Joomla es uno de los CMS más populares y utilizados a nivel mundial, siendo superado únicamente por WordPress y colocándose por delante de otros como Drupal, Typo3 o DNN. Cuando una herramienta es usada por millones de sitios web termina convirtiéndose en el blanco de muchos atacantes y hackers, quienes recurren a distintas técnicas para infectar Joomla con malware y virus. Para impedir que eso te ocurra a ti, hoy te vamos a dar 10 Tips para Prevenir Malware tras instalar Joomla.
Cómo evitar infecciones por Malware en Joomla
Existen, literalmente, docenas de formas de mejorar la seguridad de una instalación de Joomla con el objetivo de impedir que el sitio sea infectado por virus o malware, y a continuación vamos a ver algunos de los métodos más efectivos y populares para esta tarea.
[wp-svg-icons icon=»key-2″ wrap=»i»] Credenciales de acceso
Quizá el mayor punto débil de Joomla son sus credenciales por defecto, incluyendo su usuario administrador, que es simplemente «admin». Es conveniente no mantener las credenciales que son asignadas por defecto, y en su lugar cambiarlas por datos más seguros, como por ejemplo un usuario distinto que incluya letras y números, y una contraseñas que incluya letras, números y símbolos, así como una extensión de por lo menos 8 caracteres.
[wp-svg-icons icon=»users-2″ wrap=»i»] Panel de login
Adicionalmente, podemos proteger la URL de administrador de Joomla de distintas formas, por ejemplo mediante .htaccess negando todos los accesos excepto desde nuestra IP (en caso de contar con una IP fija), visita el link anterior para ver ejemplos de uso.
Otra alternativa es colocar una primera capa de autenticación vía htpasswd, de esta forma cualquiera que desee entrar al administrador tendrá que contar con dos pares de credenciales de acceso: una para la protección vía htpasswd y otra para el administrador de Joomla.
La protección vía htpasswd se añade muy fácilmente a través de cPanel:
- Ingresamos al panel cPanel de nuestro sitio.
- Click en la herramienta «Directory Privacy».
- Ahora hacemos click en la carpeta de administración de Joomla que deseamos proteger (administrator es el nombre por defecto).
- Tildamos la casilla de «Password protect this directory» y colocamos un nombre (a modo descripción) para la carpeta. Click en «Save».
- Ahora volvemos a la pantalla anterior y elegimos un usuario y contraseña. Click en «Save».
- Todo listo, ahora nuestra carpeta de administración de Joomla estará protegida. Para quitar la protección simplemente quita el tick de la casilla «Password protect this directory» y guarda el cambio.
[wp-svg-icons icon=»checkmark» wrap=»i»] Autenticación/verificación en dos pasos
Esta es quizás una de las medidas más importantes que puedes tomar para evitar malware en Joomla. En la versión 3.2 de Joomla, que data de hace casi 3 años, fue introducida la función de autenticación en dos pasos (2FA por sus siglas en inglés y también llamada verificación en dos pasos), quizá el método de autenticación más seguro hoy en día para este tipo de sistemas.
Gracias a la autenticación de dos pasos contarás con una capa de seguridad adicional contra terceros malintencionados. Si por casualidad te roban tus credenciales de acceso Joomla, la persona que intente ingresar al sitio también tendrá que contar con tu clave de 2FA, la cual generalmente se configura como un SMS o llamada que se envía a tu teléfono móvil, es decir, también tendrían que haberte robado tu teléfono para poder acceder al área de administrador.
Cómo activar la autenticación/verificación en dos pasos:
Primero ingresamos al Administrador de nuestro Joomla.
- Vamos a Users > Manage.
- Hacemos click en un usuario.
- Click en la pestaña «Two Factor Authentication».
- Elegimos «Google Authenticator» como método de autenticación.
- Ahora debemos instalar la aplicación Google Authenticator en nuestro teléfono móvil.
- Escaneamos el código QR usando la aplicación, de esta forma nuestro usuario será añadido a la app.
- Colocamos el código que brinda la app donde dice «Step 3 – Activate Two Factor Authentication».
- Guardamos el cambio con el botón «Save» y listo, ahora la autenticación en dos pasos está activa.
[wp-svg-icons icon=»disk» wrap=»i»] Copias de seguridad
Aunque no lo parezca, tener copias de seguridad de nuestro sitio también es una forma de prevenir infecciones en Joomla. En caso de que realices modificaciones en tu sitio que lo dejen expuesto, o por ejemplo si ves que de alguna forma te han vulnerado y están comenzando a infectar tu web, contar con copias de seguridad es lo que te salvará el día. Primero tendrás que detectar el fallo de seguridad que tienes, posteriormente restaurar la página a partir del respaldo y finalmente solucionar el problema antes de que un cibercriminal lo use nuevamente para su beneficio.
Es posible realizar copias de seguridad a través de extensiones como Akeepa Backup, o también mediante backups completos de cPanel, si disponemos de dicho panel de control.
Cómo instalar y usar Akeeba Backup:
- Ingresar a la página oficial.
- Buscar la versión más reciente para Joomla.
- Hacer click en el botón «Download» para descargarlo a nuestra PC.
- Ingresar al administrador de nuestro Joomla.
- Ir a Extensions > Manage > Install
- Click en la pestaña Upload Package File.
- Usar el botón de «Seleccionar Archivo» para seleccionar el archivo de Akeeba Backup que habíamos descargado.
- Click en el botón de «Upload & Install» para subir el archivo e instalar la extensión.
- Para ingresar al administrador de Akeeba Backup ir a Components > Akeeba Backup.
- Para realizar un respaldo usamos el botón de «Backup Now».
- En la nueva pantalla podemos añadir una descripción para el respaldo. Cuando estemos listos hacemos click en «Backup Now!»
- Cuanto más pesado sea nuestro sitio más demorará el proceso.
- Cuando el proceso finalice volvemos al administrador de Akeeba Backup y hacemos click en el botón de «Manage Backup».
- Allí podremos usar la opción «Restore» para restaurar un backup, o bien podemos usar «Download» para descargar una copia del respaldo a nuestra PC.
Cómo hacer un backup desde cPanel:
- Ingresamos al panel cPanel de nuestro sitio
- Allí hacemos click en la herramienta «Backup».
- En la nueva página hacemos click en el botón de «Download a Full Website Backup».
- A continuación elegimos «Home Directory» en la opción de «Backup Destination», y colocamos nuestra casilla de correo en «Email Address» para que el sistema nos notifique cuando el respaldo esté listo.
- Para generar el respaldo finalmente hacemos click en «Generate Backup».
- Cuando esté listo hacemos click nuevamente en la opción «Download a Full Website Backup» desde la herramienta «Backup».
- Ahora podremos ver nuestro respaldo disponible para descargar, basta con darle un click para bajarlo a nuestra PC.
[wp-svg-icons icon=»search-2″ wrap=»i»] Escaneo de Seguridad
En el mundo del hosting hay toda clase de herramientas que pueden ser utilizadas para escanear un sitio web, no solo en busca de malware sino también en busca de vulnerabilidades. En el caso particular de la seguridad de Joomla, esto es posible realizarlo con herramientas como el OWASP Joomla! Security Scanner o bien mediante otras online como es el caso del Joomla Security Scan de HackerTarget.
En la imagen de abajo podemos ver un ejemplo de este último:
[wp-svg-icons icon=»spinner-2″ wrap=»i»] Actualizaciones frecuentes
Lo hemos repetido mil veces y lo seguiremos diciendo todas las que haga falta: los CMS deben ser actualizados con frecuencia. Este es el pilar fundamental de la seguridad de Joomla también.
Correr una versión vieja Joomla equivale a dejar la puerta de casa abierta. Las actualizaciones son muy importantes ya que no solamente implementan nuevas funciones y características, sino que además incluyen parches de seguridad y arreglos para exploits y similares. Usar versiones viejas de Joomla (o de cualquier CMS) es arriesgarse a que nuestro sitio sea infectado por malware de todo tipo.
Cuando haya una actualización disponible aparecerá un mensaje indicándolo, con un botón que al presionar nos llevará a la pantalla de actualización. Para realizar la actualización simplemente hacemos click en el botón de «Install the Update» como se ve más abajo. El proceso demorará un minuto (o quizá menos) y la actualización está lista.
Después de correr una actualización es recomendable limpiar la caché del sitio y la de tu navegador. Recuerda además siempre hacer un respaldo del sitio antes de correr una actualización.
[wp-svg-icons icon=»settings» wrap=»i»] Extensiones y themes
Los themes y las extensiones son otra puerta de entrada que los atacantes tienen a tu sitio para explotar la seguridad de Joomla. Allí fuera existen toda clase de extensiones con muchas funciones diferentes, así como una enorme cantidad de themes que dejarán tu sitio reluciente, sin embargo no solamente debes fijarte en eso, sino también en el nivel de seguridad que tienen estos complementos. Lo ideal es utilizar complementos obtenidos de fuentes oficiales y creados por desarrolladores con buena reputación.
Ten cuidado si descargas plugins o themes desde páginas de freeware, porque te puedes llevar una sorpresa.
[wp-svg-icons icon=»folder-open» wrap=»i»] Uso de permisos
Los permisos de Unix y Linux juegan un papel fundamental a la hora de prevenir malware en Joomla. Si tu proveedor de hosting dispone de un handler PHP adecuado como suPHP, entonces no deberías tener necesidad de usar permisos 777 en archivos o carpetas, sin embargo no ocurre lo mismo en el caso de otros handlers como DSO, que son altamente inseguros.
De ser posible, debes tratar de no usar permisos excesivos en los archivos y carpetas de tu sitio, ya que por ejemplo al usar permisos 777 en muchas carpetas estás dándole autorización a cualquier usuario para inyectar contenido malicioso en tu web, incluyendo virus, archivos de phishing, etc.
[wp-svg-icons icon=»bug» wrap=»i»] Escaneo frecuente de la PC local
Este tip está orientado a quienes trabajan principalmente con equipos Windows. Si bien también existen virus en sistemas Linux y OS X, los usuarios de Windows son los que se encuentran más expuestos. Mediante troyanos, virus y keyloggers, es posible que un atacante te robe datos importantes del sitio como las credenciales de acceso, por eso debes realizar escaneos en tu equipo con frecuencia y limpiar archivos infectados o eliminar cualquier virus que sea detectado.
[wp-svg-icons icon=»thumbs-up» wrap=»i»] Foros de seguridad de Joomla
En la página oficial de Joomla (en inglés) se dispone de un foro de seguridad donde participan usuarios y administradores por igual, ayudando a otros miembros de la comunidad con los problemas de seguridad a los que les toca hacer frente.
Nunca está de más pasar por allí para revisar algunos de los topics más populares, o simplemente para estar al día en todo lo que refiere a seguridad y prevención de malware en Joomla.
Conclusión
Como hemos visto, existen muchísimas formas de mejorar la seguridad de nuestra instalación de Joomla para así impedir que el sitio sea infectado con malware, como por ejemplo cambiar los datos de acceso, activar capas de protección adicionales, realizar backups y actualizaciones con frecuencia, revisar la procedencia de los complementos, examinar regularmente los equipos que tienen acceso al área de administrador y por supuesto seguir los consejos de los expertos en la materia.
Si pones en práctica estos 10 Consejos para Prevenir Malware en Joomla vas a tener un sitio extremadamente seguro.
