En estos últimos meses, nos hemos tropezado con varios sitios web creados con Wordpress, donde el navegador advertía de que el sitio que pretendía visitar podría dañar el equipo. Hace alrededor de dos meses se conocían una serie de ataques a estos sitios, así que vamos a ver hoy una serie de consejos para proteger tu sitio web de empresa construido en Joomla.Hay tres puntos fundamentales que debes de seguir:
- Mantener Joomla actualizado hasta la fecha
- Tienes que tener tu sitio web protegido empezando por utilizar una contraseña segura
- Tener un hosting seguro para tu Joomla
Porque hay funciones que tu puedes realizar como administrador del sitio para protegerte de cualquier vulnerabilidad de Joomla.
Aspectos fundamentales
- Actualizaciones: debes tener en cuenta que cuando mantienes tu sitio Joomla actualizado y al día, también puedes aprovechar para limpiar lo que no estás utilizando ya. Por ejemplo, algún plugin desactualizado que tambien hace mas vulnerable a tu sitio. Comprueba regularmente si tus plugins han sufrido algún tipo de cambios y si no lo ha habido y todavía se está usando deberías de pensar en algo un poco más actualizado. Si no lo estás usando no hay razón para mantenerlo en tu sitio. Si lo estás usando, debes mantenerlo actualizado.
- Hosting: existen servidores de Internet baratos por ahí y te aseguran que mantendrán tu sitio bien cuidado y que será seguro. No debes de dejarte engañar. Para proteger tu sitio Joomla de ser hackeado debes asegurarte de que tu proveedor de hosting cuenta con la protección y las necesidades especificas para tu sitio.
- Contraseñas: mantener tu contraseña de acceso principal en la administración de Joomla, y en la administración de tu servidor y de las cuentas de FTP, mail, etc seguras es crucial. No debes bajo ningún concepto proporcionar las contraseñas a nadie. Esta es una manera de cómo consiguen los hackers las contraseñas que se filtran. Recuerda, mantén tus contraseñas exclusivamente para ti. Prueba algo como, por ejemplo: RodrigueZXXXX donde “X” seria un número generado aleatoriamente. Puedes ir a random.org y allí puedes generar y elegir un número para ti.
El ataque a Wordpress se produjo por fuerza bruta (es decir, un robot prueba todas las combinaciones posibles de caracteres hasta acertar), y para evitarlo, en Joomla tenemos algunas extensiones, al bloquear el acceso a la administración tras X intentos fallidos. Una de estas extensiones es Brute Force Stop, la cual es gratuita y se puede evaluar en el directorio de extensiones: http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/22982
Tras instarla, hemos de ir a Plugins y activarlas. Podemos configurar algunos parámetros, como el número de intentos que permitiremos, así como la dirección de correo en la que deseamos recibir el aviso de inserción de contraseña errónea. También podremos definir si queremos bloquear la IP desde la cual se realiza el intento de acceso. Todo esto lo mostramos en la siguiente imagen:
Conclusiones
Como siempre, el sentido común es muy importante a la hora de mantener la seguridad de los datos de nuestro sitio y nuestra empresa. Ya que Joomla es un gestor de contenidos, que además incorpora un gestor de actualizaciones, será muy fácil que, invirtiendo muy poco tiempo, podamos realizar su mantenimiento, muchas veces olvidado.
Basado en el artículo Consejos para proteger tu sitio web de empresa construido en WordPress
