2J-Instalación de Joomla de forma segura

INSTALACION SERVIDOR CON

JOOMLA DE FORMA SEGURA

2012

Javier García Cambronel SEGUNDO DE ASIR

20/02/2012

INSTALACION SERVIDOR CON JOOMLA DE FORMA [SEGURA] 20 de febrero de 2012

SEGUNDO DE ASIR Página 1

INSTALACIÓN JOOMLA COMPLETA

INSTALAMOS APACHE 2

ASEGURAMOS NUESTRO SERVIDOR

INSTALACIÓN PHP EN APACHE CON DEPENDENCIAS

MYSQL

INSTALACION MYSQL

INSTALACION JOOMLA DE FORMA SEGURA

INSTALANDO JOOMLA

CONFIGURAMOS JOOMLA



INSTALACIÓN JOOMLA COMPLETA

INSTALAMOS APACHE 2

Lo primero que debemos hacer es instalar apache en Ubuntu, en mi caso en Ubuntu 11.04

para ello ejecutamos el siguiente comando desde la consola

sudo apt-get install apache2

Una vez que hayamos introducido nuestra contraseña si nos la pide nos pedirá una

confirmación y comenzará la instalación comenzará la instalación

El archivo apache2.conf es el archivo principal de configuración de nuestro apache, no lo

modificaremos realizando los cambios en el pertinentes a la seguridad antes de proseguir.

http://www.thegeekstuff.com/2011/03/apache-hardening/

http://www.thegeekstuff.com/2011/03/apache-hardening/



ASEGURAMOS NUESTRO SERVIDOR: MODIFICANDO

APACHE2.CONF

EVITANDO FINGERPRINTING

Por defecto muchas instalaciones de Apache muestran el número de versión que está

funcionando, el sistema operativo y un informe de módulos de Apache están instalados en el

servidor. Los usuarios maliciosos pueden utilizar esta información para atacar tu servidor.

Con la configuración del banner explicada en la página 7 antes de compilar.

ServerSignature Off: Evita que se envíe información sobre la versión del servidor en las

páginas de error.

DESACTIVAR METODOS INNECESARIOS

METODO TRACE

Es un método de petición HTTP utilizado para la depuración de las entradas de los usuarios.

En este caso vamos a desactivarlo ya que mediante él se puede ejecutar un ataque web del

tipo XSS: Cross-site scripting, un tipo de vulnerabilidad comunmente encontrada en

Servidores Web (Tomcat, Apache, etc.)

El HTTP Trace es un método de solicitud (request method) usado para debuguear con echo’s

al usuario back-input-back (vuelta-entrada-vuelta) y Jeremiah Grossman de Whitehatsec

posteó en un blog donde mencionaba el riesgo que existía al permitir al victimario robar

información incluyendo Cookies.

TraceEnable Off

Todo esto también se puede configurar debidamente en el archivo security dentro

de la carpeta conf.d o en cualquier archivo nuevo que creemos dentro de esa

carpeta, pues en apache2.conf por defecto, toma todas las configuraciones de los

archivos de dicha carpeta.



RESTRINGIR PERMISOS SOBRE DIRECTORIOS

Al final el servicio httpd va a servir documentos que están almacenados en el sistema de

ficheros por lo que es importante securizar en que partes se tiene permisos y en cuáles no,

para ello por defecto se pueden configurar las opciones más restrictivas sobre el sistema de

ficheros y luego configurar en cada directorio las opciones particulares.

Para restringir el sistema de ficheros debemos configurar algo como:

[Directory /]

Order Deny, Allow

Deny from all

Options None

[/Directory]

Pro defecto lo tendríamos configurado con algo así

En esta sección del archivo de configuración estamos restringiendo el acceso a todos los

usuarios a todos los ficheros del directorio / y además, con Options None estamos

prohibiendo el listado de directorios, la ejecución de programas CGI, la posibilidad de seguir

links simbólicos y la de inclusión de documentos del lado del servidor.

La directiva Order indica el modo en que se van a procesar las peticiones, es interesante la

manera de funcionar de la misma ya que los resultados de las directivas Deny o Allow

dependerán de la configuración de Order.



DIRECTIVAS A TENER EN CUENTA

DESACTIVA LOS INCLUDES DEL LADO SERVIDOR

Esto también se hace con las opciones de directiva dentro de la etiqueta directorio tiene dos

posibles valores none o includes.

Options -Includes

DESACTIVA LA EJECUCIÓN DE CGI

Si no necesitas la ejecución de CGI por algún motivo en concreto desacrivalos se hace con las

opciones de directiva dentro de la etiqueta directorio tiene dos posibles valores none o

ExecCGI.

Options -ExecCGI

NO PERMITIR QUE APACHE SIGA ENLACES SIMBÓLICOS

De nuevo se configura con las opciones de directiva dentro de la etiqueta directorio tiene

dos posibles valores none o FollowSymLinks.

Options -FollowSymLinks

DESACTIVAR TODAS ESTAS OPCIONES

Si deseas desactivar el uso de todas las opciones de la etiqueta directorio de las que hemos

hablado ahora simplemente pero esto puede dejar inoperable a Xampp:

Options None

Si solamente deseas DESACTIVAR ALGUNAS EN CONCRETO RECOMENDADO, separalas con

un espacio en las opciones de directiva:

Options -ExecCGI -FollowSymLinks -Indexes



DISMINUYE EL VALOR MÁXIMO DE TIEMPO DE ESPERA

Valor de Timeout: Este es el valor que una conexión inactiva va a estar mantenida por el

servidor antes de que sea cerrada. El valor por defecto es de 300 segundos pero en un

eventual ataque de denegación de servicio a generado a base de abrir conexiones el impacto

será mucho menor con valores de timeout menores. Reduce el valor de la variable Timeout a

40 o 50 segundos.

Por el defecto el tiempo de espera es de 300 segundos, aunque a mi no me ha aparecido

Añadimos estas dos líneas al final del módulo.

SSLSessionCache "shmcb:logs/ssl.scache(512000)"

SSLSessionCacheTimeout 45

DESACTIVAR LA AYUDA PARA LOS ARCHIVOS .HTACCESS

Con la directiva AllowOverride. Cámbialo a None.

AllowOverride None



DESHABILITAR PROTOCOLOS NO SEGUROS

DESHABILITAR PROTOCOLO SSL2

Para aumentar la seguridad de nuestro servidor Apache debemos desabilitar las conexiones

SSL2 ya que es un protocolo inseguro.

# Habilitamos únicamente cifrado fuerte

SSLCipherSuite HIGH:MEDIUM:!ADH

# Habilitamos únicamente protocolos seguros o también podemos quitar SSLv3 como en mi

caso

SSLProtocol -all +TLSv1 +SSLv3



COMPROBAMOS EL FUNCIONAMIENTO

Reiniciemos apache:

sudo /etc/init.d/apache2 restart

PODEMOS VERLO TANTO DE FORMA LOCAL

COMO EXTERNA



INSTALACIÓN PHP EN APACHE CON DEPENDENCIAS MYSQL

sudo apt-get install php5 php5-mysql

Despues de ingresar este comando si se nos pide la contraseña la metemos y nos saldrá una

advertencia de si queremos continuar la instalación de dicho paquete y lo confirmamos.

Despues de esto veremos como comienza la instalación de cada uno de los paquetes

Y veremos como todo esto se ha llevado a cabo sin ningún problema



COMPROBAMOS SU FUNCIONAMIENTO

Esto instalara PHP 5 y todas sus dependencias y los módulos necesarios para una

comunicación con bases de datos mysql, para asegurarnos que fue correcto podemos hacer

lo siguiente, en el directorio /var/www/ se encuentran una serie de directorios y archivos

que son los encargados de mostrarnos una página de inicio para saber si apache esta

funcionando, esta página es la que vimos cuando verificamos que apache funcionaba y no

dice mucho mas que la frase "It Works!", lo que haremos ahora es crear el archivo info.php

dentro de este directorio con el siguiente comando sudo gedit /var/www/info.php en el cual

simplemente escribiremos lo siguiente:

<?php

phpinfo();

?>

Quedando como vemos en la siguiente imágen

Luego, desde un navegador escribimos como URL la dirección del servidor y solicitamos la

página info.php, de modo que quede algo como lo 192.168.1.36/info.php, esto nos debería

devolver una página bastante extensa en la cual figuran las características de PHP



INSTALACION MYSQL

sudo apt-get install mysql-server

Una vez ejecutado el comando se nos pedirá la confirmación pertinente como en anteriores

ocasiones y confirmaríamos veríamos el progreso y se nos presentara la siguiente ventana en

la que tendríamos que introducir la contraseña para acceder como root a mysql o dejarlo sin

contraseña, NO RECOMENDADO


Esto instalara mysql server 5.0, el cliente mysql y todas sus dependencias. Para asegurarnos

que todo ha salido bien podemos ejecutar en una terminal:

Mysql –unombredeusuario -pcontraseña



INSTALACION JOOMLA DE FORMA SEGURA

PREPARAMOS LA INSTALACION

Creamos un directorio para almacenar la estructura de Joomla en nuestro home, en el cual

estaremos por defecto al abrir una nueva consola:

mkdir joomla

Nos cambiamos al nuevo directorio y así comprobamos que se ha creado perfectamente:

cd joomla

Descargamos la última versión en español de Joomla o su última versión aunque no este en

español nos podremos descargar los modulos de traducción en cuanto salgan.

Extraemos los archivos, lo podríamos hacer tanto desde la línea de comando o como vamos

a hacer ahora, desde el interfaz grafica, el archivo que nos hemos descargado, se encuentra

en el directorio que habíamos creado, seleccionamos el archivo, y extraemos todos los

ficheros, en esta misma carpeta.



Una vez hecho esto:

Borramos el archivo comprimido, que habíamos descargado y solamente dejamos lo que

acabamos de extraer, quedando como vemos en la imagen.

Nos cambiamos al directorio superior para poder mover correctamente, en el siguiente paso,

el directorio joomla que era en el que nos encontrábamos:

cd ..

Movemos el directorio que contiene la estructura de Joomla a /var/www:

sudo mv joomla /var/www

CAMBIAMOS PERMISOS

Ahora cambiaríamos los permisos de nuestro servidor (nosotros ya habíamos asegurado

nuestro servidor Apache, asique no es necesario)



CREAMOS LA BASE DE DATOS PARA JOOMLA

Entramos en mysql identificándonos y creamos la base de datos con el nombre de joomla

create database joomla;

CREAMOS UN USUARIO DETERMINADO PARA ESA BASE DE DATOS POR SEGURIDAD

Creamos un usuario, que tenga acceso sobre esa base de datos solamente y asi, no utilizar el

usuario root

GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, CREATE

TEMPORARY TABLES, LOCK TABLES ON joomla.* TO 'nombreusuario'@'localhost' IDENTIFIED

BY 'contraseña';

Aplicamos los derechos con el siguiente comando

FLUSH PRIVILEGES;



SALIMOS Y BORRAMOS EL HISTORIAL DONDE SE ENCUENTRAN LAS CONTRASEÑAS

Lo siguiente que hacemos va a ser salir de mysql y borrar el historial donde se encuentra

nuestra contraseña. Para esto utilizamos los siguientes comandos

Para salir de mysql

quit

Y para borrar el historial de mysql

rm -f ~/.mysql_history

Después de hacer esto reiniciaremos apache para que podamos acceder sin problemas y se

inicie la instalación sin ningún problema

sudo /etc/init.d/apache2 restart



INSTALANDO JOOMLA

SELECCIONAMOS IDIOMA

Comenzamos la instalación, accediendo al archivo, index.php seleccionamos el idioma de

instalación.

SOLUCIONAMOS ERRORES GENERALES

Como podemos ver hemos pasado todas las pruebas satisfactoriamente, menos, el archivo

de configuración el cuál es necesario, se nos indica que podríamos seguir con la instalación si

seguimos las instrucciones del recuadro de la siguiente imagen, aunque lo mejor es seguir

estos pasos que indicamos ahora, para evitar esto.

Para solucionar problema, creamos el archivo configuration.php, que es donde Joomla

guardará los datos de configuración de nuestro sitio web:

sudo touch /var/www/joomla/configuration.php

Le cambiamos el propietario y el grupo para poder escribir en él:

sudo chown www-data:www-data /var/www/joomla/configuration.php

Y nos aseguramos que tenemos permiso de escritura asignándole de nuevo los permisos:

sudo chmod 744 /var/www/joomla/configuration.php



Una vez hecho esto comprobamos nuevamente y vemos como lo hemos solucionado y como

vemos, así es.



SOLUCIONAMOS ERRORES CONFIGURACIONES RECOMENDADAS

Como podemos ver todo esta configurado de forma óptima, menos el área de intercambio

de buffer de salida la cuál esta activada y la recomendación es que no lo este.

Para solucionar este problema editamos el archivo de configuración PHP con el siguiente

comando

sudo gedit /etc/php5/apache2/php.ini

Y una vez que lo hemos abierto nos dirigiremos a la siguiente línea y cambiamos el valor que

tuviéramos por Off, Guardamos el archivo y para que los cambios tengan efecto también es

necesario reiniciar apache.

Como podemos ver al hacer la comprobación hemos solucionado el error, y ya tenemos la

configuración óptima.



LEEMOS LA LICENCIA Y ACEPTAMOS LOS TERMINOS

En el siguiente paso leemos la licencia y, una vez hayamos finalizado, hacemos clic

sobre Siguiente.

CONFIGURAMOS LA CONEXIÓN A LA BASE DE DATOS

A continuación, debemos escribir los datos de configuración de MySQL. Utilizaremos el

usuario javier creado específicamente para administrar la base de datos joomla.Y

pulsamos siguiente, como nuestra base de datos es MYSQL la seleccionamos, pues

normalmente por defecto se encuentra en mysqli:

CONFIGURAMOS FTP

Aunque en nuestro caso y en el de la mayoría como propiamente se nos indica, no sea

necesario, pulsaremos en siguiente para saltarnoslo



CONFIGURACION PRINCIPAL

En la configuración principal deberemos escribir tanto el nombre de nuestro sitio web como

el correo electrónico del administrador y la contraseña para el usuario admin. El

usuario admin lo crea Joomla por defecto y será con el que empecemos a administrar

nuestro sitio.

Además podemos instalar datos de ejemplo pulsando sobre el botón correspondiente:

FINALIZAMOS LA INSTALACION

Cuando hemos terminado, se nos dice que tenemos que eliminar la carpeta de instalación, es

posible que al pulsar sobre el botón de eliminar carpeta de instalación nos de error, asique lo

que hacemos será abrir una terminal.

Para ello ejecutamos el siguiente comando:

sudo rm -R /var/www/joomla/installation/

Y no debemos olvidarnos de modificar los permisos del configuration.php para que sea de

solo lectura para todo el mundo menos para el administrador, por si deseamos hacer algún

cambio:

sudo chmod 744 /var/www/joomla/configuration.php




Una vez hecho esto podremos acceder al sitio perfectamente y sin ningún tipo de problema

Y podemos ver como son funcionales todos los ejemplos que hemos instalado, si es que nos

habíamos decidido por esa opción.



CONFIGURAMOS JOOMLA

ENTRAMOS COMO ADMINISTRADOR PARA LA CONFIGURACION

Ahora para terminar, podemos ver que para entrar como administrador, tendremos que

poner /administrator justo después, de la ruta por la cual accedemos a joomla normalmente,

nos saldrá algo como lo que vemos en la imagen, donde tendríamos que identificarnos.

Una vez identificados accederíamos al panel de control, donde tenemos todas las opciones

de configuración que nos proporciona joomla



PESTAÑA SITIO

Ahora podemos proceder a la afinación de Joomla, incluyendo cambios predeterminados en

el idioma. En el panel de administración selecciona la opción Configuración global del menú.

En la primera pestaña llamada Sitio podrás:

Hacer tu sitio web fuera de servicio, mientras está en desarrollo

Elegir/cambiar el nombre del sitio web (Nombre de la empresa)

Cambiar el editor HTML predeterminado para la edición de artículos

Agregar metadatos como palabras claves, etiquetas, etc.



El nombre

Lo que aquí aparece como “Nombre”, se refiere al nombre de la página. Este nombre es

empleado, por ejemplo, en la barra de títulos del navegador cuando se está en el back-end y

cuando se muestra la página que aparece cuando el sitio está fuera de servicio.

Mensaje de fuera de servicio

Es el mensaje que aparece en la página que se abre a los usuarios cuando la página está

fuera de servicio. Se trata de un texto donde se explica los motivos por el cual la página está

sin servicio y se insta a los usuarios a volver más tarde.

Editor por defecto

Es el editor de texto que aparecerá a los usuarios en diferentes formularios. Esto puede ser

modificado para diferentes grupos de usuarios en forma posterior, desde el Gestor de

Usuarios. Se trata de una lista desplegable que muestra todas las opciones con que se

cuenta. En caso de que no se instalen editores de terceros, las posibilidades son las de

emplear el editor Tiny MCE, Code Mirror o ninguno.

Nivel de acceso por defecto

Desde aquí se puede configurar el nivel de acceso de los usuarios por defecto, y que puede

ser modificado luego por grupos o en forma individual en el Gestor de Usuarios. Se trata de

una lista desplegable donde aparecen los cuatro niveles de acceso posibles, Público,

Registrado, Especial o un nivel de acceso personalizado.

Límite de lista por defecto

Permite ingresar una cifra que será la cantidad de ítems que tendrá cada lista del Panel de

Control para todos los usuarios.

Límite de feeds por defecto

Es la cantidad de ítems que se mostrarán en los listados de feeds.

Emails de los feeds

En los feeds pueden incluirse el email del autor del mismo, o si así se define, el email de la

página. Estas dos opciones aparecen en la lista desplegable.



Configuración de metadatos

Los metadatos son aquellos datos que permiten la ubicación de la página web dentro de los

sistemas de clasificación de los buscadores. Estos metadatos aportan las claves para que los

contenidos sean clasificados y puedan ser localizados posteriormente mediante el empleo de

buscadores.

Los metadatos que pueden ser configurados en Joomla mediante el empleo de la

“Configuración Global” son la descripción y las palabras clave. Junto a estos datos, aparece

también un área de texto que permite introducir datos acerca de los derechos de los

contenidos, lo que también es utilizado por los buscadores como forma de clasificarlos,

sobre todo google.

Más abajo aparecen botones que permiten optar por mostrar u ocultar los metadatos

cuando los contenidos sean mostrados, así como el meta tag Autor.



CONFIGURACIONES SEO EN JOOMLA

Son aquellas configuraciones que pueden facilitar el posicionamiento de la página en los

buscadores.

Las configuraciones que se pueden realizar son:

URLs amigables para buscadores

Se debe marcar si se quiere o no que las URLs de la página sean amigables para los

buscadores, sustituyendo parte de la URL por los alias, reduciendo la extensión y la

complejidad de la URL.

Utilizar el módulo de reescritura (mod_rewrite) de Apache

Esta configuración solo es posible para las páginas que estén alojadas en servidores con

tecnología Apache. Esta configuración permite o no que se emplee el método de reescritura

directa bajo determinadas condiciones.

Agregar sufijos a la URL

Permite configurar que el sistema agregue sufijos a la URL basándose en el tipo de

documento. Esto quiere decir que, de ser documentos HTML, se agregará el sufijo “.html”.

Alias Unicode

Aquí se puede seleccionar si se desea que se emplee la transliteración o alias Unicode. Por

defecto, el sistema utiliza la primera opción.

Agregar el nombre de la página a los títulos

Con esta opción, se define si desea o no que el nombre de la página web sea agregado a

todos los títulos de las diferentes páginas.

Configuración de cookies

Aquí se deben especificar el dominio que se utiliza para configurar las cookies de sesión, y la

ruta que debe ser válida para la cookie.



PESTAÑA SISTEMA

La ficha Sistema te permite:

Establecer parámetros para los usuarios

Configuración del caché, cambiar duración de la sesión, etc.

Configurar la multimedia

Dentro de la configuración del sistema, también existen tres divisiones:

La primera es la configuración de los parámetros del sistema, que tiene en primer lugar la

posibilidad de ver el número secreto, que es un número generado por Joomla durante la

instalación, y que tiene funciones relacionadas con la seguridad.

Luego aparece un campo en el que se puede ver la ruta donde se guardan los datos de

registro.

Por último, una lista desplegable permite seleccionar el idioma de la ayuda en línea. Una vez

que se ha determinado el lenguaje a utilizarse, el sistema dirigirá la ayuda a páginas de

ayuda en el lenguaje seleccionado.



En la parte de la derecha tenemos:

Configuración de depuraciones

Esta configuración habilita el sistema de depuración de Joomla. Cuando está en si, eta

herramienta suministrará información de diagnóstico, traducciones del idioma, y errores

SQL. Si ocurre algún error, se mostrará al final de la página, tanto en el back-end como en el

front-end.

Configuración del caché

En el primer campo se muestra y puede configurarse, el tiempo máximo que se almacena un

archivo de caché antes de refrescarse. Por defecto, Joomla utiliza 15 minutos.

Luego se puede configurar el mecanismo de caché, que permite seleccionar entre

deshabilitar y utilizar archivos.

Configuración de sesiones

En este apartado pueden configurarse el tiempo que duran las sesiones (en realidad es el

tiempo de inactividad en la sesión antes de que ésta se cierre), donde se aconseja que no se

empleen períodos de tiempo muy largos. Por defecto, Joomla dispone que las sesiones

duren 15 minutos.

Luego se puede configurar el mecanismo por el cual son identificados los usuarios que se

conectan utilizando cookies no persistentes. La lista desplegable permite seleccionar entre

ninguno y base de datos.



PESTAÑA SERVIDOR

En la ficha Servidor puedes cambiar el horario del servidor, establecer parámetros FTP,

configurar la base de datos, así como cambiar la cuenta de correo electrónico del

administrador. Si tienes que cambiar la configuración de la base de datos, así como la

contraseña y el usuario, puedes hacerlo en esta pestaña.

CREAMOS EL DIRECTORIO TEMPORAL

Para terminar configuramos el directorio temporal nos vamos a la configuración global, a la

pestaña de servidor y escribimos lo siguiente, aunque otra opción sería dejar la ruta que

viene por defecto.

/tmp

Guardamos los cambios y salimos y ya estamos listos para trabajar con JOOMLA

perfectamente.



PESTAÑA PERMISOS

Como su propio nombre indica, es la pestaña donde asignamos los permisos, y la

configuración como siempre todo lo relacionado a los permisos es bastante compleja y

depende de para que va a ser utilizada.

Para una mayor optimización recomiendo leer tutoriales sobre esto, como el de el siguiente

enlace.

http://www.lawebera.es/manual-joomla/permisos-usuarios-joomla-1-6-segunda-parte.php

http://www.lawebera.es/manual-joomla/permisos-usuarios-joomla-1-6-segunda-parte.php

Documents

2J-Instalación de Joomla de forma segura