domingo, 18 de mayo de 2008

Seguridad en Joomla

Bueno muchos de vosotros que utiliceis Joomla, os sonará eso de que para acceder al backend de joomla es tan facil como http://www.midominio.com/administrator.

Bien pues eso lo sabe cualquiera que conozca joomla y lo haya instalado alguna vez. Es más

es tan fácil como irte a una página web y si en el pie de la página pone "by power joomla" o algo así o si el favicon no lo han cambiado y sale el logitipo joomla. Si es así ya sabes que concatenandole a la dirección /administrator te sale el control de acceso de joomla y si tienes usuarios con niveles pobres de password o aparece un hueco de seguridad de joomla, pues estas jodido.

Solución: y si restringimos el acceso a /administrator de forma que no todo el mundo pueda acceder al formulario...

Pues para nuestro fin utilizaremos la potencia que nos ofrecen los fichero .htaccess en nuestro apache.

1) Nos colocamos en el directorio raiz de nuestro servidor apache

$ cd /var/www (suele estar en esa dirección en los linux)

2) Accedemos a la carpeta de nuestro dominio joomla y luego a la carpeta de administration

$ cd joomla/administrator

3) Creamos el fichero llamado .htaccess, es importante el "." ya que hace que el archivo sea oculto y apache no lo publique.

$sudo gedit .htaccess

4) y le copiamos el siguiente texto

#Comentario

deny from all

allow from 127.0.0.1

Nota. Con esto conseguimos que sólo desde la máquina local donde esta instalado el servidor podremos acceder al backend de joomla

Así podemos poner añadir una lista de sentencias "allow from ip" dando permiso a varias

máqinas más:

deny from all

allow from 127.0.0.1

allow from www.google.es

etc ...

5) Por último recordar que en el apache deberéis tener configurado el virtual host para que permita sobreescritura de la configuración por los ficheros .htaccess que se consigue tocando en el fichero de configuración de apache (httpd.conf):

...
ServerName www.midominiojoomla.com
...
AllowOverride All
Options None
...

Nota. Si os daís cuenta lo mismo que estamos haciendo con el .htaccess lo podríamos poner directamente en el fichero de configuración de Apache, pero de esta forma nos permite restringir cualquier directorio de la misma forma con sólo copiar el fichero en otros directorios.

Bueno espero que con esto reduzcais los posibles ataques a vuestra web joomla.

;)

No hay comentarios: