Ratio: 0 / 5

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

La cosa más importante que alguien puede hacer es tomar buenas decisiones con respecto a las extensiones que elige para usar en un sitio. Una vez que una extensión insegura o maliciosa está instalada debes considerar que la totalidad de tu sitio se ve comprometido.

No existe una forma posible para protegerse o detener un componente con acceso a tablas de la base de datos para que no tenga acceso. No hay manera posible para detener a un componente del envío de toda la información nueva que encontró en la página web a un cracker. Una vez que se instala un componente inseguro o malicioso, todo el sitio es inseguro.

Sugerencia sencillas para tomar buenas decisiones con respecto a las extensiones a instalar

  • Cuando fue liberada la última versión?
  • Si ha pasado más de un año, consideremos que el proyecto se abandonó y debemos buscar algo más. No instales componentes antiguos.
  • ¿Qué tipo de liberación es? (Estable, Candidata a Liberación (RC), Beta, Alfa)
  • Para los sitios de producción debes estar apegado a versiones Estables tanto como sea posible. Si no puedes esperar hasta que una versión Estable haya sido puesta a disposición, la Candidata a Liberación es la única opción que debes considerar. No se sugiere que cualquier persona instale extensiones Beta o Alfa en un sitio de producción. Esto significa que todavía tiene bugs, no se han probado lo suficiente y puede tener un número grande de inconvenientes, errores o problemas de seguridad que no han sido localizados o solucionados.
  • ¿La extensión tiene un historial de buenas prácticas de seguridad?
  • Esto es obviamente un poco más subjetivo, pero aún es un indicador muy válido de confiabilidad a futuro. Requiere un poco de investigación y estudio. Mira alrededor de las páginas de descarga y archivos del desarrollador. ¿Hay muchas versiones de seguridad o parches? ¿Hay una gran cantidad de informes de actividad de hacking a través de esta extensión? ¿Es el desarrollador experimentado y consciente en temas de seguridad? ¿Qué piensan de esta extensión otros miembros de la comunidad?
  • ¿Hay una comunidad de apoyo para esta extensión?
  • Esto es muy importante para la usabilidad y la conciencia de seguridad. Si hay una comunidad de apoyo para una extensión hay una mayor probabilidad para que los problemas de seguridad puedan ser conocidos y resueltos. Una comunidad de apoyo significa que la gente quiera seguir usando la extensión y que se preocupan por la extensión. Esto favorece la posibilidad de que los problemas de seguridad se encuentren, divulguen y traten con prontitud.
  • ¿Existe una versión compatible con la más reciente de Joomla!?
  • Este punto es importante en el período de transición entre dos versiones de Joomla!, donde dos versiones válidas de Joomla! todavía están en uso. Es importante saber si la extensión es compatible con la versión actual de Joomla, cuando la versión anterior va a llegar a su final de vida. La actualización de Joomla! es mucho más fácil si una extensión es compatible con la versión más reciente de Joomla! disponible.
  • ¿Esta la extensión generalmente libre de errores?
  • Mientras que es casi imposible para una extensión este completamente libre de errores, cuanto más pequeño es el número de errores, mejor. Si hay errores en el software significa que hay equivocaciones en el código. A más errores, es mayor el riesgo de problemas de usabilidad y seguridad. Los problemas de seguridad son a menudo el resultado no sólo de un error, pero si de varios errores o malas prácticas. Por ejemplo, la reciente vulnerabilidades de 3ª partes que permiten la inclusión de archivos remotos son un resultado de:

imagen interna

Malas Prácticas

  • Tener Register Globals de PHP activado.
  • El uso de una extensión obsoleta o abandonada.
  • No hay otros controles de seguridad habilitados para PHP. (url_fopen off, restriccione con open_basedir, funciones de PHP deshabiltadas)
  • Mal configurados los permisos de archivo.
  • Sin solicitudes de filtrado de software o "firewall". (tales como reglas de mod_rewrite o mod_security de módulos Apache)

Errores

  • No incluye instrucciones define('_VALID_MOS') or die...
  • Mal construidas declaraciones include().

Cosas importantes para recordar

Aunque el núcleo de Joomla! es seguro cuando se configura correctamente, las extensiones de terceras partes vienen en todos los gustos y calidades. A menos que el desarrollador de extensiones, sea absolutamente de confianza, siempre revisa el código antes de la instalación. La siguiente es una lista de las típicas áreas de preocupación.

1 ¿Cuán compleja es la extensión?

Si más grande es, más probable es que tengas problemas y con más cuidado se debe revisar. Si no te puede decir lo que está haciendo, no debes confiar en ella.

2 ¿La extensión lee o escribe archivos en tu servidor?

Los programas que leen archivos inavertidamente puede violar las restricciones de acceso que has configurado o pasar información sensible del sistema a crackers. Los programas que escriben archivos tienen el potencial de modificar o dañar archivos existentes o introducir los caballos de troya.

3 ¿La extensión interactua con otros programas en tu sistema?

Por ejemplo, muchas de las extensiones que envian un e-mail en respuesta a un formulario de entrada abre una conexión con el programa sendmail. ¿Esto se hace de una manera segura?

4 ¿La extensión se ejecuta con privilegios suid (set-user-id)?

En general, esto es muy peligroso; las extensiones necesitan una excelente razones para hacer esto.

5¿La extensión valida todas las entradas del usuario, como ser los campos de formulario y en las URL?

6 ¿ la extensión hace uso explícito de nombres de ruta de acceso para llamar a programas externos?

Confiar en la variable de entorno PATH para resolver nombres de ruta de acceso parciales es una práctica peligrosa.

7 ¿Es la extensión segura contra el acceso directo a través de la URL?

Por ejemplo: www.tusitio.com/components/com_mala_extension.php?un_monton_de_mal_codigo_aqui

8 ¿Es la extensión segura contra la inclusiones de archivos remotos?

9 ¿Es la extensión segura contra inyecciones SQL?

10 ¿Es la extensión segura contra Cross Site Scripting (XSS)?

11 ¿La extensión necesita PHP register_globals ON o Joomla! RG Emulation ON?

Si es así, entonces es probablemente viola el número 7 anterior.

12 ¿La extensión proporciona un mayor acceso a bases de datos a usuarios con menos privilegios?

Por ejemplo: ¿permite a los visitantes o usuarios registrados ver los datos que sólo los editores o administradores deben ser capaces de ver?