Comunicados CCN-CERT

Guía de Seguridad sobre Joomla, uno de los gestores de contenidos más utilizados en sitios web

  • El documento recoge las principales medidas de seguridad a tener en cuenta a la hora de utilizar este CMS (Content Management System), el segundo más utilizado en el mundo para el desarrollo y gestión de páginas web.
  • Instalación y actualización, seguridad en la base de datos, configuración segura de PHP, administración y navegación sobre SSL, configuración de permisos, gestión de usuarios o instalación de módulos, son algunos de los aspectos abordados en este Guía CCN-STC.

El CCN-CERT ha publicado la Guía CCN-STIC 462 Seguridad en Joomla en la que se recogen las principales medidas y buenas prácticas a adoptar a la hora de trabajar con este gestor de contenidos de un modo seguro y mitigar los posibles ataques que pueda sufrir.

Joomla, un software de código abierto desarrollado en PHP y liberado bajo licencia pública general GNU (GPL), es el segundo CMS más utilizado en todo el mundo a la hora de desarrollar sitios web (el CCN-CERT también tiene publicada una Guía CCN-STIC 461 Seguridad en Drupal). De ahí la necesidad de mantener unas mínimas condiciones de seguridad, tanto en su base como en los componentes, módulos, plantillas, lenguaje y plugins que utiliza. 

La Guía CCN-STIC recopila en sus 95 páginas los siguientes aspectos:

  • Instalación y actualización
  • Instalación de PHP
  • Instalación de Joomla
  • Borrado de ficheros innecesarios
  • Seguridad en la base de datos
  • Configuración segura de PHP
  • Administración y navegación sobre SSL
  • Configuración de permisos
  • Creación de un fichero “Robots.txt”
  • Restricciones de acceso al backend
  • Incrementando la seguridad con Htaccess
  • Eliminando la exposición del CMS y versión
  • Gestión de usuarios y accesos
  • Fortaleza y política de contraseñas
  • Instalación de extensiones
  • Forzando de conexión sobre SSL
  • Uso de doble factor
  • Habilitación de recaptcha
  • Módulos a instalar
  • Integración de feeds de seguridad en el backend
  • Creación y recuperación de backups
  • Recuperación ante un compromiso de seguridad
  • Checklist de revisión de seguridad

CCN-CERT (11-08-2016)

Guía CCN-STIC 462 Seguridad en Joomla

Guía CCN-STIC 461 Seguridad en Drupal

 

Ministerio de Defensa
CNI
CCN
CCN-CERT