Els plugins que milloraran la seguretat a la teva pàgina web

Mesures i plugins per millorar la seguretat de la teva pàgina web ja sigui Wordpress, Joomla, Magento o Prestashop.

Què és un CMS?

Els Sistemes de Gestió de Continguts (en anglès, Content Management System) son softwares que gestionen els continguts i que en permeten la seva elaboració, publicació i actualització. Son, per tant, eines open source i això fa que estiguin més exposades a diversos perills i que haguem de tenir-ne cura.

Potser els coneixeràs més com a Wordpress, Joomla, Magento, Prestashop, etc.

Per què instal·lar plugins de seguretat als CMS?

  • Els CMS són eines open source, és a dir, codi obert. I justament per això son més vulnerables i tenen molts forats al codi, per aquest motiu són fàcilment hackejables.
  • Per evitar que s’utilitzi la nostra web per enviar spam, mineria de criptomonedes o per infectar els usuaris visitants.
  • Per monitoritzar millor els accessos a l’administració: qui entra, quan i si ha entrat malament els codis d’accés.
  • Mantenir backups (còpies de seguretat) periòdics.

Si vols informar-te més en detall dels perills que corre la teva web, pots mirar el nostre post d'infeccions més comunes.

Ecosistema - Seguretat CMS

Foto: Aaron Burden

Com una cadena d'engranatges cada espècie té la seva funció dins de l’ecosistema. Entre totes vetllen perquè funcioni i sobrevisqui.

Consells de seguretat genèrics per a tots els CMS

Aquests són uns quants consells per mantenir la seguretat del teu gestor de continguts, sigui quin sigui.

  • 1:
    Tenir actualitzat a l’última versió del CMS.
  • 2:
    Tenir actualitzats els plugins.
  • 3:
    Treure plugins que no utilitzem.
  • 4:
    Utilitzar contrasenya de nivell alt. Ha de tenir un mínim de 6 caràcters, una lletra majúscula, una lletra minúscula i un caràcter especial que no sigui ni lletra ni número.
  • 5:
    Eliminar plantilles no utilitzades i elements demostratius.
  • 6:
    Deshabilitar el registre d’usuaris si no el fem servir.
  • 7:
    Canviar el prefix de la base de dades. Per defecte apareixerà aquest prefix wp_ però per a major seguretat canvia’l per un més fort. Com canviar-lo?
  • 8:
    Incloure el test de Captcha als formularis. Aquesta és una de les maneres més senzilles d’evitar que els bots spammers utilitzin la teva web per enviar-te spam des del formulari o per introduir enllaços d’altres webs i fer així SEO off-page (tots els factors de posicionament extern i que, per tant, no pertanyen a la teva pàgina i no pots controlar directament amb el SEO on-page).
  • 9:
    Utilizar certificat SSL. Si la nostra web compta amb un certificat SSL estarem protegint la informació confidencial que s’envia entre dos sistemes i podrem impedir que qualsevol persona llegeixi i modifiqui qualsevol dada que es transfereixi.

    És importantíssim protegir totes aquestes dades, ja que en cas de pèrdua o robatori podríem estar incomplint amb la Llei de protecció de dades (LOPD).

    Per saber si una web compta amb un certificat SSL a la URL ha d’aparèixer la capçalera HTTPS (Hypertext Transfer Protocol Secure), que no és més que la indicació de que és una conexió segura de HTTP.

Eina
SSL és l’acrònim de Secure Sockets Layer (capa de sockets segura), i és la tecnologia estàndard que manté segura una conexió a internet.

Plugins de seguretat per a JOOMLA

Aquest CMS és ideal per publicar continguts i intranets.

Admin Tools

Aquesta extensió té dues modalitats: la gratuïta (Admin Tools Core) i la de pagament (Admin Tools Professional).

Seguretat per CMS - Admin Tools
  • Des d’aquest complement es podrà actualitzar tant el component com el mateix Joomla.
  • Permet disposar d’una seguretat offline i establir contrasenyes per millorar la nostra seguretat.
  • Disposarem d’eines que ens permetin modificar els permisos de directoris, així com esborrar arxius temporals i optimitzar la base de dades.

Què ens ofereix la versió de pagament?

Neteja planificada. Neteja automàtica programada del directori temporal i taula de sessions.

Bloqueja l'accés als fitxers sensibles a la seguretat. Bloqueja l’accés a fitxers com htaccess.txt, configuration.php-dist i php.ini a l'arrel del vostre lloc.

Optimitza el temps de caducitat de la caché (bo per SEO).

Notificació per correu electrònic a l'excepció de seguretat. Envia un correu electrònic quan es produeix una excepció de seguretat.

Bloqueig geogràfic. Eviteu l'accés al vostre lloc per països o continents específics.

Llista negra d'IP. Eviteu l'accés al vostre lloc mitjançant adreces IP o blocs d'adreces IP específics.

Llista blanca de l'administrador IP. Només permet l'accés a la secció d'administrador del vostre lloc mitjançant blocs específics d'adreces IP.

Filtre anti-spam. Basat en la llista de paraules incorrectes.

www.akeebabackup.com

Akeeba backup

Té una versió lliure i una professional (de pagament).

Seguretat per CMS - Akeeba backup

És una extensió de backups, és a dir, còpies de seguretat. La còpia és del lloc complet, l’arxiu inclou la base de dades, els fitxers i el guió de restauració. Tot i això, es pot personalitzar allò que es vol copiar i aquestes còpies es poden guardar al núvol, ja que Akeeba backup té suport integrat per a diverses plataformes com Dropbox o Amazon S3, entre d’altres. Es poden crear còpies de seguretat automàtiques i migrar aquestes a un altre servidor sense problema. A més a més, compta amb ALICE, el seu analitzador de registre automatitzat, que proporciona la solució adequada al problema que sorgeixi.

Què ens ofereix la versió de pagament?

Cloud Backup. Envia arxius de còpia de seguretat a qualsevol servidor FTP, FTPS, SFTP; guard arxius de còpia de seguretat en molts proveïdors d'emmagatzematge en núvol comercials, inclosos DropBox, Amazon S3, Box.com, Google Drive i molt més.

Gestió remota de quotes. Evita que el vostre servidor de núvol s’ompli massa amb la gestió de quotes de còpia de seguretat remota.

Feu una còpia de seguretat només de la base de dades del vostre lloc o només dels vostres fitxers.

Filtres d'arxius, directoris i bases de dades d'expressions regulars (PCRE).

Inclou directoris fora de la carpeta web pública al conjunt de còpies de seguretat.

www.akeebabackup.com

Brute Force Stop

Eina gratuïta.

Seguretat per CMS - Brute Force Stop

Amb aquesta extensió podrem bloquejar els atacs de força bruta que es realitzin al teu lloc. També podrem controlar i bloquejar els intents fallits de loguejar-se o registrar-se, després de sobrepassar un límit d’intents personalitzable. Aquests intents quedaran registrats, així com la IP d’on provinguin, de manera que si és un fals positiu, es podrà desbloquejar i, fins i tot, posar en una llista blanca perquè no el torni a bloquejar.

extensions.joomla.org/brute-force-stop/

Eina
Què és un atac de força bruta (Brute-force-attack)?
És aquell atac amb el qual a partir d’un algoritme complex s’intenta desxifrar la contrasenya provant totes les combinacions possibles fins a trobar la bona.

Peix globus - Seguretat CMS

Foto: Nila Eslit

El peix globus és famós per inflar-se d'aigua en qüestió de segons quan s’espanta o és atacat. Multiplica diverses vegades el tamany i d’aquesta manera sembla més gran i perillós.

Plugins de seguretat per a WORDPESS

Aquest CMS és ideal per a l’elaboració de blogs.

Wordfence

Versió gratuïta i versió de pagament.

Seguretat per CMS - Wordfence

Disposa d’un bon motor d’anàlisi d’arxius, aquells que hagin estat modificats o injectats amb codi. De vegades dona masses falsos positius

Permet veure en temps real l’anàlisi de visitants. Augmenta de forma important el consum de recursos si el lloc web té trànsit

Mínim impacte sobre el rendiment del lloc web. Implementa un sistema de cache que es pot aprofitar al màxim en servidors web compatibles amb .htaccess com Apache.

Firewall molt potent que ens permet bloquejar visitants per país, zona del món o proveïdor.

S’ha d’instal·lar sencer.

Què ens ofereix la versió de pagament?

Actualització d'amenaces en temps real. Versió gratuita de 30 dies.
Bloqueig per països.
Comprovació de si una IP genera spam.
Comprovació de si el teu lloc web envia spam.
Autenticació de doble factor.

www.wordfence.com/

Eina
Què és un arxiu .htaccess?
És un arxiu molt popular en servidors webs basats en Apache que permet als administradors millorar la seguretat de la seva pàgina web a partir de diferents polítiques d’accés a directoris o arxius i, per tant, evitar l’accés a tercers.

Ninja Firewall

Té una versió lliure i una ampliada (de pagament).

Seguretat per CMS - Ninja Firewall

El NinjaFirewall (WP Edition) és un plugin que pot escanejar, desinfectar i/o rebutjar qualsevol sol·licitud HTTP / HTTPS enviada abans d’arribar a Wordpress o a qualsevol dels altres plugins.

El seu motor de filtratge, un dels més potents en un complement Wordpress, té la capacitat de normalitzar i transformar les dades de les peticions HTTP entrants i permet detectar les tècniques que utilitzen els virus per evitar els tallafocs (firewalls), així com les tàctiques d’ofuscació utilitzades pels pirates informàtics.

NinjaFirewall protegeix la teva web d’atacs de força bruta, fins i tot, els més potents, aquells atacs distribuïts des de milers d’IP diferents.

  • Detecció en temps real. NinjaFirewall alerta de qualsevol accés a un fitxer PHP que s’hagi modificat o creat o si un hacker ha carregat un script de shell al vostre lloc o ha intentat accedir a aquest fitxer amb el seu navegador.
  • Control d’integritat de fitxers. Escanejos del lloc web cada hora, periòdicament o diàriament. El plugin detecta qualsevol modificació que es faci d’un fitxer: del seu contingut, els permisos del fitxer, propietat del fitxer o creació i eliminació de fitxers.
  • El trànsit del vostre lloc web en temps real amb Live Log. Tot sense carregar WordPress.
  • Notificació d’esdeveniments. Alertes habilitades sobre esdeveniments com l’inici de sessió de l’administrador, modificació de qualsevol compte d’administrador a la base de dades, plugins de càrrega, instal·lació, activació, actualització i eliminació. Així com qualsevol modificació del Theme o actualització de WordPress.
  • Protecció contra les vulnerabilitats de seguretat WordPress. NinjaFirewall pot actualitzar automàticament les noves regles de seguretat en un període de temps personalitzable: diariament, dues vegades al dia o, fins i tot, cada hora.
  • Privadesa forta. NinjaFirewall filtra el trànsit al propi servidor de manera que les dades confidencials romanen al servidor i no es dirigeixen a un servidor de tercers. Això evita riscos.
  • Compatibilitat amb IPV6.
  • Suport a diversos llocs, la interfície de configuració només serà accessible per al súper administrador del lloc principal de la xarxa.
  • Possibilitat de posar el vostre propi codi PHP als tallafocs. Seguretat a la carta.
  • Firewall d'empremta baixa.
  • Interfície d’usuari no intrusiva i compatible amb telèfons intel·ligents.
  • Ajuda contextual.

Què ens ofereix la versió de pagament?

Ús de la memòria compartida Unix per a la comunicació interprocessos (IPC) i una ràpida actuació.
Filtre de resposta (Filtre web) per escanejar la sortida de la pàgina HTML just abans que s'enviï al navegador dels visitants.
Control d'accés basat en IP
Control d'accés basat en país (geolocalització).
Antispam per formularis de comentaris i registres d'usuaris.

nintechnet.com/ninjafirewall/wp-edition/

Bulletproof

Versió gratuïta i versió de pagament.

Seguretat per CMS - Bulletproof

És un antivirus, firewall, auditor de seguretat i protector dels arxius .htaccess i wp-config.php (arxiu intern de la plataforma WordPress).

A partir de regles de seguretat i firewalls categoritzats per nivells (bàsic, mitjà i avançat) ens ofereix:

  • Seguretat de comptes i bases de dades.
  • Seguretat i monitoreig de l’inici de sessió.
  • Escaneig i protecció contra malware en arxius.
  • Protecció de permisos d’arxius.
  • Preveu els atacs de força bruta.
  • Protecció de popups perillosos.
  • Eines antispam i antipirateria.
  • Mode de manteniment.
  • Assistent de configuració complet.
  • Còpia de seguretat i restauració de la base de dades.

Què ens ofereix la versió de pagament?

Plugin Firewall (IP Firewall): llista blanca i adreça IP actualitzada en temps real.
Iniciar sessió amb seguretat i seguiment amb l'alerta del tauler.
Registre de seguretat.
Estat i informació de la Base de dades
Assistent de configuració en un clic.
Assistent de configuració AutoFix (AutoWhitelist | AutoSetup | AutoCleanup).
Sistema de detecció i prevenció d'intrusions autònom (ARQ IDPS).
Sistema de prevenció i intrusió de quarantena (ARQ IDPS).
Monitor d'arxius en temps real (IDPS).
MScan Malware Scanner.
Sistema de detecció d'intrusos del monitor DB (IDS).

extensions.joomla.org/extension/brute-force-stop/

Mofeta - Seguretat CMS

Foto: sipa

De les glàndules anals de la mofeta surt un raig que pot arribar fins a quatre metres de distància. Aquesta olor tan desagradable les defensen dels depredadors, com els ossos, espantant-los.

Plugins de seguretat per a PRESTASHOP

Com bé diu el seu nom, PrestaShop és un gestor de continguts orientat al comerç electrònic.

Protect My Shop

De pagament amb versió demo.

Seguretat per CMS - Protect My Shop

Amb Protect My Shop la protecció és totalment personalitzable, es poden activar o no algunes de les proteccions que ofereix, sobretot en dos àmbits:

  • La protecció d’injeccions de codi a la base de dades.
  • La protecció dels lladres de dades i més quan es tracta d’una botiga virtual, en la qual es treballa amb dades confidencials dels clients.

Tot i això, aquest mòdul també permet:

Configurar que no es descarreguin arxius directament de la botiga.
Protegir les imatges. Evita que altres llocs web enllacin les imatges mostrant el seu lloc web pel seu SEO.
Protegir la informació de la base de dades contra tot tipus d’injeccions, com les SQL, que poden ser destructives.
Protegir-se en contra del clic dret del ratolí per impedir accions com ‘copiar i enganxar’ o ‘guardar com’ en el cas, per exemple, que existeixin els drets d’autor.

www.librasoft.fr/protect-my-shop.html

Com evitar que els virus online acabin amb el teu disseny web

Login Sheriff PRO

De pagament.

Seguretat per CMS - Login Sheriff PRO

Es pot decidir com funcionarà el mòdul i la sensibilitat que tindrà. A més, també es pot definir el bloqueig d’inici de sessió després d’un determinat nombre d’intents. També es pot programar un temps perquè faci un anàlisi complet de forma periòdica. El mòdul, per tant, és personalitzable perquè defensi la botiga segons el que hàgiu seleccionat.

El que ens ofereix:

Anàlisi del trànsit a la vostra botiga i intents d'inici de sessió sospitosos..
Protegeix les dades dels vostres clients.
Protegeix la teva botiga contra atacs de força bruta.
Bloqueja adreces IP..
Envia notificacions a l'administrador de la botiga amb informació sobre noves adreces IP bloquejades.
Permet desactivar temporalment el compte d’un client des del procés d'inici de sessió.
Envia notificació al client sobre les accions realitzades per protegir el compte del client, tal com fa Google quan creu que hi ha un moviment sospitós.

addons.prestashop.com/login-sheriff-pro.html

Drac - Seguretat CMS

Foto: Nick Garbutt

Els dragons de cua de fulla utilitzen les característiques del seu cos per mimetitzar-se amb l’entorn. Una espècie que només es troba a l’illa de Madagascar, les illes que l’envolten i a Austràlia.

Plugins de seguretat per a MAGENTO

Sistema de gestió de continguts per a comerços electrònics.

Two-Factor Authentication

De pagament.

Seguretat per CMS - Two-Factor Authentication

Les contrasenyes, per molt fortes i segures que siguin, no ens protegeixen completament. Per això molts llocs ja utilitzen el sistema de doble factor. Google torna a ser l’exemple. En el cas de Magento es combina l’aplicació Google Authenticator i el telèfon intel·ligent per verificar la sessió de l’administrador.

Que ofereix:

Accés segur al vostre panell d’administració. .
Assegurança contra el rastreig de dades.
Protecció contra el registre de claus.
Llista blanca d’adreces IP per al codi de verificació.
Requisits d’autentificació flexibles.

Aquest plugin és compatible amb iPhone (iOS 3.1+), iPad, iPod touch, Android (1.5+) i BlackBerry (OS 4.5-6.0). Tot i això és recomanable assegurar-se de la compatibilitat amb el vostre dispositiu abans de fer la compra.

amasty.com/two-factor-authentication-for-magento-2.html

MageFence

De pagament.

Seguretat per CMS - MageFence

El que ens ofereix:

DETECTAR:

Auditoria de seguretat de Magento: escaneja el vostre sistema per trobar malware i comprova si el vostre lloc web ja ha estat piratejat.
Escaneja la integritat dels fitxers del vostre sistema web i detecta els canvis potencialment no desitjats que poden ser conseqüència de la infecció per malware.
Programeu el temps i la freqüència de l'escaneig perquè no interfereixi amb el rendiment del vostre lloc web.
Detecta els usuaris administradors creats sense autorització i eviten que els pirates informàtics perjudiquin el vostre lloc web creant comptes d'administrador falsos.
Detecta els fitxers .htaccess que falten i els restaura amb fitxers predeterminats.

PROTEGIR:

Bloqueja l'adreça IP després de traspassar el límit d’intents d'inici de sessió fallits: podeu establir el nombre d'intents permesos i la quantitat d'adreça IP temporal bloquejada.
Bloqueja a qualsevol persona que intenti iniciar sessió amb un nom d'usuari incorrecte immediatament
Envia alertes per correu electrònic sobre activitats sospitoses - canvis d'arxius, atacs de força bruta i usuaris no autoritzats.
Opcionalment, envia una notificació per correu electrònic cada vegada que l'usuari administrador inicia la sessió.
Utilitza la funció de la llista negra d'IPs per bloquejar els visitants no desitjats del vostre lloc web a través del fitxer .htaccess.

FER COMPLIR:

Comprova si totes les actualitzacions de seguretat de Magento s'apliquen i mostra quines actualitzacions falten.
Canviar l'URL del vostre panell d'administració per fer que sigui gairebé impossible d'endevinar.
Canviar l'URL del Magento Connect Manager per protegir l'accés al vostre lloc web sense afectar la funcionalitat de Magento Connect.

www.magefence.com

Eriço - Seguretat CMS

Foto: Amaya Eguizabal

Els eriçons utilitzen les pues que li recobreixen la part superior del cos per defensar-se dels seus atacants. Un múscul en forma de cúpula és l’encarregat de fer aixecar aquestes petites punxes quan se sent amenaçat.

Tinguis el CMS que tinguis, protegeix-lo bé! .

Si ens vols conèixer millor,
contacta'ns. I si t'agrada, segueix-nos!