La seguretat és molt important a l’hora de mantenir un lloc web. Mai s’està prou segur, així doncs una vegada instal·lat un CMS, com Joomla, Drupal o WordPress, és convenient una sèrie de comprovacions de seguretat.
Per aquest motiu es aconsellable vàries accions de prevenció:
– Actualitzar sempre a la darrera versió del CMS. Els desenvolupadors llancen periòdicament noves versions amb millores de seguretat i correcció de bugs . És imprescindible estar sempre actualitzat a la darrera versió, ja que si no es fa, les errades de seguretat de versions anteriors son conegudes i explotades pels hackers
– Mantenir actualitzats tots els plugins i temes que utilitzem al nostre CMS. La raó és la mateixa que en el punt anterior: les noves versions de plugins i temes serveixen per solucionar problemes i millorar les versions anteriors.
– Tenir una bona política de còpies de seguretat per poder restaurar tot el lloc web. És convenient que sempre guardem còpia d’allò publicat en el servidor web, preferiblement amb un control de versions. Després d’un atac és recomanable tornar la web per complert a una font fiable per assegurar-nos de que s’han eliminat totes les possibles accions malicioses. El servei d’hostatgeria web ofert per l’Àrea de Tecnologies disposa de còpies de seguretat diàries; encara així recomanem que l’usuari conservi còpia del que està publicat al web, preferiblement versionat.
Aquestes tres pràctiques serien les més importants però també n’hi han altres recomanacions que ens poden resultar molt útils:
– Revisar els permisos de la carpeta i fitxers dipositats al servidor web després d’instal·lar el CMS. Es recomana usar una màscara de permisos 755 per a les carpetes i de 644 per fitxers o més restrictiva.
– El formularis del nostre lloc web no haurien de permetre l’enviament descontrolat de fitxers. Els hackers poden utilitzar aquestes aplicacions per publicar scripts maliciosos al teu lloc. S’ha de permetre el menor nombre d’extensions possibles i MAI, en cap concepte, permetre pujar fitxers executables (.*php, .*php3, .*php4, .*php5, .*phtml).
– No deixar els fitxers i carpetes importants accessibles per qualsevol en el directori públic. S’ha de protegir fitxers i carpetes especialment sensibles com els fitxers de configuració, els directoris temporals o els directoris de log del CMS.
– No utilitzar l’usuari admin. Quan s’instal·la un CMS, aquest ve amb un usuari amb nom admin creat per defecte. És aconsellable posar-li una contrasenya forta i crear un altre usuari amb rol administrador, que serà amb el que es treballarà.
– No utilitzar contrasenyes febles per a usuaris editors del CMS. Utilitza contrasenyes difícils d’esbrinar, no facis servir paraules comuns. No utilitzis la mateixa contrasenya per a tots els teus comptes.
– Utilitzar un bon antivirus en el teu ordinador des del qual accedeixes al panell de gestió del CMS. Sense un bon programari antivirus, el teu ordinador personal des del qual accedeixes al panell de control del CMS pot ser víctima d’un atac de phishing si no estàs protegit degudament.
– No assumir que el teu lloc està ben protegit si no es veuen signes d’atacs. El millor és estar sempre atent i no confiar-se mai, ja que el dia menys pensat pots ser atacat i quedar-te sense el teu web. Mai et confiïs i roman alerta.
Teniu més informació a:
http://ayuda.joomlaspanish.org/-recursos-tecnicos-tutoriales-y-documentos-94/205-medidas-de-seguridad-en-joomla
http://www.inteco.es/guies/guia_securizacion_joomla
http://drupal.org/security/secure-configuration
http://codex.wordpress.org/Hardening_WordPress
http://www.inteco.es/guies/guia_securizacion_wordpress