¿Olvidaste tu contraseña?

×
8 Consejos para mejorar la Seguridad de Moodle

8 Consejos para mejorar la Seguridad de Moodle

por Andrés Schiaffarino en Tutoriales Moodle

Normalmente los software web son complejos y la seguridad en estos es altamente importante, siempre pueden quedar «ventanas» abiertas que los desarrolladores pasaron por alto.
Es por esta razón, que hoy veremos 5 Consejos para Mejorar la seguridad de Moodle.

Moodle, contempla una comunidad de desarrolladores que continuamente mejoran la aplicación para contemplar posibles fallas a nivel de seguridad. con este fin, ellos poseen una pagina, donde puedes reportar problemas acerca de este tema.

Medidas de Seguridad que debes aplicar a tu Moodle

El primer consejo que podemos darte, o quizás mas que el primero es ¡el primordial!, tener una copia de seguridad (backup/ respaldo) de forma que ante cualquier Bug, dejaras tu aplicación operativa nuevamente en minutos.

1. Limita el número de plugins que vayas a utilizar

Al igual que en otras aplicaciones o CMS el utilizar software de terceros o servicios poco conocidos, es bastante peligroso, asegúrate de que el software que utilizaras es de calidad y cumple con
los requerimientos de tu Moodle. No instales servicios «porque si».

Asegúrate de que estos tengan buenas recomendaciones, indaga en foros e investiga en la web. Al introducir estos servicios y software estas poniendo algo de código extra, a tu sitio el cual no es 100% seguro de donde proviene o si tiene procesos en segundo plano que pueden atentar contra tu aplicación.

2. Mantén al día las actualizaciones

Actualizar Moodle con regularidad ante cada versión, te mantendrá alerta a las nuevos bugs, que se van detectando. Debes tener en cuenta que con cada versión que se lanza, se comentan junto con ella, las vulnerabilidades de la anterior, lo que mantiene atentos a todos aquellos que buscan fines con malas intenciones. Cuanto más atrasada sea tu versión es más probable que esta contenga vulnerabilidades

Como recalcamos siempre, realiza backups previos a ejecutar las actualizaciones por si a caso. Nunca esta de más asegurar una copia de seguridad en caso de que algo salga mal.

3. Usa contraseñas fuertes

Utiliza contraseñas con altos niveles de complejidad para los distintos roles de usuarios de la plataforma, como por ejemplo administradores o profesores.

Una contraseña compleja es difícil de violar, esto hace a la buena práctica de administradores y desarrolladores en el entorno de la seguridad básica.

El cracking por fuerza bruta es lo normalmente utilizado para intentar entrar a estas cuentas, al utilizar contraseñas complejas, le dificultas su descifrado.

Así mismo debes asegurarte de proporcionar los roles correctamente y a personas que pertenezcan a la plataforma, evitando así la utilización de estas cuentas como cajas de arena.
Estas cuentas tienen permisos de mayor envergadura y facilita obtener o robar datos.

Moodle, permite configurar una política, para que las contraseñas sean complejas.

Para ello puedes acceder a: Configuraciones -> Administración del sitio -> Seguridad y allí acceder al apartado políticas de seguridad.

Es posible con esto mediante un checkbox, seleccionar si es obligatoria la complejidad para las contraseñas, o bien para otras configuraciones de esta, como la longitud mínima, o el numero mínimo de letras minúsculas o mayúsculas y caracteres especiales.

 

 

Al igual que en otros sitios o aplicaciones, cuando el usuario modifique o complete una contraseña, si esta no cumple con los requisitos aparecerá un error indicando el problema.

4. Evita usar permisos 777

Verifica y corrige permisos de archivos y directorios, asegurándote de que no queden con permisos incorrectos o de más. Nunca uses permisos 777 si necesitas escribir en algún directorio o archivo. en su lugar pide a los administradores de tu hosting que cambien tu cuenta a un server con suPHP o php-fmp, y aplica permisos 755 como máximo.

En nuestros servidores de alojamiento web Moodle, corremos suPHP por lo que nunca podrás aplicar permisos 777, te dará un error, protegiendote a ti mismo de posibles problemas de seguridad a futuro.

config.php es el fichero de configuración principal de Moodle, y debe permanecer con permisos 644 como máximo, para poder leerse pero nada más allá de eso.

Asegúrate que el directorio dataroot, que es el directorio en donde Moodle guarda los archivos de los usuarios, no este accesible desde la web.

5. No muestres datos más de la cuenta

Moodle permite ocultar cierta información en los perfiles de los usuarios, para que esta no sea publica y preservar así datos personales que usualmente estarían visibles.
Para ello puedes acceder a: Configuraciones -> Administración del sitio -> Usuarios -> Permisos Políticas del usuario.
Puedes ocultar múltiples campos e información, como por ejemplo:

  • Descripción
  • Ciudad
  • País
  • Página web
  • Número ICQ
  • ID de Skype
  • ID de Yahoo
  • Primer acceso
  • Ultimo acceso
  • Ultima IP conocida
  • Mis cursos

6. Protege el acceso a la URL de login como administrador

Puedes hacer esto con un usuario y contraseña utilizando autenticación via HTTP si tienes IP dinámica. Si tienes una IP fija, puedes crear reglas allow/deny desde el archivo .htaccess de tu sitio para solo permitir acceso desde la IP de tu oficina o casa (también puedes hacerlo usando un plugin como Auth IP)

7. Protección contra ataques de fuerza bruta

Si te ves impedido de implementar el punto anterior de alguna manera y no te queda otra opción que dejar Moodle expuesto a logins desde cualquier lugar, lo que puedes hacer es instalar el plugin AntiHammer, que se muy bueno para proteger intentos de hackeo por fuerza bruta a tu instalación Moodle.

8. Utiliza el reporte general de Seguridad

Existe también un reporte general de Seguridad, al cual puedes acceder desde: Configuraciones -> Administración del sitio -> Reportes

Desde allí podrás ver un resumen de la seguridad de Moodle a nivel general, tal como ves en esta captura.

reporte de seguridad Moodle

Conclusión

Como podrás haber visto, mejorar la seguridad en tu Moodle, no es para nada difícil, solo debes seguir las buenas practicas de seguridad como en cualquier otro sitio o aplicación, además de
algunas configuraciones sencillas e intuitivas.

Nuestros servidores de Hosting Moodle se encuentran óptimamente configurados para correr Moodle y poseen altos niveles de seguridad con firewalls de aplicaciones y de sistema, entre otros sistemas de protección.

Como consejo final, recuerda siempre instalar un SSL en Moodle para que esté 100% encriptado a nivel de la información que se traslada desde el navegador al servidor web.

¿Te gustó el artículo? Compártelo:

Escrito por Andrés Schiaffarino

Andrés forma parte del Equipo de DevOps de Infranetwoking, es un SysAdmin Linux especializado en ayudar a clientes en problemas con sus sitios, también se encarga de desarrollar aplicaciones bajo la plataforma LEMP y Android. Ha cursado carreras de Analista Programador, Analista de Sistemas y Desarrollo de Aplicaciones Móviles en Universidad ORT.

    Recibe en tu correo electrónico toda la información sobre hosting, desarrollo web y dominios

    Términos y Condiciones de Servicio

    Infranetworking Internacional - Copyright 2002-2024
    Todos los derechos reservados.