Consejos de Seguridad

La seguridad es un activo en cualquier negocio, sobre todo si se trata de informática y datos. En Planeta Hosting nos preocupamos por su seguridad.

Sin embargo, tomar precauciones es su responsabilidad. Por eso, le entregamos recomendaciones para que se proteja de los fraudes informáticos.

Código malicioso o software malintencionado(Virus?)
Si su sitio web muestra un mensaje que indica que tiene un “código malicioso”, como las imágenes que aparecen más abajo, quiere decir que en la programación de su sitio hay algún script malicioso que está afectando su sitio web.
Un script malicioso o un script con código malicioso es un tipo de malware es un conjunto de líneas de código que se utiliza a menudo para redirigir los visitantes del sitio a un sitio web diferente o para que se descarguen archivos no deseados.
Estos Scripts suelen ser insertados al utilizar algún código gratuito de Internet (como contadores de visitas, estadísticas, entre otros) o directamente en sitios que utilizan programas completos gratuitos como Joomla o Wordpress y no son actualizados periódicamente.
Para solucionar estos problemas debe contactarse inmediatamente con el programador o diseñador de su sitio web para que busque y elimine en forma inmediata este tipo de códigos.

Recomendamos ver siguiente información entregada por Google al respecto:
http://www.google.com/support/webmasters/bin/answer.py?answer=163633#3 ó
http://www.google.com/support/webmasters/bin/answer.py?answer=163634
Cómo evitar hackeos en Wordpress o Joomla
Con la masificación de las páginas web en Internet, se masificaron la cantidad de plantillas o gestores gratuitos para generar y administrar estos sitiosweb, conocidos como CMS. Ejemplos comunes son Wordpress, Joomla y OsCommerce, entre muchos otros.

Estos sistemas tienen en común el hecho de que los usuarios pueden contribuir con temas, plugins, etc. Aquí es donde está el mayor peligro.

Muchos Hackers pasan meses buscando vulnerabilidades en los distintos tipos de plugins (complementos), o temas que solamente son detectados por sus creadores una vez que el hackeo fue realizado.
Esto no tiene que ver con la seguridad del servidor, sino con la propia página Web.

Un ejemplo común es la vulnerabilidad del timthumb, un gestor de miniaturas utilizado por muchos temas de wordpress o joomla. Por medio de versiones antiguas del timthumb se podía copiar archivos remotos a la página Web y luego ejecutarlos en la página. Con este método, miles de páginas Web fueron hackeadas.

Si usted ha sufrido algún ataque de hackers y tiene cualquier tipo de CMS o tienda virtual gratuita , entre las cuales pueden ser WordPress, Joomla, Mambo, OsCommerce, Moodle, entre otros, le damos 10 consejos sobre qué hacer en caso de hackeo:

1 - Verificar que su sistema esta actualizado.
2 - Verificar que todos los temas o plugins están actualizados.
3 - Realizar siempre las instalaciones por medio del administrador del CMS.
4 - Utilizar Temas y Plugins de fuentes confiables.
5 - Verificar que el tema o plugin que utiliza se actualice constantemente.
6 - Borrar cualquier plugin o tema de prueba que no vaya a utilizar.
7 - Realizar muchas pruebas con su instalación final de CMS, si es posible, realice todas las pruebas necesarias, y después realice la instalación final limpia.
8 - Si es posible agregue un index.html vacío en cada directorio que no tenga index, esto impide que se vean los archivos del directorio y con esto es más difícil buscar archivos vulnerables.
9 - Tenga siempre el computador que se conecta a FTP o al administrador del CMS limpio de virus. (Esto se aplica a cualquier página Web, no solo CMS)
10 - No pierda el tiempo buscando culpables, probablemente jamás los encuentre.

Aun con toda la precaución, no debemos olvidar que son sistemas abiertos y gratuitos que jamás le darán una seguridad al 100%, ya que el propio sistema central de Wordpresso Joomla han sufrido hackeos, lógicamente estos son menos comunes y prontamente corregidos.

Recuerde que difícilmente un hackeo de este tipo será algo personal contra usted, la mayoría de los hackers que realizan esto no se preocupan por la página que fue hackeada, sino con la cantidad de páginas que fueron hackeadas.
Cómo Proteger su Dominio y Correos para no ser Identificados como SPAM
Para mejorar que su dominio y correos no sean identificados como SPAM por favor seguir los siguientes pasos:
1. Entrar a su panel de control CPANEL
2. Ir al área donde dice CORREO
3 Hacer clic donde dice Email Authentication
4. Podrá ver 2 puntos a activar, el de DOMAINKEYS y el de SPF
5. El primer punto a activar es el SPF
6. Haga clic en Activar el SPF
7. Después de activarlo le aparecerá un código largo, este código por favor guárdelo en un lugar seguro y déjelo guardado para futuras referencias de seguridad con nosotros su empresa de Servicio de WEB HOSTING.
8. Haga clic en el vínculo de REGRESAR
9. Revise de nuevo bajo el área de SPF que diga: Status: Activado & Activo (Chequeo de DNS Paso la Prueba).
10. Vaya hacia abajo y podrá ver un botón que dice Actualizar, Haga clic en este botón y actualice los datos.
11. En esta misma área de CORREO pueden ver la opción de DOMAINKEYS que antes en el punto 4 se mencionó. Por favor hacer clic en ACTIVAR
12. Le aparecerá una página que dice: DomainKeyshavebeenenabled.
13. Haga clic en Regresar y revise que el estatus diga esto: Status: Activado & Activo (Chequeo de DNS Paso la Prueba).

Ya realizando estos dos pasos podrá lograr junto a los sistemas instalados en los servidores de Planeta Hosting.cl, como en los sistemas de infraestructura de las IPs y el centro de datos que su correo no sea considerado como SPAM.
Si tiene alguna pregunta o problema por favor contáctenos directamente en el área de clientes abriendo un caso de consulta al departamento de soporte a clientes.
Consideraciones al momento de instalar joomla
Consideraciones generales e ISPs
-Cambie sus passwords regularmente y no use siempre los mismos. Utilice una combinación aleatoria de letras, números, o símbolos y evite usar nombres o palabras que puedan ser encontradas en un diccionario. Nunca utilice los nombres de sus parientes, mascotas, etc.
-Si usted está usando un servicio compartido de hosting en su proveedor, asegúrese de que ningún otro usuario en el servidor pueda ver o accedes a los archivos de su sitio, por ejemplo a través de cuentas shell, cpanels, etc.
-Nunca dependa de los backups de otro. Hágase responsable personalmente de respaldar regularmente los archivos de su sitio y su base de datos. Muchos ISPs expresan en sus contratos que usted no puede confiar únicamente en los backups que hace el proveedor de hosting.
-Utilice un sistema de Prevención/Detección de intrusos para bloquear/alertar sobre solicitudes HTTP maliciosas.
Ejemplo de búsqueda en Google: http://www.google.com/search?q=Intrusion+Prevention.

Servidores de desarrollo
-Configure un servidor local de desarrollo, y realice allí todas las actualizaciones y testeos. Los amigos de Apache proveen a XAAMP, un instalador de aplicaciones LAMP fácil de usar y gratuito que trabaja en muchos sistemas operativos, incluyendo GNU/Linux y Windows.
http://www.apachefriends.org/en/index.html
-Algunos ISPs particulares ofertas de servidores de desarrollo y backups. Por ejemplo, joomaboom recomienda el servidor de desarrollo ofrecido en GoDaddy:http://forum.joomla.org/index.php/to...html#msg419916.

HTTP Server (Apache, etc.)
-PHP, MySQL y muchos otros componentes base fueron originalmente diseñados para, y generalmente funcionan mejor en, servidores Apache. Evite usar otros servidores si es posible.
-Utilice archivos .htaccess para bloquear intentos de exploits. Puede encontrar un muy buen y pequeño tutorial en:
http://forum.joomla.org/index.php/topic,75376.0.html
-Regularmente revise los registros de acceso en busca de actividad sospechosa. No confíe en sumarios y gráficas. Revise los "rawlogs" (registros en crudo) para detalles más reales.
-Configure los filtros de Apache mod_security y mod_rewrite para que bloqueen ataques PHP..

MySQL
-Asegúrese de que la cuenta MySQL de Joomla! está configurada con acceso limitado. Este consciente de que la instalación inicial de MySQL es insegura. Una cuidadosa configuración manual es requerida luego de la instalación.
SeeMySQL Documentación: http://dev.mysql.com/doc/refman/4.1/...rivileges.html
-En un servidor compartido, si usted puede ver los nombres de las bases de datos de otros usuarios, entonces puede estar bastante seguro de que ellos ven las suyas. Si ellos pueden ver las bases de datos que usted posea, ellos están innecesariamente un paso más cerca de entrar. Un buen ISP limitara estrictamente el acceso de cada usuario a sus propias bases de datos..

PHP
-Antes que nada PHP 4 ya no es mantenido activamente, actualice su código PHP a PHP 5.
- Aplique todos los parches necesarios para PHP y para aplicaciones basadas en PHP.
- Se recomienda un frecuente escaneo en ámbitos donde un gran número de aplicaciones PHP están en uso.
- Utilice herramientas como Paros Proxy para realizar pruebas automáticas de SQL Injection en contra de sus aplicaciones PHP.
- Siga el principio de "LeastPrivilege" (El menor privilegio) para correr PHP usando herramientas como PHPsuExec, php_suexec o suPHP desde suPHP..

PHP.INI
- Estudie la lista oficial de directivas php.ini en www.php.net.
Lista de directivas php.ini: http://us3.php.net/manual/en/ini.php#ini.list
- Configure register_globals OFF. Esta directiva determina si registrar o no las variables EGPCS (Environment, GET, POST, Cookie, Server) como variables globales.
Vea este post: http://forum.joomla.org/index.php/topic,75990.0.html
- Use disable_functions para desactivar peligrosas funciones PHP que no son necesarias para su sitio.
- Desactive allow_url_fopen. Esta opción activa las URL-awarefopenwrappers que permite el acceso a los objetos URL como archivos. Los wrappers (envolturas) son proveídos para el acceso de archivos remotos usando el ftp o el protocolo http, algunas extensiones como zlib son capaces de registrar wrappers adicionales. Nota: Esto solo puede ser configurado en php.ini por motivos de seguridad.
- Ajuste la directiva magic_gpc_quotes como sea necesario para su sitio. Debería estar en off para usar software bien escrito, y para los pobremente escritos scripts PHP 3 y PHP 4 .magic_gpc_quotes configura el estado magic_quotesstate para operaciones GPC (Get/Post/Cookie). Cuando magic_quotes esta on, todas las ' (single-quote/comillas-simples), " (doublequote/comillas dobles), \ (backslash-barra invertida) y NUL's son evitadas con una barra invertida \ automáticamente.
-Safe_mode (debería estar activado y configurado correctamente)
Directivas de configuración Seguridad PHP y SafeMode (Modo Seguro): http://us3.php.net/manual/en/feature...#ini.safe-mode
Funciones PHP restringidas/desactivadas por safemode: http://us3.php.net/manual/en/feature....functions.php
-Open_basedir (debería estar activado y configurado correctamente)
Limite los archivos que pueden ser abiertos por PHP al árbol de directorios especificado, incluyendo el archivo mismo. Esta directiva no es afectada si el SafeMode esta On u Off. La restricción especificada con open_basedir es en realidad un prefijo, no un nombre de directorio. Esto significa que "open_basedir = /dir/incl" también permite el acceso "/dir/include" y "/dir/incls" si es que existen. Cuando quiere restringir el acceso solamente al directorio especificado, cierre con una barra /..

Joomla! Core (Base)
- Siempre actualice a la última versión estable.
Vea el post: http://forum.joomla.org/index.php/topic,33226.0.html
- Descargue Joomla! solo de sitios oficiales, sitios de confianza, tales como:
Joomla! Forge: http://forge.joomla.org/sf/sfmain/do...rojects.joomla
- Suscríbase, o revise regularmente: Anuncios Relacionados con la seguridad Joomla: http://forum.joomla.org/index.php/topic,40046.0.html.
- Si usted descubre un problema de seguridad en el core de Joomla!, por favor repórtelo ASAP (As soon as possible - Lo antes posible): http://dev.joomla.org/content/view/1450/89/
- Remueva todas las plantillas (templates) que no sean necesarias en su sitio. No ponga lógica de seguridad en archivos de plantillas (templates).
http://forum.joomla.org/index.php/to...html#msg430051
- Edite globals.php para correr register_globalsemulation off en Joomla! . Aunque la emulación Joomla! es mucho más segura que la directiva PHP register_globals, es mejor no permitir para nada register_globals. Comenzando con PHP 6, ésta ni siquiera será una opción, y es cuestión de tiempo.
- Una vez que su sitio está configurado y es estable, Proteja contra escritura la mayor cantidad de archivos y directorios que pueda cambiando los permisos de directorios a 755, y los permisos de archivos a 644. Existe una característica de sitio --> Global Configuration (configuración global) --> que puede colocar los permisos de forma masiva por usted. Tenga en cuenta de que esta función masiva puede afectar el funcionamiento de los componentes, si lo hace prueba el funcionamiento de los mismos. También tenga en cuenta de que es posible que no se puedan cambiar los permisos en todos los componentes o extensiones de 3eros.
http://help.joomla.org/content/view/41/132/.
http://forum.joomla.org/index.php/topic,24108.0.html
Nota: Necesitara resetear los permisos si es que desea instalar extensiones más tarde. Sea consciente de que en algunos servidores, la opción de (Anular la protección contra escritura al guardar) puede que no funcione, aunque el aviso del sistema diga que si, por eso tendrá que cambiar las opciones de la configuración dándole permisos de escritura manualmente a su configuration.php. (Eso es algo bueno!).

Extensiones (Componentes, Módulos, y Bots) de Joomla!
- Remueva todas las extensiones Joomla! que requieran register_globals ON.
- Descargue extensiones solo de sitios de confianza. La definición oficial de "sitio de confianza" es aquel sitio en el que USTED confía.
- Antes de instalar extensiones de 3eros (thirdpartyextensions), revise: Lista oficial de extensiones de 3eros vulnerables!!!: http://forum.joomla.org/index.php/topic,79477.0.html.
- Tenga cuidado! Las extensiones de 3eros vienen en todos los sabores, tamaños y antigüedad. Aunque existen los estándares de código Joomla! (codingstandards), la extensiones listadas en el sitio oficial de Joomla! no son revisadas para ver si cumplen dichos estándares. Prueba todas las extensiones en un sitio de desarrollo antes de instalarlas en un sitio "real" sitio en producción.
- Respalde su sitio y la base de datos del mismo antes de instalar nuevas extensiones.
- Revise regularmente:
Cuestiones de seguridad de 3eros/No Joomla!: http://forum.joomla.org/index.php/board,296.0.html
- Remueva cualquier extensión no usada, y revise doblemente que los directorios y archivos relacionados hayan sido borrados. (Una contribución de joomaboom)
Funciones bloqueadas (init_set, register_globals y mod_rewrite)
Es probable que durante la instalación o implementación de algunos sistemas cms, se encuentre con algunos errores de funciones bloqueadas, las cuales puede que se encuentren de esta manera ya que se detecta algún tipo de vulnerabilidad en éstas.

Esto lo puede solucionar creando un archivo mediante editor de texto notepad un archivo llamado php.ini el cual debe contener en su interior lo siguiente: **funcion=parametro**
init_set= on
register_globals= on
mod_rewrite = On
safe_mode = On
(según función requerida)

Guardando los cambios en esta configuración y luego copiando este archivo en el directorio public_html o en los directorios que requiera esta función activa.
Políticas Anti SPAM
Es importantísimo saber que el envío de e-mail masivosestá absolutamente prohibido y no se permitirá bajo ninguna circunstancia. Incluso cuando sean dirigidos  a bases de datos de clientes o se cuente con autorización de los mismos.

En caso que Planeta Hosting detecte que un Cliente está enviando e-mail masivos, es una causal de suspensión inmediata de los servicios.

El uso de servicios de otros proveedores para efectuar campañas publicitarias abusivas, haciendo referencia en dichas campañas a servicios alojados en Planeta Hosting.cl, también implica suspensión del servicio.

En caso que se sorprende por segunda vez a un cliente, enviando e-mail masivos, sea intencional o no, de publicidad o de cualquier índole,  el servicio se suspende en forma inmediata, sin posibilidad de devolución de algún remanente del dinero pagado por la prestación del servicio.

La utilización de alguno de los servidores de correo del dominio y de las direcciones de correo electrónico con los fines de spam, mail bombing, phishing, escrowfraud, scam 419, pharming, difusión de virus (troyanos, gusanos, etc.), o cualquier otro tipo de actividad realizada con ánimo saboteador, fraudulento o delictivo, serán causales inmediatas de término de los servicios.

Planeta Hosting se reserva el derecho de exigir el pago de todos los recursos que se hayan utilizado para dar solución a los problemas generados por este tipo de envíos.

La cantidad máxima permitida para el envío de e-mail por parte de los servicios compartidos en el lapsus de una hora, es de 300  e-mails por dominio. En caso que se supere esta cantidad, los sitios se verán imposibilitados de seguir mandando e-mail hasta que pase el período de 1 hora.

En la eventualidad que requiera enviar una mayor cantidad de e-mail por hora, comuníquese con nuestra plataforma de Atención a Clientes. Es importante que considere que los servidores VPS permiten el envío de hasta 1.000 e-mails por hora y, los servidores dedicados hasta 5.000 e-mails por hora.
Qué se considera como Spam?
Se denomina SPAM, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. Planeta Hosting  considera Spam incluso al correo enviado a listas de clientes o usuarios que se hayan registrado en su sitio web pero que no han pedido expresamente el envío de determinada información.
Aunque se puede hacer Spam por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias, usenet, motores de búsqueda, redes sociales, páginas web wiki, foros, web logs (blogs), a través de ventanas emergentes y todo tipo de imágenes y textos en la web.

El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Lotus Notes,Windowslive,etc.

También se llama correo no deseado a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes, drogas, software y pornografía), se activa mediante el ingreso a páginas de comunidades o grupos o acceder a enlaces en diversas páginas o inclusive sin antes acceder a ningún tipo de páginas de publicidad.
¿Qué es el Phishing y cómo puedo evitarlo?
El Phishing es una forma de engaño mediante la cual los atacantes envían un mensaje (anzuelo) a una o a varias personas, con el propósito de convencerlas de que revelen sus datos personales. Generalmente, esta información es utilizada luego para realizar acciones fraudulentas como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otros comportamientos delictivos que requieren el empleo de tales datos. El medio más utilizado actualmente por los atacantes para realizar una acometida de  Phishing es el correo electrónico. Sus mensajes suelen ser muy convincentes, ya que simulan haber sido enviados por una entidad conocida y confiable para el usuario con la cual éste opera habitualmente, por ejemplo, un banco o una empresa con la que realiza transacciones comerciales a través de  Internet.
En el mensaje se alegan motivos diversos, como problemas técnicos, actualización o revisión de los datos de una cuenta. A continuación, para –supuestamente- verificar o modificar sus datos personales, se le solicita que ingrese a un determinado sitio  Web: su nombre completo, RUT, claves de acceso, etc. Dicha página  Web es, en realidad, un sitio falsificado que simula ser el de la entidad en cuestión, pero como su diseño suele ser muy similar al de la organización de cuya identidad se han apropiado - a veces resulta prácticamente idéntico-, el usuario no puede percatarse del engaño.
En otros casos, la artimaña se basa en el parecido entre las direcciones Web del sitio auténtico y el apócrifo. En muchas ocasiones incluso, el texto del enlace escrito en el correo electrónico se corresponde con la dirección real del sitio  Web y si el usuario hace clic en dicho enlace, se lo redirige a una página falsa, controlada por los atacantes.