¿Cuáles son las acciones que se deben tomar después de una nueva instalación de Joomla para mantenerla segura? Tanto en servidores de alojamiento compartido como en servidores dedicados.
security
installation
ilias
fuente
fuente
Respuestas:
Mantener un sitio web de Joomla seguro
Para obtener instrucciones más detalladas, consulte la Lista de verificación de seguridad oficial .
fuente
Es muy importante almacenar las copias de seguridad en un servidor separado. Veo a muchas personas que ejecutan fielmente Akeeba Backups ... y se almacenan en el mismo servidor en el mismo directorio raíz. No es tan útil si es pirateado de manera seria, y ciertamente no es útil para recuperarse de una falla de alojamiento.
Akeeba Backup Pro le permite almacenar y administrar archivos de respaldo en almacenamiento externo como la nube de Amazon.
fuente
Como alternativa al archivo .htaccess o bloqueándolo por IP, también puede usar jSecure para asegurar su inicio de sesión de administrador.
Una cosa que no se ha mencionado es utilizar un proveedor de alojamiento de buena reputación. Desea uno que no solo se mantenga al día con la seguridad, sino que también funcione con usted si es pirateado o si hay un problema (la base de datos se corrompe, por ejemplo). La idea es limitar el daño que hace su sitio mientras le permite limpiarlo.
La idea básica, quieres a alguien que ...
Si quieres una lista de preguntas para hacerle a un anfitrión para que se sienta mejor, solo házmelo saber.
Espero que esto ayude.
fuente
Prueba esto también
robots.txt
para carpetas seguras.Espero que sea de ayuda.
fuente
Básicamente, en mi experiencia, con el tamaño de Joomla no hay forma de asegurarlo completamente. Entonces, en lugar de una política de seguridad perfecta que lo detenga todo, lo mejor es reducir sus expectativas para tratar de reducir el daño general.
Esto se puede hacer con una política de copia de seguridad extremadamente frecuente para que en cualquier intrusión se pueda deshacer el sitio, así como escaneos de malware. Hasta ahora, ningún hack que hemos tenido se debió a que nuestro panel de administración fuera forzado.
La mayoría de los hacks que vemos son de componentes de terceros o del núcleo de Joomla, incluso hemos visto que los hacks logran acceder también a las últimas versiones de Joomla. Esto se debe a que el pirateo generalmente puede verse como una solicitud normal, utilizando un filtrado incorrecto para insertar un archivo en el servidor. Una vez que un archivo está en el servidor, todo es juego limpio, puede estar en CUALQUIER sitio en un servidor compartido completo y aún afectar el suyo, por lo que si una persona en un servidor compartido no se mantiene actualizado, puede afectarlo.
Esto puede ser un poco extremo, pero basado en la experiencia personal, es mejor estar preparado para lo peor, luego confiar demasiado en que su política lo evitará todo.
Entonces, la mejor manera de asegurar una nueva instalación de Joomla es hacer una copia de seguridad a menudo y habilitar escaneos de malware, si el escáner de malware puede enviarle un correo electrónico tan pronto como encuentre algo, puede volver a la última copia de seguridad en un plazo muy corto.
fuente
Cambie el nombre de usuario y mantenga la contraseña de administrador segura, use la autenticación de dos factores (incorporada para 3.3+, para otros http://www.readybytes.net/labs/two-factor-authentication.html )
Instale kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
Proteja su sitio web de varios ataques utilizando este htaccess http://docs.joomla.org/Htaccess_examples_(security)
fuente
Tomando prestada esta lista de un documento técnico "Pen-testing a Joomla site" encontrado en el blog. Creo que esta lista es una guía exhaustiva para los conceptos básicos de seguridad de Joomla.
Use contraseñas seguras para todos los inicios de sesión. Al menos 8 caracteres, un carácter especial, un número y una letra entre mayúsculas y minúsculas. Protegerá su instalación de una fuerza bruta.
Mantenga siempre un registro de los "Últimos visitantes" en los archivos de registro del servidor web para detectar posibles ataques. Nunca considere sus archivos de registro solo como una pieza de información. Es muy útil para rastrear y monitorear a los usuarios.
Esfuércese por implementar más seguridad en todo el servidor en el que se aloja su sitio basado en Joomla; siendo alojado en un servidor compartido o uno dedicado.
Haga una lista de todas las extensiones que usa y siga monitoreándolas.
Manténgase actualizado con las últimas vulnerabilidades y divulgaciones en varios avisos de seguridad. Exploit-db, osvdb, CVE, etc. son algunos de los buenos recursos.
Cambie el permiso en su archivo .htaccess como está por defecto usando permisos de escritura (ya que Joomla tiene que actualizarlo). La mejor práctica es usar 444 (r-xr-xr-x).
Deben otorgarse los permisos de archivo adecuados en los directorios públicos para que ningún archivo malicioso no pueda cargarse o ejecutarse. La mejor práctica en este contexto es 766 (rwxrw-rw-), es decir, solo el propietario puede leer, escribir y ejecutar. Otros solo pueden leer y escribir.
Nadie debe tener permiso para escribir en archivos PHP en el servidor. Todos deben estar configurados con 444 (r — r — r--), todos pueden leer solo.
Delegar los roles. Hace que su cuenta de administrador sea segura. En caso de que alguien piratee su máquina, debe tener acceso solo al usuario respectivo y no a la cuenta de administrador.
Los usuarios de la base de datos solo deben tener permiso para dar comandos como INSERT, UPDATE y DELETE. No deben permitirse BAJAR tablas.
Cambie los nombres de las carpetas de fondo, por ejemplo, puede cambiar / administrador a / admin12345. 16. Por último, pero no menos importante, manténgase actualizado con las últimas vulnerabilidades.
fuente
Su primera línea de defensa es su servicio de alojamiento.
Tu próxima línea de defensa es tu cPanel
Su próxima línea de defensa es su panel de administrador.
Estoy seguro de que hay otros pasos, pero estos son los principales que uso en mi servidor que aloja más de 70 sitios web de todo el país. Recientemente tuve un ataque masivo similar a un ataque DDoS y no se accedió a ningún sitio web. Me sentí como a 10 pies de altura y a prueba de balas, pero sé que no puedo ser complaciente ya que mañana es otro día. Jajaja
fuente
No soy fanático de la autenticación de dos factores
Instale Akeeba Admin Tools, habilite htaccess avanzado, verifique las opciones y el firewall del software
https://www.akeebabackup.com/download/admin-tools.html
fuente