14 de junio de 2008

7 truquitos 7 para mejorar la seguridad de Joomla

En Marcofolio han publicado 7 medidas para optimizar la seguridad de un sitio web basado en Joomla.

7 tips to optimize Joomla!

Traducidas a nuestro idioma y resumidas son las siguientes:
  • No utilizar el prefijo predeterminado (jos_) para las tablas de Joomla en MySQL
  • Eliminar, editando los archivos php si es necesario, el número de versión de los componentes, plugins, etc. Para no dar pistas, claro.
  • Activar SEF para reescribir las url del sitio.
  • Mantener siempre los componentes y el propio portal actualizados.
  • Utilizar los permisos de archivos correctos. Esta es interesante porque siempre suele haber dudas. Esto es lo correcto:

  • PHP files: 644

  • Config files: 666

  • Other folders: 755
  • Asegurarse de eliminar los archivos que puedan quedar al eliminar cualquier complemento de Joomla.
  • Tener un archivo .htaccess en condiciones. El artículo sugiere lo siguiente:
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a <> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

2 comentarios:

david santos dijo...

EURO 2008

SPAIN Felicitaciónes!!!!!!!!!!!!

Antonio dijo...
Este comentario ha sido eliminado por el autor.