Hola,
Estoy a punto de poner en producción mi primer desarrollo importante en Joomla! y quisiera saber que aspectos debería tener en cuenta para dotar de la mayor seguridad posible al sitio.
Se trata de un desarrollo que integra una red social cerrada, que manejará determinados datos "sensibles" (registrados en la Agencia Española de Protección de Datos, como buen hijo de vecino). Lo que realmente me preocupa son aquellos detalles a tener en cuenta para, dentro de lo posible, prevenir/evitar ataques y proteger tanto el desarrollo como sus bases de datos.
El desarrollo está basado en:
Joomla! 1.5.23
Jomsocial 2.2.4
RokBridge 1.0-RC14 (como pasarela de autentificación a phpBB)
phpBB 3.0.8 (pendiente de actualizar a 3.0.9)
Gracias por vuestra colaboración.
Hola Alvaro,
Las medidas de seguridad adicionales que no suelen ofrecer otros hostings son las siguientes:
.. Iptables personalizados.
.. Detección y baneo de múltiples logins incorrectos.
.. Detección y baneo de ataques de fuerza bruta.
.. Detección y baneo de escaneado de puertos.
.. Detección y baneo de ataques Denegación de Servicio.
.. Chequeo de logs automatizado que nos informan de cualquier actividad no habitual.
.. Detección de Rootkits.
.. IpSpoofing.
.. Envenenamiento de DNS.
.. Verificación MD5 archivos de sistema.
.. Detección y baneo automático de Ataques de Denegación de Servicio, Escaneo de Puertos, Ataques de Fuerza Bruta, Logeos Incorrectos.
.. Detección automática de exploits, troyanos y backdoors en upload php, cgi o ftp.
.. Escaneo diario de exploits, troyanos y backdoors.
.. Escaneo diario de Antivirus.
.. En el caso de que detectemos alguna actividad sospechosa en una cuenta de hosting es reportado al cliente y suspendida su cuenta para restauración de backup y actualización de scripts para evitar agujeros de seguridad.- RTM (Real Time Monitoring) cada 2 minutos 365/24/7
.. Linux Servers con Kernel's compilados por nuestros Administradores con medidas de seguridad extras.
.. Panel de control cPanel actualizado a la última release estable.
.. Puertos de acceso limitados a los servicios que ofrecemos.
.. Acceso personalizado a determinados servicios mediante ip fija.
.. Backup diario de cada cuenta de hosting y replica a 3 servidores en diferentes proveedores.
.. Backup diario, semanal y mensual recuperable por el cliente directamente desde su panel de control.
que nosotros si ofrecemos.
Es obvio que estas medidas siempre deben combinarse con una buena política de actualizaciones por parte del cliente, tanto de su Joomla! como de las distintas extensiones que habitualmente utiliza. También es importante que considere que la custodia de accesos (usuarios/contraseñas) forman parte de este entorno de seguridad proactiva y pasiva, ya que de poco sirve nuestra seguridad si luego los datos de acceso están al alcance de cualquiera.
Aparte de como le indicamos de mantener tanto Joomla! como sus extensiones actualizadas, puede añadir a Joomla! funciones de seguridad extras. Por ejemplo:
RSFirewall! --> http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/8968
Otras opciones son: http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection
Saludos,
Estimado Jordi,
Gracias por tu atención, vamos a evaluar la opción de RSFirewall que comentas.
Por favor, por último quisiéramos saber si debemos tomar algún tipo de medida específica sobre el fichero .htaccess, ya que tenemos entendido que suele ser el foco inicial de ataques.
Aprovecho la oportunidad para agradeceros el magnífico servicio y fundamentalmente el excelente trato que nos estáis brindando. Si bien no tenemos amplia experiencia en entornos Joomla!, es muy destacado vuestro servicio de atención al cliente frente a otros proveedores de hosting nacionales, con los que hemos trabajado durante muchísimos años (R.I.P. Nomin... y Dinah...).
El peloteo no implica descuento, así que enhorabuena y gracias nuevamente.
Hola Alvaro,
Sobre .htaccess: https://www.webempresa.com/blog/codigos-utiles-htaccess-para-wordpress.html
Elementos de seguridad en Joomla!: https://www.webempresa.com/blog/item/139-elementos-de-seguridad-en-joomla.html y
Muchas gracias por tus comentarios en relación al servicio que ofrecemos.
Normalmente solicitamos testimonios para colocar en nuestra página y ayudar a otros posibles clientes a decidirse: https://www.webempresa.com/testimonios.html
Si nos quieres enviar tu testimonio podemos colgarlo en nuestra página con un link hacia la tuya que siempre te ayudará a posicionarte porque nuestra página tiene un Page Rank de Google alto.
Puede enviarlo a través de ticket, o en el apartado https://www.webempresa.com/testimonios.html --> en el módulo Dar testimonio --> enviar artículo.
Contacta con nosotros a través de ticket al departamento de soporte técnico, y te enviaremos sin ningún coste para ti la extensión RSFirewall.
Saludos,
Estimado Jordi,
Vamos a estudiar con detenimiento los artículos que nos has señalado del blog.
Quiero comentarte también que vuestro soporte ya ha incluido nuestro testimonio (testimonio de RAATIC).
Por otra parte, te agradezco sinceramente el detalle que has tenido al ofrecernos sin coste la extensión RSFirewall, quedamos a la espera de recibirla para ponerla inmediatamente en producción.
Recibe un cordial saludo.
Hola Alvaro,
Según tengo entendido los técnicos dejaron el archivos de RSFirewall en tu /public_html ...revisalo.
Saludos
gnumax, descargado e instalado!
Gracias nuevamente.
Hola Alvaro,
Te recomiendo además la lectura de estos dos documentos, uno al que le afecta la LOPDCP y otro sobre seguridad y premisas a tener en cuenta:
-
- https://www.webempresa.com/blog/item/321-la-seguridad-en-joomla.html
Saludos
Hola gnumax,
Me has dado material de lectura y estudio para un buen rato.
Te agradezco mucho la colaboración.
Saludos.