La securización de un gestor de contenidos en un servidor debe realizarse tanto por parte de los clientes como por parte de los administradores del servidor, INFRANETWORKING realiza la securización de APACHE, PHP y MYSQL, todos componentes que JOOMLA necesita para funcionar, además de una completa securización del servidor que no detallaremos aquí pues escapa al objetivo de este artículo.

Otro factor a tener en cuenta cuando hablamos de seguridad es el de contar con respaldos actualizados tanto de la bae de datos como de todas los directorios y archivos que componen la instalación, INFRANETWORKING realiza respaldos a diario de todos los sitios que hostea.

Veamos lo que ustedes los clientes pueden (y deberían) hacer para aumentar la seguridad de Joomla:

Como les hemos comentado en otras oportunidades debemos partir de la base de contar con una instalación actualizada, lo que representa una gran mejoría en el tema de la seguridad debido a que las vulnerabilidades descubiertas por los porgramadores han sido solucionadas con las actualizaciones correspondientes. Así que si piensan instalar un CMS JOOMLA en su dominio asegurense de que descargan e instalan la última versión estable disponible. Si lo tienen ya instalado segurense de contar con todas las actualizaciones disponibles instaladas.

Otro problema de seguridad habitual se genera por tener permisos mal seteados para los directorios y archivos del sitio, traten de evitar la utilización de permisos 777, debido a que con ellos el sitio queda expuesto a diversas vulnerabilidades como la inclusión de código malicioso, etc. Los permisos apropiados para JOOMLA deberán ser de 755 para los directorios y de 644 para los archivos. Tengan en cuenta que existe una herramienta propia de JOOMLA que ajusta los permisos de forma masiva y automática para todos los directorios y archivos que componen la instalación, sin embargo puede presentarse algún problema con su uso. Dicha herramienta se encuentra disponible en Global Configuration (configuración global).

Algo muy importante es la utilización de passwords dificiles en lugar de poner nombres propios, de familiares o el de sus mascotas, utilicen passwords que se compongan de una combinación de letras mayúsculas, minúsculas y números y con al menos 10 caracteres, de lo contrario el password corre riesgo de ser hackeado.

La descarga de JOOMLA debe realizarse de sitios oficiales y NO desde ortos sitios.

Actualmente se utiliza la variable register_globals de PHP en Off, pero hay extensiones viejas de JOOMLA que requieren esta variable en On, les recomendamos evitar el uso de esas extenciones por representar un riesgo para la seguridad de su sitio.

Siguiendo con el tema de las extensiones, aplique lo mismo para su descarga: solo desde sitios oficiales o de confianza, y recuerde que existe una lista de las extensiones de JOOMLA que tienen vulnerabilidades, la misma puede consultarse aquí: http://forum.joomla.org/index.php/topic,79477.0.html

Antes de instalar una extensión nueva respalde la base de datos y los archivos de su sitio, podrá hacerlo facilmente desde su panel de control cPanel.

Las extensioness que no tenga en uso, remuevalas por completo de la instalación.

El uso de navegación segura a través de certificados SSL es un gran valor agregado para securizar un sitio, los mismos pueden ser solicitados a través de un ticket de soporte en INFRANETWORKING.COM y el personal técnico de la empresa realizará la instalación de inmediato.

Dado que la mayoría de los problemas de seguridad se dan a nivel de web y aplicaciones, en INFRANETWORKING consideramos vital crear una consciencia de la importancia de mantener las aplicaciones con el máximo nivel de seguridad posible, por ello en el siguiente artículo podrán aprender como mejorar considerablemente la seguridad de uno de los CMS más populares de hoy en día: WordPress.

Seguridad a través de Plugins

Comencemos con la securización del ingreso a WordPress, para ello utilizaremos el Plugin Chap Secure Login.

Podemos usar el Plugin Logic LockDown para detectar ataques de fuerza bruta

Otro Plugin recomendado para verificar el nivel de seguridad de nuestro WordPress es WP Security Scan y algo que tampoco puede faltar es un Plugin AntiVirus.

Hasta ahora hemos visto como mediante el uso de Plugins podemos mejorar considerablemente la seguridad de nuestro WordPress. La instalación de dichos Plugins es muy sencilla, ya que solo basta con descargarlos desde sus correspondientes sitios web, generalmente vendrán comprimidos en .zip, los descomprimimos y veremos como resultado las carpetas o archivos .php resultantes. Esa carpeta o archivo .php es el plugin, que deberemos subir por FTP a la carpeta “wp-content/plugins/” de nuestro sitio con WordPress, luego de eso ingresaremos al panel de control de WordPress de nuestro sitio y desde la sección de Plugins podemos activarlo y configurarlo a gusto.

Mantener WordPress al día!

Otro punto muy importante a tener en cuenta es que debemos tener siempre nuestro WordPress ACTUALIZADO, de esa manera estaremos protegidos contra las vulnerabilidades que van apareciendo y que se solucionan con las versiones nuevas. Pero por más que lo tengamos muy actualizado, si usamos passwords débiles en la administración o el FTP que da acceso a WordPress, estamos tapando un agujero y dejando abierto otro, recuerda siempre usar PASSWORDS DIFÍCILES, que incluyan letras mayúsculas y minúsculas, números y símbolos como @ # ! $, entre otros.

Backups y Passwords

Parte de la seguridad de un sitio consiste en contar siempre con RESPALDOS actualizados tanto de la base de datos como de todos los archivos y directorios que lo componen. INFRANETWORKING realiza siempre respaldos actualizados de todos los sitios alojados en sus servidores de Hosting Reseller y Básico, pero si lo desean pueden realizar respaldos propios de WordPress para mayor tranquilidad. Para tal fin tenemos el Plugin BackUpWordPress, que nos permite realizar respaldos completos y restauración de los mismos cuando sea necesario. Cuenta con la posibilidad de programar la generación de respaldos para que se realicen con la frecuencia que queramos. El programa nos enviará un correo de notificación una vez que cada respaldo haya sido generado.

SPAM

Otro punto que queríamos mencionar es el del SPAM, un flagelo que azota la Internet cada vez con mayor fuerza y los sitios con WordPress no son la excepción. Es importante tener el sitio securizado contra el SPAM, para lograrlo tenemos muchos Plugins que nos serán de gran utilidad. Uno de los más populares es Akismet que nos permitirá salvaguardar nuestro sitio del indeseable SPAM. Akismet viene incluido en todas las instalaciones de WordPress y su configuración es muy sencilla.

Certificados SSL

Otra  excelente medida para proteger nuestros sitios es usar navegación segura a través del uso de Certificados SSL. (Protocolo de Capa de Conexión Segura). Para poder utilizar SSL vamos a necesitar adquirir un certificado SSL y activarlo en nuestro sitio, tarea que INFRANETWORKING puede realizar para todos sus clientes sin ningún problema, solo tienen que pedirla mediante ticket de soporte técnico para el sitio en el cual lo quieran utilizar. Después vamos a necesitar instalar el Plugin Admin SSL que nos proveerá de seguridad SSL para nuestro sitio.

El universo wordpress es muy amplio y existen cientos de plugins y modificaciones para realizar muchas cosas, no solo a nivel de seguridad, les recomendamos seguir investigando en Internet y avanzar en la customización y mejora de este fantástico CMS.

Dado que éste es uno de los CMS más usados hoy en día, creemos importante realizar este anuncio.

WordPress ha anunciado hace ya un par de días una nueva actualización de emergencia, en este caso es la nueva versión 2.6.3 que pretende cubrir un fallo de seguridad en la librería Snoopy, dicha librería es la encargada de mostrar los feeds en nuestro panel administrador, no es un error super grave, pero puede comprometer la seguridad de tu sitio, siempre vale la pena actualizar.

Para actualizar, sólo debes copiar los dos archivos nuevos y reemplazarlos sobre los afectados:

1. wp-includes/class-snoopy.php
2. wp-includes/version.php

O bien actualizar usando todo el paquete completo, como gustes

Se ha encontrado un agujero de seguridad en viejas versiones de SSH en sistemas RedHat Enterprise Linux/CentOS 4 y 5 (mismas versiones), se sugiere actualizar estos paquetes cuanto antes a través de los repositorios de up2date/yum.

—

Versiones afectadas:

Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux AS (v. 4.5.z)
Red Hat Enterprise Linux Desktop (v. 5 client)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux ES (v. 4.5.z)
Red Hat Enterprise Linux WS (v. 4)

Sistemas con CentOS derivados de estas versiones también verán que tienen los paquetes disponibles para actualizar desde los repositorios.

Nota: Todos nuestros servidores con administración básica y avanzada ya han sido parcheados.

Si su servidor no cuenta con administración contratada, con correr estos comandos debería poder actualizar e instalar los paquetes que previenen el fallo:

yum update

o bien

up2date -u

Para verificar si el sistema está infectado, se puede correr el siguiente script:

wget https://www.redhat.com/security/data/openssh-blacklist-1.0.sh
bash ./openssh-blacklist-1.0.sh

Más información

Cualquier consulta al respecto puede realizarse a soporte@infranetworking.com o desde el sistema de tickets.

La nueva versión 6 de INFRANETWORKING ha incorporado muchos cambios y adiciones en cuanto a servicios que la empresa brinda, y sobre todo la facilidad para que el cliente tenga todo eso integrado desde un mismo panel de control. Otro punto fuerte aparte del registro de dominios es mediante el mismo panel de control poder brindar un sencillo y práctico manejador y generador de certificados SSL.

¿Por qué usar Certificado SSL en su sitio o aplicación?

Con el auge de internet, el comercio electrónico y las transacciones en línea, también ha crecido la demanda de inseguridad a nivel de la información, hoy ya no es posible tener un sitio de comercio online que maneja dinero y datos importantes sin protección. Día a día son más las personas que se animan a “comprar” online, pero muchas desconfían directamente de un sitio que no maneja un certificado de seguridad, allí podría estar la diferencia entre un potencial cliente y uno que abandona su sitio debido a que no es confiable.

Como bien sabemos, muchos protocolos de internet que usamos actualmente no son seguros, y si uno de tus sitios webs maneja información importante (como podrían ser datos de clientes, cuentas bancarias, comercio electrónico, etc) lo más recomendable es manejar dicha información usando certificados SSL.

Puedes solicitar este servicio desde tu panel de control en www.infranetworking.com

Hace pocas horas se ha detectado una grave vulnerabilidad en el sistema de webmail Horde que se usa comunmente en servidores cPanel, la misma afecta las versiones Horde 3.1.6 y previas. En todos nuestros servidores administrados, tanto servidores compartidos, resellers y dedicados este problema ya se ha solucionado por nuestro Dpto. Técnico.

Para clientes con servidores dedicados que no han contratado el servicio de administración, deberán actualizar a la última versión de cPanel, ya sea desde WHM o bien desde el shell Linux corriendo el comando: /scripts/upcp .

Ante cualquier consulta, no dude en contactar a nuestro Soporte en Línea.

Muchas veces nos encontramos con aplicaciones web que entre sus requerimientos solicitan tener register_globals activado, esto significa que el plan de Hosting que hayan contratado, deberá tener esta variable activada desde la configuración de PHP (o bien del sitio en particular). Mediante este breve artículo, pretendemos transmitirles lo malo de usar aplicaciones que tengan este requerimiento, brindando algunos ejemplos para evitar cometer estos errores.

Cuando esta directiva se encuentra activada, la misma podrá llenar de todo tipo de variables los scripts que estemos usando, este detalle, sumado al hecho de que PHP por defecto no requiere la definición de variables, se traduce en una gran facilidad para poder programar código inseguro. Por ello fue que desde la versión 4.2.0 la comunidad de desarrolladores de PHP decidieron tener esta variable desactivada por defecto en la configuración de PHP.

<?
if ( $usuario ) {
echo “Usuario correcto”;
} else {
echo “Usuario incorrecto”;
}
?>

Como se ve en este ejemplo, personas malintencionadas que navegaran la web, podrían pasar por URL (http://www.example.com/?usuario=1) la variable usuario y entrar al sistema sin contraseña.

Si bien ya estamos en la era de PHP 5 (y pronto el 6), hay mucha gente que sigue programando usando register_globals activado, los riesgos como ven son muchos, por eso les recomendamos leer esta guía: Programando PHP con register_globals = off

Tanto en planes de Hosting, Hosting Reseller, Servidores Dedicados y Administración de Servidores, INFRANETWORKING se ocupa de la administración del sistema, sea en forma básica o en forma avanzada (salvo que el cliente decida administrar el servidor dedicado por su cuenta), una de las tareas más básicas (pero no por ello importantes) es la actualizaciones del kernel Linux; por ello hoy pretendemos explicarles brevemente qué es el kernel y por qué es tan importante mantenerlo al día.

¿Qué es el Kernel?

Kernel en inglés quiere decir “núcleo”, en este caso, es el núcleo del sistema operativo que corre en tus servidores, es la parte más importante del S.O. Resumidamente, el núcleo existe para: asegurar la comunicación entre el software (aplicaciones) y el hardware (la máquina y sus componentes) y gestionar las distintas aplicaciones de una máquina, además de también gestionar el hardware (procesador, memoria, almacenamiento, etc).

¿Por qué es tan importante mantenerlo al día?

Como todo paquete, el Kernel Linux tampoco está estático, de hecho es uno de los paquetes que más actualizaciones reciben año a año. Es bueno actualizar el kernel no solo por que se añade soporte para más hardware y también funcionaldiades.

¿Pero si el servidor está estable y funcionando bien, necesito igual actualizarlo? La respuesta es SÍ, pues también se corrigen fallas de seguridad y errores en la programación (bugs) que debes actualizar, no por como esté ahora el servidor, sino por lo que podría sucederle si no lo haces.