¿Está tu backup de Joomla en un lugar seguro?

¿Está tu backup de Joomla en un lugar seguro?Algunos de los incidentes de seguridad relacionados con Joomla no tienen que ver con extensiones vulnerables o fallos en el core de la aplicación.
En ocasiones es el propio administrador del sitio el que, por desconocimiento o poca atención, expone el mismo a graves fallos de seguridad. Hoy os voy a hablar sobre un fallo gravísimo al hacer nuestro backup de Joomla y que, por desgracia, es más común de lo deseable.

Aunque lo que voy a explicar es válido para cualquier componente de backup, voy a usar Akeeba Backup como ejemplo, ya que es una de las extensiones más famosas a la hora de realizar nuestro backup de Joomla. Las versiones más antiguas del componente (llamado anteriormente JoomlaPak) creaban archivos .zip de nuestro sitio web y archivos .sql de nuestra base de datos. En las versiones actuales se ha incorporado el formato jpa, que crea archivos manejados directamente por el componente que nos permiten restaurar completamente nuestro sitio web en caso necesario.

La pregunta que os debéis hacer es la siguiente, ¿en qué directorio hago el backup?

Suponed que vuestra configuración del componente es la siguiente:

Wrong Joomla backup configuration


Esto quiere decir que estáis creando vuestro backup en la carpeta "MyBackups"... ¡¡dentro del directorio en el que está instalado Joomla!! No importa que tengáis configurado vuestro fichero robots.txt para que ninguna araña acceda a ese directorio: vuestro backup NUNCA debe estar donde está instalado Joomla, ya que esa información puede ser accesible a todo el mundo (Akkeeba nos alerta de ello en el apartado "Basic configuration" del enlace
https://www.akeebabackup.com/documentation/akeeba-backup-documentation/configuration.html)

Una configuración correcta sería la siguiente:

Leer más:¿Está tu backup de Joomla en un lugar seguro?

Securitycheck: seguridad para Joomla

Securitycheck: seguridad para JoomlaEn los últimos tiempos habréis notado una disminución en el número de entradas en el blog. Esto tiene una explicación: hemos estado desarrollando un componente para Joomla que hoy tengo el placer de presentaros.

Securitycheck ha sido diseñado para proporcionar seguridad extra a Joomla, protegiéndolo de ataques de cross-site scripting, inyecciones SQL o ataques LFI. El componente se divide en dos partes: el componente en sí, que nos muestra información sobre las vulnerabilidades existentes para los componentes que tenemos instalados en el sistema, y un plugin, que actúa como firewall para protegernos de los ataques citados anteriormente.

Durantes estos meses de duro trabajo hemos sometido a nuestro componente a las más variadas pruebas, y hemos conseguido detectar más de 90 patrones de ataque diferentes. Además, y aprovechando las nuevas características de Joomla, podemos actualizar Securitycheck para estar al día de las últimas vulnerabilidades, ya que monitorizamos la red diariamente para estar al tanto de las últimas amenazas e incorporarlas a nuestra base de datos y al motor de detección de amenazas del componente.

El componente tiene dos versiones: una gratuita y otra de pago. La gratuita se llama Securitycheck y la de pago, Securitycheck Pro. Ambas tienen el mismo motor de detección de amenazas; la única diferencia es que la versión Pro tiene más funcionalidades e incorpora soporte para la aplicación durante 6 meses.

No quiero extenderme más, ya que hemos desarrollado una web específica (http://securitycheck.protegetuordenador.com/)  para este componente, en la que podéis encontrar toda la información que queráis y descargar el componente.

Un saludo.

Entrenando a nuestros empleados frente a ataques de phishing

En la entrada anterior os hablé de una de las últimas técnicas de phishing para engañar a los usuarios de Google/Gmail.

Puesto que este tipo de técnicas atacan a los usuarios, muchas empresas están empezando a simular ataques de este tipo para concienciar a sus empleados de los peligros de este tipo de ataques.

Dejando a un lado lo controvertido de esta idea, existen empresas que ya ofrecen este tipo de servicios, como www.wombatsecurity.com/phishguru o www.phishlabs.com . Aunque también existen “toolkits” que nos permiten realizar esta tarea (por ejemplo “the Social Engineer Toolkit de Metasploit), estos generalmente eran algo complicados de poner en práctica, sobre todo para usuarios no iniciados. Sin embargo, hace algunos meses ha aparecido una nueva herramienta destinada a desarrollar esa labor de una forma extremadamente fácil: Simple Phishing Toolkit.

Según sus creadores, esta herramienta ha sido desarrollada para ayudar a las compañías a testear los conocimientos de phishing de sus empleados aunque, como otras herramientas, seguro que es usada por los ciberdelincuentes con fines maliciosos.

Simple Phishing Toolkit hace honor a su nombre y permite clonar cualquier web (como una Intranet corporativa o la página de login de cualquier correo web) con un simple click e incluye un creador de campañas de phishing muy fácil de usar.

Dashboard de Simple Phishing Toolkit

 

Además, permite a los administradores conocer diversos parámetros como cuándo fue pinchado un link, cuántos usuarios responden o la dirección IP, navegador y sistema operativo del usuario. Por ahora, la herramienta no permite capturar datos introducidos en los formularios de las páginas falsas, aunque sus creadores se plantean introducir un add-on con esta funcionalidad en un futuro...

Resultados de una campaña de phishing

 

Leer más:Entrenando a nuestros empleados frente a ataques de phishing

Free Internet Security - WOT Web of Trust
2011 Blog.
Powered by Joomla 1.7 Templates