ASOCIACION EDUCATIVA EUREKA Implementación de Portales Web en Joomla

CONSEJOS PARA HACER MÁS SEGURO JOOMLA

Joomla se ha convertido en uno de los mejores gestores de contenidos para la Web disponible
libremente para su descarga y uso. Con la utilización masiva de Joomla no han llegado sólo
beneficios en forma de una enorme comunidad de usuarios que crean extensiones y mejoran el
sistema; también existen riesgos de seguridad que conviene conocer e intentar superar. A
continuación ofrecemos algunos consejos que harán más segura tu instalación de Joomla.

1. Actualiza Joomla.
Usa siempre la última versión de Joomla disponible. Una versión no actualizada de Joomla es un
objetivo muy fácil para los piratas informáticos. La actualización siempre suele ser igual: basta con
subir los archivos a actualizar vía FTP. No es necesario tocar la base de datos ni modificar a mano
fichero alguno.

2. Actualiza tus extensiones.

Es indudable que a mayor número de extensiones instaladas más inseguro es tu sitio Web. Cada
extensión es un programa prácticamente independiente de Joomla que requiere su propio
mantenimiento (esto incluye a componentes, módulos y plugins). Cada cierto tiempo, el creador de
una extensión publica una actualización, que será preciso instalar en nuestro sitio Web. El proceso
de actualización suele ser siempre el mismo (suele bastar con desinstalar la anterior e instalar la
nueva), aunque pueden existir extensiones que requieran otro tipo de actualización. Te
recomendamos visitar la página Web del autor o el espacio que tenga la extensión en
extensions.joomla.org. Sobre las extensiones, recuerda que:

• Una extensión no utilizada es mejor que sea eliminada.

• No busques extensiones para cualquier cosa que se te ocurra. Piensa cómo lo harías con lo
que trae Joomla "de serie" y evitarás muchas horas de mantenimiento. Por ejemplo, para
hacer un "blog" no es necesario instalar esa extensión tan complicada de mantener... Con
una sección y algunas categorías te puedes crear tu blog. Otro ejemplo: para hacer un
completo calendario de eventos no es necesario instalar complejas extensiones, salvo que
se vayan a actualizar muy a menudo. Con una sección "calendario" y varias categorías
("excursiones", "centro", etc) y sus correspondientes artículos se puede crear una lista de
contenidos que asemeje un calendario de eventos.
• Comprueba que la extensión es utilizada por mucha gente y tiene soporte (que sea
popular). Accede a extensions.joomla.org y observa los comentarios. Una extensión "muy
favorita" y con muchos comentarios es habitualmente señal de que la extensión está "viva"
y es utilizada de forma segura por otros. Una buena práctica es instalar extensiones que
aparecen en los listados de "más favoritas", "elección del editor", "más populares", "más
valoradas"...
• Instala siempre la última versión disponible de la extensión. En la ficha de
extensions.joomla.org tienes la última versión disponible y la fecha de actualización. Si la
extensión tiene varios módulos, componente y plugins, instala siempre las últimas
versiones de todos.
• No descargues e instales extensiones de lugares diferentes a extensions.joomla.org
(oficial). No uses extensiones descargadas de sistemas P2P (emule, etc), ni plantillas, pues
pueden contener troyanos, virus, o ser extensiones de pago (comerciales) que no son de
libre utilización.
• Casi siempre hay una alternativa a las extensiones comerciales. Utiliza software libre.

Ing Ricardo Inquilla Quispe 1

ASOCIACION EDUCATIVA EUREKA Implementación de Portales Web en Joomla

• Vigila especialmente las extensiones que fomentan la participación: foros, sistemas de

comentarios, galerías de fotografías con comentarios... Actualiza muy especialmente estas
para evitar que tu sitio se convierta en un "agujero de spam".

3. Haz una copia de seguridad.

Si todo va mal, al final habrá que recuperar una copia de seguridad y actualizar Joomla y sus
extensiones, para evitar un nuevo ataque. Aunque el Servicio de Internet realiza copias periódicas
de seguridad que se podrían restaurar, a veces es conveniente tener nuestra propia copia.

4. Medidas de seguridad a nivel de administración.

Algunas cosas que puedes hacer como administrador para complicar un poco más la vida a los
piratas (nivel avanzado, cuidado con lo que hacéis):

• Cambia el prefijo de la base de datos (durante la instalación). Joomla crea las tablas de la
base de datos con el prefijo "jos_" de forma predeterminada. Durante la instalación,
podemos modificar este parámetro en el paso de creación de la base de datos por
cualquier otro valor, por ejemplo "col_", "tbl_"... Esto no afectará al funcionamiento de
Joomla. También se podría hacer cuando Joomla está instalado, modificando un parámetro
en el archivo "configuration.php" y renombrando las tablas vía PHPMyAdmin, pero es más
complicado y es conveniente probar antes en modo local. Esto ayudará a prevenir la
mayoría de ataques de tipo "inyección SQL", así como los intentos de hackers por lograr los
detalles de la cuenta de super-administrador a través de la tabla "jos_users".
• Elimina las plantillas que no estás utilizando. Deja sólo la que muestra tu sitio Web. No es
seguro tener muchas plantillas instaladas, ya que algunas también tienen agujeros de
seguridad.
• No actives la "capa FTP" en la configuración global de Joomla. Esto se puede configurar en
la primera instalación o bien en el panel de administración de Joomla. No es conveniente
activar esta opción por motivos de seguridad. Ten en cuenta que Joomla almacenará esta
valiosa información (datos del FTP) en el archivo de configuración, que podría ser obtenido
por un atacante aprovechando alguna otra vulnerabilidad (por ejemplo si no actualizamos
ciertas extensiones) Esta opción no es necesaria para el buen funcionamiento de Joomla.
• Cambia el nombre de usuario "admin" del administrador. Tras la instalación, accede a la
gestión de usuarios, crea un super-administrador adicional y cambia el nombre de usuario
al super-administrador "admin" por cualquier otro. Recuerda esos datos para
posteriormente acceder. Esta combinación hará más complejo el robo del usuario principal
del sistema.
• Usa contraseñas complicadas. El nombre de tu localidad, de tu hijo o del perro no es una
buena contraseña. Tampoco una contraseña personal tuya o tu fecha de nacimiento, DNI,
teléfono móvil... Intenta utilizar contraseñas complejas para los usuarios administradores.
Un ejemplo de una contraseña compleja es A*$m4kWz. Intenta que tu contraseña incluya
alguna mayúscula, números, símbolos como *^!.)[ o similares y minúsculas, y que no
tengan menos de 8 caracteres.Y por supuesto, no pegues la contraseña en un pos-it en el
monitor del ordenador ni en el cajón del despacho. Cambia también esta contraseña cada
cierto tiempo. Hay sitios Web que te ayudan a generar contraseñas complejas:
http://www.strongpasswordgenerator.com/

• Asigna los permisos correctos a tus archivos vía FTP (no funcionará en el servidor de la
Junta, están predefinidos por motivos de seguridad). Si dispones de un servidor "alquilado",
estos son los permisos correctos que deberían tener tus archivos y carpetas: Archivos PHP:

Ing Ricardo Inquilla Quispe 2

ASOCIACION EDUCATIVA EUREKA Implementación de Portales Web en Joomla

644; Archivos de configuración: 666; otras carpetas: 755. Nunca, por muy mal que vaya tu
Joomla, asignes permisos del tipo "777" a nada, o tendrás problemas tarde o temprano.
• Usa una extensión que "oculte" tu directorio de administración. JSecure es una extensión
que te permite ocultar el directorio "administrator". Un plugin en el que puedes definir una
palabra (por ejemplo "administrador" o "miWeb", o lo que desees) para acceder al panel de
administración. Por ejemplo: http://edu.jccm.es/cp/nombrecentro/administrator, con
JSecure pasa a ser http://edu.jccm.es/cp/nombrecentro/miWeb (distingue
mayúsculas/minúsculas). ¡Cuidado! con este plugin pues te podría impedir el acceso al
administrador, úsalo con precaución y no olvides la palabra que sustituye tu administrator.
Descarga de la extensión "JSecure".

Ing Ricardo Inquilla Quispe 3