La securización de un gestor de contenidos en un servidor debe realizarse tanto por parte de los clientes como por parte de los administradores del servidor, INFRANETWORKING realiza la securización de APACHE, PHP y MYSQL, todos componentes que JOOMLA necesita para funcionar, además de una completa securización del servidor que no detallaremos aquí pues escapa al objetivo de este artículo.

Otro factor a tener en cuenta cuando hablamos de seguridad es el de contar con respaldos actualizados tanto de la bae de datos como de todas los directorios y archivos que componen la instalación, INFRANETWORKING realiza respaldos a diario de todos los sitios que hostea.

Veamos lo que ustedes los clientes pueden (y deberían) hacer para aumentar la seguridad de Joomla:

Como les hemos comentado en otras oportunidades debemos partir de la base de contar con una instalación actualizada, lo que representa una gran mejoría en el tema de la seguridad debido a que las vulnerabilidades descubiertas por los porgramadores han sido solucionadas con las actualizaciones correspondientes. Así que si piensan instalar un CMS JOOMLA en su dominio asegurense de que descargan e instalan la última versión estable disponible. Si lo tienen ya instalado segurense de contar con todas las actualizaciones disponibles instaladas.

Otro problema de seguridad habitual se genera por tener permisos mal seteados para los directorios y archivos del sitio, traten de evitar la utilización de permisos 777, debido a que con ellos el sitio queda expuesto a diversas vulnerabilidades como la inclusión de código malicioso, etc. Los permisos apropiados para JOOMLA deberán ser de 755 para los directorios y de 644 para los archivos. Tengan en cuenta que existe una herramienta propia de JOOMLA que ajusta los permisos de forma masiva y automática para todos los directorios y archivos que componen la instalación, sin embargo puede presentarse algún problema con su uso. Dicha herramienta se encuentra disponible en Global Configuration (configuración global).

Algo muy importante es la utilización de passwords dificiles en lugar de poner nombres propios, de familiares o el de sus mascotas, utilicen passwords que se compongan de una combinación de letras mayúsculas, minúsculas y números y con al menos 10 caracteres, de lo contrario el password corre riesgo de ser hackeado.

La descarga de JOOMLA debe realizarse de sitios oficiales y NO desde ortos sitios.

Actualmente se utiliza la variable register_globals de PHP en Off, pero hay extensiones viejas de JOOMLA que requieren esta variable en On, les recomendamos evitar el uso de esas extenciones por representar un riesgo para la seguridad de su sitio.

Siguiendo con el tema de las extensiones, aplique lo mismo para su descarga: solo desde sitios oficiales o de confianza, y recuerde que existe una lista de las extensiones de JOOMLA que tienen vulnerabilidades, la misma puede consultarse aquí: http://forum.joomla.org/index.php/topic,79477.0.html

Antes de instalar una extensión nueva respalde la base de datos y los archivos de su sitio, podrá hacerlo facilmente desde su panel de control cPanel.

Las extensioness que no tenga en uso, remuevalas por completo de la instalación.

El uso de navegación segura a través de certificados SSL es un gran valor agregado para securizar un sitio, los mismos pueden ser solicitados a través de un ticket de soporte en INFRANETWORKING.COM y el personal técnico de la empresa realizará la instalación de inmediato.

Dado que la mayoría de los problemas de seguridad se dan a nivel de web y aplicaciones, en INFRANETWORKING consideramos vital crear una consciencia de la importancia de mantener las aplicaciones con el máximo nivel de seguridad posible, por ello en el siguiente artículo podrán aprender como mejorar considerablemente la seguridad de uno de los CMS más populares de hoy en día: Wordpress.

Seguridad a través de Plugins

Comencemos con la securización del ingreso a Wordpress, para ello utilizaremos el Plugin Chap Secure Login.

Podemos usar el Plugin Logic LockDown para detectar ataques de fuerza bruta

Otro Plugin recomendado para verificar el nivel de seguridad de nuestro Wordpress es WP Security Scan y algo que tampoco puede faltar es un Plugin AntiVirus.

Hasta ahora hemos visto como mediante el uso de Plugins podemos mejorar considerablemente la seguridad de nuestro Wordpress. La instalación de dichos Plugins es muy sencilla, ya que solo basta con descargarlos desde sus correspondientes sitios web, generalmente vendrán comprimidos en .zip, los descomprimimos y veremos como resultado las carpetas o archivos .php resultantes. Esa carpeta o archivo .php es el plugin, que deberemos subir por FTP a la carpeta “wp-content/plugins/” de nuestro sitio con Wordpress, luego de eso ingresaremos al panel de control de Wordpress de nuestro sitio y desde la sección de Plugins podemos activarlo y configurarlo a gusto.

Mantener Wordpress al día!

Otro punto muy importante a tener en cuenta es que debemos tener siempre nuestro Wordpress ACTUALIZADO, de esa manera estaremos protegidos contra las vulnerabilidades que van apareciendo y que se solucionan con las versiones nuevas. Pero por más que lo tengamos muy actualizado, si usamos passwords débiles en la administración o el FTP que da acceso a Wordpress, estamos tapando un agujero y dejando abierto otro, recuerda siempre usar PASSWORDS DIFÍCILES, que incluyan letras mayúsculas y minúsculas, números y símbolos como @ # ! $, entre otros.

Backups y Passwords

Parte de la seguridad de un sitio consiste en contar siempre con RESPALDOS actualizados tanto de la base de datos como de todos los archivos y directorios que lo componen. INFRANETWORKING realiza siempre respaldos actualizados de todos los sitios alojados en sus servidores de Hosting Reseller y Básico, pero si lo desean pueden realizar respaldos propios de Wordpress para mayor tranquilidad. Para tal fin tenemos el Plugin BackUpWordPress, que nos permite realizar respaldos completos y restauración de los mismos cuando sea necesario. Cuenta con la posibilidad de programar la generación de respaldos para que se realicen con la frecuencia que queramos. El programa nos enviará un correo de notificación una vez que cada respaldo haya sido generado.

SPAM

Otro punto que queríamos mencionar es el del SPAM, un flagelo que azota la Internet cada vez con mayor fuerza y los sitios con Wordpress no son la excepción. Es importante tener el sitio securizado contra el SPAM, para lograrlo tenemos muchos Plugins que nos serán de gran utilidad. Uno de los más populares es Akismet que nos permitirá salvaguardar nuestro sitio del indeseable SPAM. Akismet viene incluido en todas las instalaciones de Wordpress y su configuración es muy sencilla.

Certificados SSL

Otra  excelente medida para proteger nuestros sitios es usar navegación segura a través del uso de Certificados SSL. (Protocolo de Capa de Conexión Segura). Para poder utilizar SSL vamos a necesitar adquirir un certificado SSL y activarlo en nuestro sitio, tarea que INFRANETWORKING puede realizar para todos sus clientes sin ningún problema, solo tienen que pedirla mediante ticket de soporte técnico para el sitio en el cual lo quieran utilizar. Después vamos a necesitar instalar el Plugin Admin SSL que nos proveerá de seguridad SSL para nuestro sitio.

El universo wordpress es muy amplio y existen cientos de plugins y modificaciones para realizar muchas cosas, no solo a nivel de seguridad, les recomendamos seguir investigando en Internet y avanzar en la customización y mejora de este fantástico CMS.

Los foros, más allá de las diferentes variantes que existen hoy en día, siempre son algo que consume recursos en los servidores, especialmente si tu comunidad es grande con miles de usuarios, acumulando cientos de miles de posts o hasta millones de posts. Este es el momento donde se comienzan a notar los efectos de ese inmenso tráfico en el servidor, ram y procesadores consumidos, lentitud, caídas en el servicio.

Desde este artículo se pretende explicar brevemente como optimizar vBulletin para mejorar el rendimiento del servidor y la velocidad de despacho del foro.

* Recomendamos que siempre se haga una copia de seguridad antes de realizar cualquier cambio aquí expuesto

1. Mover los adjuntos al sistema de archivos.Los adjuntos originalmente usan la base de datos para alojarse, por lo cual la carga y tamaño de esta puede crecer considerablemente rápido.Pasos:* – Crea un directorio llamado “attachments” dentro del directorio raíz de tu sitio, generalmente /home/usuario, de modo que quedaría: /home/usuario/attachments. Es importante crear el directorio un nivel antes que la web (generalmente en /home/usuario/public_html/) para evitar que cualquier persona acceda a tus archivos.

   * – Aplica permisos de escritura 777 (o 755 si usas suPHP) al directorio creado.

   * – Ingresa a vBulletin – AdminCP, Menú “Adjuntos”, click en “Attachment Storage Type”, ahora tendrás que mover los adjuntos fuera de la base de datos, ubicándolos en el sistema de archivos.

   La ruta de los adjuntos será: Ruta de adjuntos: /home/username/attachmentsRecuerda reemplazar “username” por el usuario real del sistema que corresponde a tu sitio.

2. Mover Avatares y Fotos de perfiles al sistema de archivosAl igual que hicimos antes con los adjuntos, haremos lo mismo para los avatares y fotos de perfil de cada usuario.
   Pasos:

   * – Setea permisos de escritura para los archivos forums/customavatars y forums/customprofilepics a 777 (o 755 si usas suPHP).
   * – vBulletin – AdminCP, luego presiona sobre “Avatars”.
   * – Presiona en “User Picture Storage Type”
   * – Presionar sobre “Move Avatars and Profile Pics to the File System”
   * – Setea las rutas y URLs correspondientes:

   Ruta de Avatares: /home/usuario/public_html/forums/customavatars
   URL de Avatares: /forums/customavatars

   Ruta de Fotos del Perfil: /home/usuario/public_html/forums/customprofilepics
   URL de Fotos de Perfil: /forums/customprofilepics

3. Deshabilita la búsqueda y la opción “Quien está en linea” para los usuarios no registrados Es totalmente inútil tener el buscador y la opción “Quien está en linea” habilitada para usuarios no registrados, consume recursos y de seguro son usuarios que leen el foro por arriba, no les interesa saber quien está en línea o no. Esto puede deshabilitarse de la siguiente manera:vBulletin – AdminCP
   Menú “Usergroups”
   Seleccionar “Usergroup Manager”
   Seleccionar “Unregistered / Not Logged In”
   En las opciones “Can Search Forums” y “Can View Who’s Online” realiza el cambio y setéalos como “No”
   Presiona “Submit” para aplicar los cambios.
4. Aumentar el tiempo de vida de los posts en caché Los posts publicados en el foro pueden ser cacheados, de esta manera el sistema no realiza búsquedas sin sentido en la base de datos, ahorrando tiempo y recursos. El caché puede habilitarse de la siguiente manera:vBulletin – AdminCP
   Menú “vBulletin Options” – Presiona en “vBulletin Options”
   Presiona en “Server Settings and Optimization Options”
   Subir el valor de “Cached Posts Lifespan” a 90
   Presiona “Submit”
5. Guardar los CSS StyleSheets como un único archivo Por defecto, vBulletin usa el CSS en todas las URLs del foro. Al guardar el CSS como archivo, permite a los usuarios y robots de buscadores cachear el CSS, alivianando el peso y velocidad de despacho del foro.* – Setear permisos 777 a forums/clientscript/vbulletin_css (o 755 si usas suPHP).* – vBulletin – AdminCP – “vBulletin Options”
   * – Presiona sobre “Style and Language Options”
   * – Cambia “Store CSS Stylesheets as Files”

En la Parte 2, nos enfocaremos en otras opciones para optimizar vbulletin, tanto a nivel de panel como optimizando el Hosting a nivel de configuraciones en servidores dedicados o vps.

Wordpress es uno de los gestores de contenido más populares de hoy en día, se usa tanto para manejar todo tipo de webs, pero sobre todo Blogs. Está escrito en PHP-MySQL, su desarrollo ha evolucionado muchísimo en poco tiempo, es fácil de instalar, tiene una comunidad gigante de usuarios, y además existen miles de plugins para añadir nuevas funcionalidades a tu Blog/Web.

Pero como todo software, Wordpress también tiene problemas, el principal a nuestro entender, es el tremento consumo de CPU (y RAM) que genera al sobrepasar varios miles de visitas. En este artículo intentaremos orientar al usuario para poder optimizar Wordpress.

1.- Wordpress hace uso de PHP y MySQL, y por cada página que vamos a navegar se necesitan realizar consultas a la BD para luego generar el archivo HTML resultante. Existe un plugin que reduce las consultas al cachear mediante copias cada consulta realizada por las peticiones de página. Se llama WP-Cache y es uno de los principales puntos a tener en cuenta para reducir el consumo de CPU.

Descarga de WP-Cache

2.- Optimiza las consultas a la base de datos, esto puedes lograrlo editando los archivos PHP y reemplazando llamadas a la BD en numerosas ocasiones, principalmente en los archivos theloop.php, footer.php, header.php y single.php. También aprovecha y cada x tiempo depura los residuos de las tablas MySQL mediante el uso de PHP-MyAdmin y la función “optimize”.

3.- Deja el servicio de Feeds para servicios externos, alivianando la carga. Usa FeedBurner para administrar tus Feeds, además que es un servicio externo, es generalmente muy superior a lo que lograrás con el feed que incluye Wordpress.

4.- Intenta usar la menor cantidad de plugins. Sabemos con certeza que los plugins aveces añaden excelentes funcionalidades a nuestros blogs, pero también lo hacen a la BD y en consecuencia, al sistema.

Otras recomendaciones : no uses el plugin Brian’s Latest Comments ni el plugin Simple Tags, está comprobado que ambos generan muchísimas consultas a la BD, hay muchas alternativas que brindan las mismas funciones.

5.- Intenta usar un theme simple y que no recargue el sitio con muchas cosas. ¿Por que crees que el theme Default va tan bien?

6.- Si manejas un servidor dedicado, hay numerosas optimizaciones que pueden realizarse al archivo /etc/my.cnf de MySQL para dejarlo a tope para recibir consultas de MySQL. Hay una excelente guía que muestra como optimizar nuestro servidor MySQL aquí.

Tocando esos 5 puntos como se han expuesto, podrás notar una mejora sustancial en el rendimiento de tu Wordpress y como afecta al sistema.

Dado que éste es uno de los CMS más usados hoy en día, creemos importante realizar este anuncio.

Wordpress ha anunciado hace ya un par de días una nueva actualización de emergencia, en este caso es la nueva versión 2.6.3 que pretende cubrir un fallo de seguridad en la librería Snoopy, dicha librería es la encargada de mostrar los feeds en nuestro panel administrador, no es un error super grave, pero puede comprometer la seguridad de tu sitio, siempre vale la pena actualizar.

Para actualizar, sólo debes copiar los dos archivos nuevos y reemplazarlos sobre los afectados:

1. wp-includes/class-snoopy.php
2. wp-includes/version.php

O bien actualizar usando todo el paquete completo, como gustes