Joomla - General

Una de las novedades que trae Joomla 1.7.0 es la generación automática, en el proceso de instalación, de prefijos para las tablas de la base de datos donde se almacenará la información. Esta pequeña modificación, que seguro que ha pasado desapercibida para muchos usuarios y que parece no ser muy significativa, cuenta con una importante repercusión en la seguridad de un sitio Joomla.

Actualmente existen varias formas de atacar a un sitio web desde el lado del cliente, aprovechando las vulnerabilidades de seguridad que puedan estar presentes en Joomla o en los componentes de tercero que tengamos instalados. Los prefijos de tablas pueden ayudarnos a mejorar un poco más la seguridad frente a vulnerabilidades del tipo SQL Injection o Blind SQL Injection.

Este tipo de ataques intentan aprovechar algun fallo de seguridad para insertar sentencias SQL que puedan interactuar directamente sobre la base de datos. En este sentido si utilizabas el prefijo por defecto jos_ que trae Joomla en las versiónes posteriores a la 1.7, el atacante sabría que la tabla de usuarios es jos_users y según la naturaleza de la vulnerabilidad y las habilidades del atacante podría extraer la información, insertar usuarios con permisos de administrador, entre otras cosas.

Como ves este pequeño cambio que parecía insignificante tiene un importante efecto para intentar ocultar los nombres de las tablas de la base datos y dificultar así la ejecución de este tipo de ataques. Te invito a que cambies el prefijo de tu base de datos si no lo has hecho todavía y que investigues un poco más sobre los ataques SQL Injection y Blind SQL Injection.