Aunque no lo creas no todas las webs están desarrolladas con el CMS más popular, WordPress, todavía hay quien prefiere seguir apostando por Joomla, sobre todo, por la seguridad que ofrece.

Y es sobre seguridad web sobre lo que vamos a escribir hoy. El equipo de desarrolladores web de digitalDot hemos estado probando un plugin y componentes de seguridad que permitan detectar los ataques de fuerza bruta que se ejerzan contra las webs creadas con Joomla.

En esta ocasión, lo que buscábamos era proteger tanto el backend como el frontend de esta plataforma utilizada para la creación y diseño de páginas web, que se resiste a dar la partida por perdida con su rival WordPress, y que desde aquí tenemos que reconocer que Joomla sigue siendo un gran gestor de contenidos para páginas web dinámicas 2.0.

Mejora la seguridad de Joomla

Cuando hacemos login en la parte del backend, lo más recomendable, es siempre ofuscar nuestra dirección de administrator, pero en el caso de que no lo hayamos realizado vamos a aprender cómo podemos proteger al sistema de un ataque de fuerza bruta por contraseñas.

Si analizamos el log de login veremos intentos de acceso como: administrator/index.php, donde se enviarán variables por POST intentando hacer login.

Todo esto quedará registrado en el servidor Apache o Nginx, ambos los más recomendables en cuanto a seguridad, estabilidad y velocidad para alojar páginas web.

Cuando un usuario intenta hacer login con un usuario o clave incorrecto en el mensaje de Log aparece la siguiente petición:

joomlafailure username and Passwort

dependiendo, eso sí, del idioma.

En la siguiente imagen podéis ver ejemplos del error.php de Joomla:

Una vez que hemos comprobado que nos “atacan”, vamos a ver como podemos protegernos aprovechando Plesk , para ello entraremos en el panel de seguridad.

Vamos a la opción: Prohibición de direcciones IP (Fail2Ban) y entramos en:

Jails -> administrador filtros – > añadir filtro

Una vez dentro, editamos el filtro de jail:

[Definition]

failregex = ^.*INFO <HOST>.*joomlafailure.*(usurio|inválida|no existe).*

ignoreregex =

Aceptamos, y entramos en la sección de Failtoban Jain y hacemos click en Añadir Jail

Como nombre, ponemos algo identificativo, por ejemplo: Protección Joomla Fail2Ban.

Elegimos el filtro de Joomla que hemos creado anteriormente.
En nuestro caso,nuestra medida de protección, si se intenta atacar la página web con Joomla, protegeremos todo el servidor bloqueando la IP del atacante al primer intento durante 6000 segundos.
Una vez aplicado y activado vamos a probar que funciona atacando nuestro Joomla con usuario y contraseña inválido. El resultado muestra nuestro bloqueo y, además, parece que hemos pillado a alguien más.

Como veis Fail2Ban puede ser un buen aliado para protegerse de los ataques de fuerza bruta dirigidos hacia las páginas web de Joomla.

Si vuestra web está desarrollada con este CMS, en digitalDot podemos ayudaros tanto en su mantenimiento, su seguridad web y su optimización para mejorar su posicionamiento SEO.

Si queréis contactar con nosotros os invitamos a que lo hagáis a través de la página web de digitalDot.

Cookie	Duración	Descripción
__cf_bm	30 minutos	La cookie se utiliza para apoyar la gestión de bots de Cloudflare.
_GRECAPTCHA	6 meses	Se ejecuta con el fin de proporcionar su análisis de riesgos.
cookielawinfo-checkbox-analiticas	1 año	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analítica".
cookielawinfo-checkbox-funcional	1 año	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesaria".
cookielawinfo-checkbox-publicitarias	1 año	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicitarias".

Cookie	Duración	Descripción
_ga	2 años	La funcionalidad es almacenar y contar páginas vistas.
_gat	1 día	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.
_gid	1 día	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.
1P_JAR	1 semana	Transfiere datos a Google.
caosLocalGa	1 mes	Son cookies propias, de análisis y persistentes, proporcionadas por el plugin Complete Analytics Optimization Suite, y se usan para optimizar la distinción de los usuarios en relación con el servicio de terceros Google Analytics.
caosLocalGa_gid	1 mes	Son cookies propias, de análisis y persistentes, proporcionadas por el plugin Complete Analytics Optimization Suite, y se usan para optimizar la distinción de los usuarios en relación con el servicio de terceros Google Analytics.
CONSENT	2 años	Recogen información para servicios de Google

Cookie	Duración	Descripción
_fbp	3 meses	Cookie de Facebook. Se utiliza para almacenar y realizar un seguimiento de las visitas en los sitios web.
AID	2 años	Mide el rendimiento de los anuncios y proporciona recomendaciones.
APISID	2 años	Mide el rendimiento de los anuncios y proporciona recomendaciones.
DV	Sesión	Identifica al usuario si está logueado con su cuenta de Google
HSID	2 años	Identifica al usuario si está logueado con su cuenta de Google
NID	6 meses	Identificación única que Google utiliza para recordar preferencias y otra información como el idioma.
OTZ	1 mes	Permiten optimizar y personalizar los anuncios mostrados al navegar. Sirve para analizar pautas de tráfico a la web, duración de la sesión del navegador. Está relacionada con el sistema de publicidad personalizada de Google Adwords.
SAPISID	2 años	Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.
SID	2 años	Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.
SIDCC	1 año	Mientras permanezca con esta sesión activa Google hará uso de esta cookie para mejorar su experiencia de uso.
SNID	6 meses	Remarketing.
SSID	2 años	Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.
TAID	10 días	Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.

Cookie	Duración	Descripción
ANID	2 años	Guardar preferencias de usuario y visualizar ubicaciones geográficas al visitar páginas con mapas de Google Maps. En nuestro sitio web utilizamos Google Maps para mostrar nuestra ubicación.
OGPC	1 mes	Se utiliza para visualizar ubicaciones geográficas utilizando los mapas de Google Maps al visitar la página. Tiene una finalidad de funcionalidad y guarda los datos correspondientes a la ubicación.