Establecer restricciones para acceder a la sección administrativa del sitio.
Filrar las direcciones IP que pueden acceder a la sección /administrator
del sitio web aplicando la directiva Location. Las direcciones IP se pueden especificar como:
<Location /administrator> Order Allow,Deny Allow From 132.248.0.0/16 </Location>
Establecer permisos adecuados a los archivos del sitio web.
Es necesario establecer de manera adecuada los permisos de los archivos y directorios del sitio web.
Adicionalmente establecer el grupo propietario de los archivos como el grupo del usuario que ejecuta el servidor web.
chown –cR usuario:grupo-web /ruta/hacia/htdocs
find /ruta/hacia/htdocs -type d -print0 | xargs -0 chmod -c 755 find /ruta/hacia/htdocs -type f -print0 | xargs -0 chmod -c 644
chown -cR usuario-web:grupo-web ./htdocs/directorio/uploads find ./htdocs/directorio/uploads -type d -print0 | xargs -0 chmod -c 755
Evitar divulgar información sobre el sitio web
Es necesario establecer de manera adecuada los permisos de los archivos y directorios del sitio web.
ServerTokens ProductOnly ServerSignature Off TraceEnable off
expose_php = 0 display_errors = 0
Actualizar constantemente el core de Joomla así como los módulos que se agreguen al sitio.
Es necesario establecer de manera adecuada los permisos de los archivos y directorios del sitio web.
ServerTokens ProductOnly ServerSignature Off TraceEnable off
expose_php = 0 display_errors = 0
http://www.seguridad.unam.mx/documento-id=17
http://www.seguridad.unam.mx/documento-id=1143
http://www.seguridad.unam.mx/documento-id=35
http://www.seguridad.unam.mx/documento-id=1083
http://www.seguridad.unam.mx/documento-id=1094
http://httpd.apache.org/docs/2.2/howto/auth.html
http://httpd.apache.org/docs/2.2/howto/access.html
http://httpd.apache.org/docs/2.2/sections.html
http://httpd.apache.org/docs/2.2/howto/htaccess.html
http://httpd.apache.org/docs/2.2/mod/core.html#serversignature
http://httpd.apache.org/docs/2.2/mod/core.html#servertokens
http://httpd.apache.org/docs/2.2/mod/core.html#limit
http://httpd.apache.org/docs/2.2/mod/core.html#traceenable
http://httpd.apache.org/docs/2.2/mod/core.html#directory
http://httpd.apache.org/docs/2.2/mod/core.html#files
http://php.net/manual/es/language.basic-syntax.phptags.php
http://php.net/manual/es/ini.core.php
http://php.net/manual/es/install.unix.php
https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
https://www.owasp.org/index.php/Web_Application_Security_Testing_Cheat_Sheet
http://www.siteground.com/tutorials/joomla/joomla-security.htm
http://www.joomlasecurity.org/
http://docs.joomla.org/Verifying_permissions
http://docs.joomla.org/Security_Checklist/Hosting_and_Server_Setup
http://forum.joomla.org/viewforum.php-f=267
http://sourceforge.net/projects/joomscan/
http://sourceforge.net/projects/jscanner/
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:
Para mayor información acerca de este documento contactar a:
UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT