Jueves, 04 Enero 2018 13:55

¿Fue hackeado tu sitio web en Joomla? Descubre esto y mucho más con MyJoomla

Escrito por

MyJoomla es un reconocido servicio de análisis de seguridad para sitios web que utilizan Joomla! como gestor de contenidos. Pero no solamente te ayudará a asegurar tus sitios web e implementar buenas prácticas de seguridad, sino que te gestiona respaldos automatizados por medio de Akeeba Backup, realiza un monitoreo constante de los sitios web y muchas otras herramientas útiles para todo administrador Joomla!

Uno de los mayores beneficios de este servicio es la identificación de signos de que un sitio web en Joomla! ha sido hackeado o se encuentre comprometido de alguna forma. No existe en el mundo Joomla! otro análisis más completo y mejor fundamentado que este. Si bien es un servicio por suscripción el primer análisis es totalmente gratis y es completo (es decir, no tiene limitaciones por ser el primer análisis gratuito). 

Generación del informe

El proceso de generación para el primer informe gratuito es muy sencillo. El primer paso es crear una cuenta gratuita

Inmediatamente después de haber creado la cuenta aparecerán una serie de instrucciones para poder dar conexión al servicio a tu sitio web. El procedimiento es bastante sencillo. Solo debes seguir las siguientes instrucciones:

  • Iniciar sesión en la administración de Joomla!
  • En la sección de instalación de extensiones entrar a Instalar desde URL
  • Copia y pega la URL específica generada que aparece en MyJoomla y haces clic en el botón de instalación
  • Listo. El sistema verificará tu sitio y te confirmará que la conexión está activa. 

Ahora solo debes generar el informe y comenzar a trabajar en las recomendaciones para tu sitio. MyJoomla genera dos análisis. El primero estará listo en algunos segundos y la auditoría completa que tardará unos minutos. 

Snapshot

MyJoomla genera un análisis inicial básico (que ya de por sí es bastante completo) con consejos en diferentes áreas de configuración del sitio web. Este análisis rápido se llama Snapshot y se divide en siete secciones.

Configuración de Joomla!

Contiene consejos básicos de configuración. Entre algunos de los aspectos que verifica están: Versión de Joomla!, configuración FTP, verificación de reglas en robots.txt, rutas de registros y archivos temporales, protección de la administración por medio de .htaccess y muchos puntos más de la configuración global que se consideran buenas prácticas por expertos. 

Información de directorios y archivos

Verifica que no haya carpetas de instalación antiguas, que las carpetas de archivos temporales, registros y respaldos de Akeeba Backup (si está instalado) permitan la escritura de archivos. Además recomienda la eliminación de archivos innecesarios en Joomla, restos de una restauración así como un exceso de respaldos de Akeeba Backup.

Cuentas de usuario y accesos

Compara la configuración actual del sitio con buenas prácticas de seguridad de creación de usuarios. Analiza los nombres de usuarios, la cantidad de super usuarios, usuarios que nunca han iniciado sesión, que esté habilitada la creación de usuarios si es necesario, el grupo predeterminado de nuevas cuentas (que no sea administrador o super usuario) y el uso de autenticación de dos factores para los super usuarios. 

Información de extensiones e integridad de la base de datos

Incluye algunos consejos de seguridad y rendimiento. En este caso recomienda Akeeba Backup y JCE Editor. Además verifica las características de la base de datos para evitar usar prefijos comunes, nombres de usuario predeterminados como "root", cantidad de bases de datos a las que el usuario tiene acceso, eliminación de tablas de respaldo de instalaciones previas y más.

Alojamiento web

Esta sección es muy importante ya que provee de una guía para conocer posibles vulnerabilidades del proveedor de hosting o la configuración del servidor que está utilizando. Por ejemplo: versión y configuraciones definidas de PHP, certificado SSL y otras revisiones. 

Informe completo

Los análisis realizados en esta sección se dividen prácticas en la configuración de Joomla!, signos de hackeo, información de los archivos y carpetas y un par de consejos de SEO.

Configuración de Joomla!

Analiza que no haya modificaciones a los archivos de originales de Joomla!, que no se esté utilizando el favicon predeterminado de Joomla! y que la configuración de envío de correos esté activa.

¿Fue hackeado tu sitio?

Esta es una de las secciones más relevantes de MyJoomla. En ella se realiza un análisis avanzado del contenido de todos los archivos de tu sitio en busca de patrones o contenidos que puedan indicar que tu sitio está afectado por malware o ha sido víctima de un ataque. Identifica archivos que puedan ser usados para enviar correos masivos o que permitan subir archivos dañinos al servidor.

Análisis de archivos y carpetas

Este es un extenso y profundo análisis de permisos, rutas, cantidad de instalaciones de Joomla!, archivos encriptados, ocultos, sin contenido o grandes.

Este servicio en línea es único y el análisis inicial gratuito es excelente para comenzar a trabajar en mejoras. Con cada una de las recomendaciones dadas por MyJoomla viene una completa explicación de las razones por las que se generó las recomendaciones y en la mayoría de los casos se incluye una herramienta que facilita la implementación de los cambios. 

Es importante aclarar que no hay que seguir ciegamente cada recomendación. Es posible que haya algunos falsos positivos, y por esa razón debes analizar cada caso y proceder con el mejor curso de acción para cada situación específica. La idea no es borrar archivos sin control porque podrías corromper el sitio.

Otros beneficios

  • Aparte de los beneficios de los informes explicados, MyJoomla ofrece otras funcionalidades de gran utilidad para los administradores de sitios. Aclaro que estas sí requieren de una suscripción activa. Esta es una lista de los beneficios adicionales a la auditoría:
  • Respaldos automáticos utilizando la reconocida extensión Akeeba Backup. No necesitas tener la versión profesional de este componente, con solo tener instalada la versión básica ya puedes programar respaldos automáticos con este componente.
  • Notificaciones de actualización de extensiones y Joomla! Además, es posible configurar el servicio para que realice las actualizaciones de forma automatizada sin que tengas que intervenir en el proceso. Debes ser cauteloso con cuales extensiones quieres que sean actualizadas automáticamente. En mi caso, yo a veces prefiero esperar que no haya algún fallo o error importante que pueda afectar el sitio antes de proceder con la actualización
  • Puedes configurar notificaciones por medio de correo electrónico cuando sucedan ciertas situaciones o acciones, por ejemplo, cuando un super usuario inicie sesión, cuando se crea un nuevo usuario, cuando usuarios que no son administradores intenten iniciar sesión en la sección de administración, cuando se cambie la configuración global de Joomla! o de otras extensiones y mucho más.
  • Monitoreo del tiempo en real del estado del sitio y alertas en el caso de que el sitio que fuera de línea por alguna razón.

En resumen, este es un servicio muy completo ofrecido por un experto en temas Joomla! que tiene muchos de experiencia especialmente en el área de seguridad. Esto da un poco más de seguridad ya que hay que depositar un alto nivel de confianza en el servicio ya que el acceso a tus archivos es casi que irrestricto. Obviamente puedes desconectar el sitio en cualquier momento. El servicio al cliente y soporte es de primer nivel y Phil Taylor te ayudará desde el proceso de instalación hasta la interpretación de los resultados de la auditoría. Si no puedes solucionar tu mismo el problema de tu sitio puede solicitar ayuda personalizada a precios muy competitivos.

Personalmente recomiendo, al menos, realizar el análisis gratuito para tener una idea de la situación actual del sitio web. Es posible que una vez que veas los resultados quieras una suscripción. Las suscripciones se pueden cancelar en cualquier momento y tienen costos entre los 7 y los 30 dólares mensuales. 

Si tienes algún comentario o quisieras compartir tu experiencia con este servicio, no dudes en compartir por medio de los comentarios de este artículo. 

Leído 263 veces
Emanuel Rodríguez

Soy fanático de Joomla!, Linux y el software libre en general (aunque a veces publico artículos sobre Windows). Parte de mi tiempo libre lo dedico a escribir. Soy profesional en imágenes médicas. 

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.