blog webempresa

¿Como detener los intentos de acceso no autorizados al backend de mi web Joomla 2.5 o 3.0?

por | Abr 9, 2013 | Extensiones Joomla!

Brute Force StopEs importante que te hagas esta pregunta, eso demuestra que te importa la seguridad de tu sitio web Joomla. ¡Enhorabuena! pero al margen de felicitaciones tempranas, queda un proceso por delante, implementar una capa más de seguridad en tu sitio web, al margen de la que el servidor implemente, que te permita dormir más tranquilo por las noches en lo que a tu web se refiere.

Existen otras extensiones que hacen esto mismo y lo hacen bien; de las cuales hemos comentado mucho en el Foro de Webempresa dedicado a Joomla y en el Blog, como por ejemplo RSFirewall; pero sabemos de buena fuente que son extensiones algo complejas de configurar, principalmente para quienes os iniciáis en el mundo de Joomla, y en ocasiones vérselas con estos componentes puede llevar a la frustración o peor aún, a dejar el sitio web “bloqueado”.

La mayoría de ataques a sitios web, como ya hemos explicado en otros artículos de este Blog dedicados a la seguridad, comienzan por la enumeración y en el caso de Joomla por la búsqueda de vulnerabilidades en determinados sitios web que no están actualizados o que utilizan extensiones vulnerables de las que todavía no existe “parche”.

Prevenir este tipo de enumeraciones o “escuchas” del sitio web es importante y en particular, salvaguardar el acceso de /administrator o backend como habitualmente lo conocemos, es más importante si cabe porque todo suele comenzar por lanzar herramientas que permiten automatizar el proceso de ataques por “fuerza bruta” contra el formulario de acceso o autenticación de Joomla.


¿Como puedo bloquear las IPs que intentan acceder indiscriminadamente a mi backend?

Hay muchas formas, unas manuales y otras semiautomáticas, y nos centramos en esta última para frenar las IPs que puedan estar lanzando ataques de autenticación contra nuestro /administrator de forma que podamos ponerlas en cuarentena o bloquearlas para que no puedan seguir ejecutando masivos intentos de acceso.

Utilizaremos un plugin llamado Brute Force Stop, desarrollado por Bernhard Froehler, que además de escuchar los intentos de acceso de cada IP, los pueda bloquear si estos superan un número “incorrecto” de accesos que previamente establezcamos y de paso añadir un retardo variable para cada intento de conexión fallido.

Este plugin monitorea cada intento de acceso fallido, y lo registra en la base de datos. Si se configura, se puede enviar una notificación para cada uno o un número limitado de intentos de acceso fallidos por día a una cuenta de correo electrónico.

Si el número de intentos de conexión fallidos supera un número establecido en la configuración, el plugin evitará cualquier acceso posterior a Joomla! desde la dirección IP detectada como atacante, siendo este bloqueado en tu sitio Joomla completo. La prohibición puede ser configurada para que sea permanente o para durar un tiempo especificado. Además, el plugin puede notificar acerca de los intentos de conexión restantes (antes de bloquear la(s) direcciones IP), y puede añadir un retardo después de cada inicio de sesión fallido.



Ver y valorar Brute Force Stop en el Joomla! Extensions Directory.

Descargar Brute Force Stop desde la web del autor.


¿Como puedo instalar el plugin en mi web Joomla 2.5?

El proceso es el habitual que muchas veces citamos en los artículos. Básicamente se trata de acceder al panel de administración de Joomla, ir al Gestor de Extensiones y utilizar la opción “Instalar” (Subir e Instalar) y esperar unos segundos a que se complete el proceso.

Una vez instalado el plugin solo te queda ir el Gestor de Plugins, localizar el que acabas de instalar y habilitar el plugin sin dejar de lado las configuraciones que debes realizar en el para que funcione en base a tus necesidades.

En la siguientes capturas te mostramos configuraciones que pueden servir para tener bajo control los intentos de acceso de tu sitio web sin que acceder a usuarios administradores o superadministradores se convierta en un infierno.



El siguiente vídeo muestra la instalación y configuración “recomendada” del plugins, a pesar de que este no reviste mucha complejidad en sus parámetros y realizamos una serie de pruebas y resultados de bloqueos.



Cuando el plugin Brute Force Stop bloquea una IP por haber superado los intentos de accesos permitidos en la configuración, este envía un correo a la cuenta configurada indicando la IP que ha bloqueado y el motivo, similar al siguiente:

Blocked IP Addresss 96.59.234.25 because there were too many unsuccessful login attempts in a short time.
These are the attempts:

Username IP-Address Date and time Origin
————————————————————————————————-
usuario 96.59.234.25 2013-04-09 10:48:52 Backend
usuario 96.59.234.25 2013-04-09 10:49:25 Backend
usuario 96.59.234.25 2013-04-09 10:52:33 Backend


O en español:

IP 96.59.234.25 bloqueada porque ha realizado demasiados intentos fallidos de inicio de sesión en un período corto de tiempo. Estos son los intentos:

Usuario Dirección IP Fecha y hora Origen
————————————————————————————————-
admin 96.59.234.25 2013-04-09 17:47:49 Backend
admin 96.59.234.25 2013-04-09 17:48:34 Backend
admin 96.59.234.25 2013-04-09 17:48:49 Backend


Problemas conocidos que el equipo de desarrollo trabaja para mejorar:

  • El plugin no muestra las direcciones IP bloqueadas en el backend.
  • El plugin no comprueba si la configuración de notificaciones (por ejemplo, Correo) están configuradas correctamente en Joomla, ya que si las notificaciones no se configuran correctamente, el formulario de inicio de sesión mostrará un mensaje como “Las siguientes direcciones de correo fallaron: xxx@sudominio” junto con el mensaje “Nombre de usuario y la contraseña no coinciden o usted no tiene una cuenta todavía.”

Si bien parte de las funciones que realiza este plugin se pueden conseguir con RSFirewall, no olvidemos que este último es de pago, frente al plugin Brute Force Stop que es gratuito.


¿Te ha resultado útil este artículo?

Black Friday 2024