Seguridad para sitios web en Joomla 1.5 y 2.5

Escrito por Ing. Pablo A Pico el . Posteado en Tutoriales y tips

¿Su sitio web en Joomla 1.5 ha sido atacado? Muchos se preguntarán porque si estamos en el 2017, cuando ya la versión 1.5 de Joomla ya está obsoleta hace tanto tiempo, se habría de escribir acerca de la seguridad en esa versión de Joomla. Pero en realidad existen aún sitios web en esa plataforma sobreviviendo a las exigencias de seguridad actuales.

Cuando se habla de seguridad en Joomla 1.5 muchas veces lo primero que se recomienda es actualizar a Joomla 3+ (o a la versión que esté vigente). No obstante en la práctica pueden haber razones por las que se prefiera seguir soportando ese sitio web en Joomla 1.5 o 2.5 dado que una actualización a 3+ puede requerir recursos con los que no se cuentan; por ejemplo si el cliente no está dispuesto a invertir en una actualización.¡

El objetivo de esta guía es permitirle endurecer su Joomla 1.5 asumiendo que actualizar a una versión más reciente no está entre sus opciones. Al realizar los pasos que expondré aquí usted disminuirá sustancialmente el riesgo de que su sitio web bajo Joomla 1.5 sea atacado.

Un vistazo a los ataques típicos a sitios web Joomla 1.5

– Me hackearon la página web. – Se le metió un virus a la página. – Son algunas de las cosas que uno escucha tras descubrir que infortunadamente se ha sido víctima de un ataque informático.

Tipos más frecuentes de ataques a Joomla 1.5

Defacement

Usualmente cambian la página de inicio cambiando el archivo index.php o subiendo un index.html

SQL Injection o Inyección de SQL

El atacante inyecta contenidos o crea usuarios para sus actividades maliciosas

Otros

Otros ataques frecuentes tienen como objetivo utilizar el servidor para envío de correo masivo, ejecutar ataques informáticos a terceros, robo de información y denegación del servicio.

Lo que tienen en común esos ataques

Tienen en común estos  ataques a sitios web dos cosas: 1. Los ataques informáticos a terceros, incluyendo a sitios web, son un delito en Colombia y la mayoría de países del mundo; posiblemente en todos. 2. Con muy pocas excepciones los ataques tienen éxito porque explotan vulnerabilidades existentes en el sitio web. Esto significa que se pueden evitar en la medida en que se identifiquen y corrijan dichas vulnerabilidades.

Tienen en común la mayoría de ataques informáticos a sitios web en Joomla:

  1. Que por lo general hacen parte de un ataque dirigido masivamente a muchos sitios web similares. Es decir no están dirigidos específicamente a su sitio web.
  2. Es muy probable que el ataque que ud ha sufrido no lo ha ejecutado un experto (claro la forma de realizarlo seguramente si es de autoría de un experto). Pueden ser realizados por un aficionado con algún procedimiento automatizado donde primero busca a quienes puede atacar y luego realiza el ataque. En ese orden de ideas estos ataques tienden a hacerse más frecuentes en los sitios que de alguna manera se hacen más atractivos o fáciles por tener vulnerabilidades comunes.

 

Recomendaciones básicas de seguridad para su sitio web

Estas recomendaciones aplican prácticamente a cualquier CMS:

  • El usuario administrador no debe ser algo como admin o administrator o adminsitrador.
  • No exponer el nombre del usuario administrador (por ejemplo cuando se muestra el autor del artículo)
  • Remover la metaetiqueta “generator” que expone el nombre y versión de la plataforma utilizada.
  • Deshabilite la información de errores o depuración

 

Recomendaciones básicas de seguridad para Joomla 1.5

Estas recomendaciones aplican de forma similar a otros CMS:

  • Deshabilite el registro de usuarios si no lo está utilizando
  • Cambie el prefijo de la base de datos. Nunca utilizar el que venía por defecto “jos_”
  • Remover la metaetiqueta “generator” que expone el nombre y versión de la plataforma utilizada.
  • Prohiba el acceso a la carpeta administrator. Algunos plugin permiten cambiar la url de acceso al backend. O mejor aún puede desde su servidor bloquear la carpeta y autorizar solamente ciertas dirección IP y/o proteger por contraseña.
  • Prohiba completamente la escritura del archivo de configuración y de archivos .htaccess
    Seguramente estos archivos no los está modificando puede quitar el permiso de escritura completamente. En Linux podría ser 444 por ejemplo.
  • Utilice SEF, y la extensión nonseftosef para impedir que se usen urls que no son tipo SEF ya que son las más vulnerables

 

Recomendaciones de seguridad para Joomla 1.5 en 2018

Algunos parches aplicados a nuevas versiones de Joomla, que tiene que ver con seguridad, pueden servir como base para endurecer la seguridad de estas versiones antiguas. Por eso es recomendable ver que parches nuevos serían aplicables, teniendo en cuenta que muchas secciones de código siguen siendo similares en las últimas versiones 3+

Algunas recomendaciones que tengo serían:

  • En la carpeta media\system\swf cambie el archivo uploader.swf por un archivo Vacío
    Este archivo permitía la carga por Flash de archivos pero tiene problemas de seguridad además de que Flash es tecnología vieja que seguramente no estará utilizando
  • Aplicar este parche de Session Hardening para Joomla 1.5
    Estos parches fueron publicado en sitios confiables y se puede comparar el código con la versión 1.5.26
    Algunos de los links relacionados son:
    https://developer.joomla.org/joomlacode-archive/issue-31626.html
    https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
  • Elimine (bórrelas completamente) todas las extensiones que no esté utilizando. Se recomienda backup primero. Entre menos extensiones menos riesgos. En especial aquellas que tienen que ver con formularios, que permitan subida de archivos y/o autenticación.
  • Si ya no está actualizando contenidos quizás pueda prescindir de editores wyisiwyg como JCE
  • Elimine extensiones contra lfi o anti inyección SQL. Seguramente están obsoletas y son contraproducentes.
  • Si no está subiendo o eliminando archivos puede quitar permisos de escritura a todos los archivos y carpetas. O al menos a los de sistema.
  • Utilice una barrera de seguridad adicional. Por ejemplo Cloudflare.
  • Si está modificando contenidos aún entonces realice backup periódico
  • Elimine archivos .txt en la raíz que no necesite. (prácticamente todos excepto robots.txt)
    Sucede que estos archivos ayudan a determinar la versión de Joomla y eso no conviene revelarlo a robots de ataque masivo.

Algunos proveedores de hosting compartido (shared hosting) no permiten versiones obsoletas alojadas en sus servidores. Puede modificar el número de versión version.php para sobrepasar los escaneos automáticos.

¡Si tiene alguna otra recomendación no dude en compartirla con nosotros!
Recuerden que actualizar a una versión vigente, si es posible, siempre será la mejor opción.

 

 

Etiquetas:,

Ing. Pablo A Pico

Hola colegas y amigos. Los invito a seguir el blog a través del Fanpage en Facebook. En caso de que quieran contactarme lo pueden hacer por Twitter. A aquellos que sean Ingenieros de Sistemas y Desarrolladores de software los invito a formar parte de nuestro nuevo grupo en Facebook. Gracias por su visita, Ing Pablo A Pico

"Trackback" Enlace desde tu web.

¡Síguenos en Facebook con un me gusta!

Este sitio web está dedicado a los Ingenieros de Sistemas en Colombia. www.ingenierodesistemas.co