- El documento recoge las principales medidas de seguridad a tener en cuenta a la hora de utilizar este CMS (Content Management System), el segundo más utilizado en el mundo para el desarrollo y gestión de páginas web.
- Instalación y actualización, seguridad en la base de datos, configuración segura de PHP, administración y navegación sobre SSL, configuración de permisos, gestión de usuarios o instalación de módulos, son algunos de los aspectos abordados en este Guía CCN-STC.
El CCN-CERT ha publicado la Guía CCN-STIC 462 Seguridad en Joomla en la que se recogen las principales medidas y buenas prácticas a adoptar a la hora de trabajar con este gestor de contenidos de un modo seguro y mitigar los posibles ataques que pueda sufrir.
Joomla, un software de código abierto desarrollado en PHP y liberado bajo licencia pública general GNU (GPL), es el segundo CMS más utilizado en todo el mundo a la hora de desarrollar sitios web (el CCN-CERT también tiene publicada una Guía CCN-STIC 461 Seguridad en Drupal). De ahí la necesidad de mantener unas mínimas condiciones de seguridad, tanto en su base como en los componentes, módulos, plantillas, lenguaje y plugins que utiliza.
La Guía CCN-STIC recopila en sus 95 páginas los siguientes aspectos:
- Instalación y actualización
- Instalación de PHP
- Instalación de Joomla
- Borrado de ficheros innecesarios
- Seguridad en la base de datos
- Configuración segura de PHP
- Administración y navegación sobre SSL
- Configuración de permisos
- Creación de un fichero “Robots.txt”
- Restricciones de acceso al backend
- Incrementando la seguridad con Htaccess
- Eliminando la exposición del CMS y versión
- Gestión de usuarios y accesos
- Fortaleza y política de contraseñas
- Instalación de extensiones
- Forzando de conexión sobre SSL
- Uso de doble factor
- Habilitación de recaptcha
- Módulos a instalar
- Integración de feeds de seguridad en el backend
- Creación y recuperación de backups
- Recuperación ante un compromiso de seguridad
- Checklist de revisión de seguridad
CCN-CERT (11-08-2016)
Guía CCN-STIC 462 Seguridad en Joomla
Guía CCN-STIC 461 Seguridad en Drupal