Conforme avanzan los años, la seguridad es un aspecto cada vez más prioritario para los desarrolladores, diseñadores y administradores de sitios web. Joomla! cuenta con millones de usuarios y es el segundo gestor de contenidos más utilizado por lo que esto lo convierte en un blanco de todo tipo de ataques cibernéticos. Dar un buen mantenimiento preventivo y correctivo es vital para maximizar la seguridad de los sitios web basados en este CMS. Este tipo de mantenimientos no solo solo involucran el código de Joomla! sino que también abarca áreas como la correcta configuración del servidor; de otra forma, los sitios serían vulnerables a ejecución remota de código, XSS y fugas de información entre otros problemas.
En esta publicación listamos 5 herramientas en línea que permitirán a los desarrolladores comprobar posibles agujeros de seguridad e implementar soluciones para reducir las posibilidades de ataques efectivos contra el sitio web.
MyJoomla
MyJoomla es un servicio para gestión de sitios web basados en Joomla! ganador de múltiples premios en el área de seguridad. Este servicio permite asegurar, actualizar, monitorear y gestionar múltiples aspectos del sitio web. Si bien este es por suscripción, MyJoomla ofrece una auditoría completa del sitio completamente gratuita.
Una vez instalado el plugin en el sitio web, podrás tener lista la primera auditoría en cuestión de minutos. Esta incluye todo tipo de recomendaciones para proceder en caso de encontrar malas prácticas o problemas de seguridad en los sitios.
SiteGuarding
SiteGuarding es una solución de seguridad orientada a profesionales que permite, entre otras funciones, analizar el sitio web en busca de virus y todo tipo de malware por medio de una herramienta en línea que compara los archivos del sitio web con una base de datos de amenazas conocidas constantemente actualizada. Al igual que MyJoomla también permite actualizar sin necesidad de entrar a la administración de Joomla, remover posibles agujeros de seguridad y respaldar el sitio.
Si bien este servicio no es exclusivo para Joomla! es 100% compatible. Su principal ventaja es el análisis avanzado para detección de malware de todo tipo utilizando algoritmos heurísticos y bases de datos actualizadas. Con un solo clic es posible poner en cuarentena o eliminar las amenazas. También es un servicio de pago pero ofrece una funcionalidad limitada a un escaneo diario de hasta 500 archivos y múltiples análisis sin ningún costo.
Hacker Target
Hacker Target es una herramienta para análisis de seguridad disponibles para sitios web Joomla! que cuenta con dos tipos es escaneos. El pasivo (completamente gratis) y el agresivo. El análisis pasivo permite ubicar posible problemas de seguridad en los directorios de Joomla!, verificar reputación del dominio y los dominios externos enlazados, listar iFrames y JavaScript externos mientras que el modo agresivo permite analizar el sitio para encontrar exploits y vulnerabilidades conocidas en extensiones, módulos, componentes y el núcleo de Joomla!
El punto fuerte de este servicio es el análisis desde el punto de vista del atacante. Para esto usa más de 27 herramientas para análisis de vulnerabilidades y sistemas como OpenVAS y Nikto.
Detectify
Detectify no es una herramienta exclusiva de Joomla! pero es ampliamente conocida por sus efectivos análisis de sitios web basados en múltiples gestores de contenido como WordPress, Drupal y Joomla! Lo análisis se fundamentan en bases de datos de vulnerabilidades incluyendo algunas específicas de Joomla! que asegurar que posibles agujeros de seguridad en este CMS sean tomados en cuenta.
El servicio es de pago, sin embargo, ofrece un periodo de prueba de 14 días que te permitirá realizar análisis completos de un sitio Joomla! sin limitaciones y gratuitos. Para poder realizar el análisis es necesario realizar una verificación del dominio. Los pasos para hacer eso son sumamente sencillo y vienen explicados con detalle.
Joomscan
Joomscan es una herramienta de código abierto para búsqueda de vulnerabilidades orientada a usuarios más avanzados. Es sumamente popular en la comunidad Joomla! que utiliza Linux y permite encontrar problemas de seguridad en el núcleo de Joomla!, sus componentes y ejecución de comandos así como inyección SQL. Para utilizar este servicio completamente gratuito debes descargar OWASP e instalarlo en un ordenador para ejecutar los análisis o utilizar Kali Linux que incluye Joomscan de forma predeterminada.
Se espera que una nueva versión actualizada esté disponible en el repositorio muy pronto. Una vez que tengas Joomscan instalado, puedes realizar el análisis de seguridad por medio del siguiente comando:
./joomscan –u http://sitiodeprueba.com
Si estás interesado en este tema puedes obtener más información sobre vulnerabilidades conocidas en la lista de Extensiones Vulnerables de Joomla. También existe amplia documentación sobre seguridad en el sitio oficial de Joomla! así como extensiva información sobre buenas prácticas. Si esta es un área a la que no le habías prestado mucha atención en Ayuda Joomla te invitamos a que consideres dedicar tiempo a verificar el estado de tus sitios. Administrar un sitio sin buenas prácticas de seguridad es correr un riesgo innecesario de, en el peor de los casos, perder el sitio web que tanto trabajo te ha costado desarrollar.
Comentarios