Remueva todas las plantillas (templates) que no sean necesarias en su sitio. No ponga lógica de seguridad en archivos de plantillas (templates).
http://forum.joomla.org/index.php/to...html#msg430051
* Edite globals.php para correr register_globals emulation off en Joomla! . Aunque la emulación Joomla! es mucho mas segura que la directiva PHP register_globals, es mejor no permitir para nada register_globals. Comenzando con PHP 6, esta ni siquiera será una opción, y es cuestión de tiempo.
* Una vez que su sitio esta configurado y es estable, Proteja contra escritura la mayor cantidad de archivos y directorios que pueda cambiando los permisos de directorios a 755, y los permisos de archivos a 644. Existe una característica de sitio --> Global Configuration (configuración global) --> que puede colocar los permisos de forma masiva por usted. Tenga en cuenta de que esta función masiva puede afectar el funcionamiento de los componentes, si lo hace prueba el funcionamiento de los mismos. También tenga en cuenta de que es posible que no se puedan cambiar los permisos en todos los componentes o extensiones de 3eros.
http://help.joomla.org/content/view/41/132/.
http://forum.joomla.org/index.php/topic,24108.0.html
Nota: Necesitara resetear los permisos si es que desea instalar extensiones mas tarde. Sea conciente de que en algunos servidores, la opción de (Anular la protección contra escritura al guardar) puede que no funcione, aunque el aviso del sistema diga que si, por eso tendrá que cambiar las opciones de la configuración dándole permisos de escritura manualmente a su configuration.php. (Eso es algo bueno!)

Extensiones (Componentes, Módulos, y Bots) de Joomla!
* Remueva todas las extensiones Joomla! que requieran register_globals ON.
* Descargue extensiones solo de sitios de confianza. La definición oficial de "sitio de confianza" es aquel sitio en el que USTED confía.
* Antes de instalar extensiones de 3eros (third party extensions), revise: Lista oficial de extensiones de 3eros vulnerables!!!: http://forum.joomla.org/index.php/topic,79477.0.html.
* Tenga cuidado! Las extensiones de 3eros vienen en todos los sabores, tamaños y antigüedad. Aunque existen los estándares de código Joomla! (coding standards), la extensiones listadas en el sitio oficial de Joomla! no son revisadas para ver si cumplen dichos estándares. Prueba todas las extensiones en un sitio de desarrollo antes de instalarlas en un sitio "real" sitio en producción.
* Respalde su sitio y la base de datos del mismo antes de instalar nuevas extensiones.
* Revise regularmente:
Cuestiones de seguridad de 3eros/No Joomla!: http://forum.joomla.org/index.php/board,296.0.html
* Remueva cualquier extensión no usada, y revise doblemente que los directorios y archivos relacionados hayan sido borrados. (Una contribución de joomaboom)

Archivio Domande

Categorie

Categorie

Articoli Correlati

Tag Cloud

Assistenza