Fork me on GitHub
Fork me on GitHub
Donar Ahora!
Seleccione una cantidad para donar


¿Quiere que su nombre de usuario sea revelado con su donación?
Si - Listeme como un geneoso donante
No - Liste mi donación como un donante anónimo


Usuario
Bienvenido
Haz click para registrarte. Es gratuito y podrás utilizar todos los recursos de la web

Login

Recuerdame

¿Perdió su contraseña?


Online
Conectados: 28
Miembros: 0
Invitados: 28
Buscadores: 0

Estadísticas
Nuevos miembros: [BillyStilw-25/10/2017] [Teacher194-24/10/2017] [TimmyAngel-18/10/2017] [Leblanc-18/10/2017] [HealthyNut-17/10/2017] [HalliePerk-12/10/2017] [ShadBlais-8/10/2017] [WilburCruc-1/10/2017] [Ulanowski7-25/9/2017] [KaleyKlem-23/9/2017]
Registrados: 30176
Hoy: 0
Ayer: 0

Conectados:
onlineInvitadoForos
usInvitadoTitulares
onlineInvitadoTitulares
onlineInvitadoForos
onlineInvitadoPerfiles extendidos
onlineInvitadoForos
usInvitadoTitulares
onlineInvitadoForos
onlineInvitadoTitulares
onlineInvitadoForos
onlineInvitadoTitulares
onlineInvitadoTitulares
onlineInvitadoForos
onlineInvitadoForos
onlineInvitadoForos
usInvitadoDescargas Módulos (actual)
usInvitadoForos
usInvitadoForos
onlineInvitadoForos
onlineInvitadoTitulares
onlineInvitadoEnlaces
usInvitadoForos
onlineInvitadoForos
onlineInvitadoNoticias
onlineInvitadoForos
onlineInvitadoNoticias
onlineInvitadoForos
onlineInvitadoForos


Navegando en este tema:   1 Los usuarios anónimos






Sobre la seguridad en xoops.Publicado por debianus el 10/07/2007
#6
Equipo de esXOOPS
Info
Aqui esta el documento

Publicado por debianus el 10/07/2007

Seguridad en xoops

leer todos los articulos

aqui ponemos pequeño extracto:

James:

1. Desconectar Indexes.

2. Denegar accesos a las carpetas que no deberían ser accesibles directamente usando un archivo .htaccess.

3. Insistir sobre suExec en los servidores (aunque las cuentas compartidas tomen su tiempo con esto).

4. chmod 777 es una mala idea - suExec asegura que las carpetas. templates_c/ cache/ y uploads/ puedan funcionar con permisos 755, mainfile.php puede funcionar con chmod 400.

5. Mueve los detalles de tu base de datos fuera del archivo mainfile.php y fuera del directorio raíz del servidor.

6. Da permisos chmod 444 a cualquier archivo que no necesita tener permisos de escritura.

7. Da permisos chmod 755 a todas las carpetas. (algunos módulos dejarán de funcionar si usas chmod 555).

8. Desconecta el acceso anónimo a ftp.

9. Comprueba que todos los usuarios de mysql tienen una contraseña de seguridad (como: P4s5.w0_rD).

10. Comprueba que SSH (si está activo) tiene apropiadamente configurados los permisos y que puede puedes usar “su” - para tener acceso como root.

11. Examina los posibles problemas de seguridad de cualquier módulo antes de instalarlo.

12. Además de las configuraciones de PHP sugeridas por Protector, ten tu alojamiento con enable open_base_dir activado y Fork Bomb protection.

13. No des permiso de administración a cualquiera, especialmente con relación a la administración de los bloques en XOOPS.

14. Nunca creas que estás a salvo. Regularmente investiga tu sitio para encontrar posibles archivos sospechosos.

15. Copias de seguridad, copias de seguridad, copias de seguridad, copias de seguridad y copias de seguridad.

XCT: ¡Esto son un montón de cosas a tener en cuenta!.

James: Yo no se todo lo que desearía saber sobre la materia. De ninguna manera es además un asunto que no cambie, que sea estático; está constantemente cambiando. Por ello es tan importante ser activo y estar atento a las noticias sobre seguridad.

XCT: Y si el servidor está seguro ¿entonces, que?.

James: Donde XOOPS es más vulnerable en en sus módulos; muchos de ellos no aseguran las URLS y de esta manera puede ser utilizados para revelar los detalles de la base de datos. Aquí es donde acude Protector en nuestra ayuda.

XCT: Cuales son las preferencias de Protector que tienes configuradas?

James: He configurado Protector con las preferencias más restrictivas posibles y solo las cambio cuando es absolutamente necesario. Recuerda, soy un p@r@n0!D por una buena razón. "Si no eres un p@r@n0!D es que no estás prestando atención."

La prohibición de la IP de un atacante es solo una solución temporal. Prohibiendo su IP se retrasará un poco el ataque, pero no mucho. Eventualmente, los atacantes encontrarán otro proxy con otro sistema de direcciones IP y continuarán con los ataques. El verdadero problema es cerrar el agujero en la aplicación.

-------

Una última cosa a considerar:

Tus usuarios

Lo siento, pero esta es la verdad. XOOPS tiene un gran sistema de permisos; pero si tu estableces permisos erróneos tus usuarios pueden tener acceso a áreas de tu sitio desde las que pueden causar daño

En futuros artículos, miraremos más despacio los componentes individuales y que puedes hacer para mantener tu sitio web funcionando limpiamente.

Enviado el:2/7/2008 10:47
Crear PDF con el mensaje Imprimir Facebook Twitter Google Buzz Linkedin Stumbleupon FriendFeed Del.icio.us Digg Reddit Technorati


Re: Sobre la seguridad en xoops.
#5
Equipo de esXOOPS
Info
Yo tengo varias (no pocas) paginas webs realizadas en xoops, ciertamente como en todos los CMS hay vulnerabilidades, pero en xoops siempre se han solucionado con mucha brevedad.

Para tener bien seguro xoops, se recomienda instalar el modulo "protector" y tener la ultima version de xoops.

No solo te pueden hackear xoops a traves del propio xoops, existen tambien fallos de seguridad en los modulos que terceras personas desarrollan y son ajenas al projecto xoops, por eso es recomentable tambien tener estos modulos actualizados.

Tambien existe un documento en donde explica muy bien como tener asegurado xoops, a nivel de servidor y permisos de carpetas.

Tu amigo deberia haberse informado antes de cambiar a otros CMS, de cuales podrian haber sido sus fallos de seguridad y preocuparse un poco mas de estar al dia. Cualquier CMS si no esta actualizado y parcheado, puede ser hackeado.

No hay nada imposible de hackear, pero si puede ser mas dificil.

Enviado el:30/6/2008 16:50
_________________
Haga Clic para ver la Imagen original en una ventana nueva
Crear PDF con el mensaje Imprimir Facebook Twitter Google Buzz Linkedin Stumbleupon FriendFeed Del.icio.us Digg Reddit Technorati


Re: Sobre la seguridad en xoops.
#4
Principiante
Info
Buenas Negrolder, solo un apunte a la completa respuesta de JulioNC y sin entrar en deamasiados detalles tecnicos, Xoops es uno de los 3 mejores CMS según la publicación Adobe Edge, puedes echarle un vistazo a la noticia original en Xoops.org

Creo que es una mención a tener en cuenta viniendo de una empresa como Adobe.

Salut!!!!

Enviado el:30/6/2008 9:18
Crear PDF con el mensaje Imprimir Facebook Twitter Google Buzz Linkedin Stumbleupon FriendFeed Del.icio.us Digg Reddit Technorati


Re: Sobre la seguridad en xoops.
#3
Administrador
Info
Me olvidaba, el módulo protector brinda mayor seguridad.
Para la 2.3.X, Catz está trabajando en filtros XSS y otras hierbas dentro del núcleo de XOOPS.

Enviado el:28/6/2008 6:06
_________________
Github
Crear PDF con el mensaje Imprimir Facebook Twitter Google Buzz Linkedin Stumbleupon FriendFeed Del.icio.us Digg Reddit Technorati


Re: Sobre la seguridad en xoops.
#2
Administrador
Info
Acotación:

negrolder escribió:
... No he podido encontrar un artículo de barrapunto en el que decían que cualquier sitio con xoops era fácilmente hackeable. Lo encontré al día siguiente de que mi amigo me dijera su problema. Tampoco tengo claro que tan al día estaba mi amigo con sus versiones de xoops. Al final migró a ... bueno, otro CMS.


Si tu amigo no actualizo, ni se preocupo de mantener seguro el sitio. Pues es culpa de él. ¿No lo crees?

Acotación:

... ¿Hay problemas graves de seguridad en Xoops? ¿Puede volver vulnerable a un servidor el tener una falla de seguridad en xoops? ¿Los problemas de seguridad de un servidor no son de xoops? ¿Ha dejado de ser xoops el cms más seguro que existía?...


Cuando se reportan o se presume un error serio, XOOPS lanza versiones nuevas, en este caso los cambios de versión son menores.
Por ejemplo la 2.0.18.1 es una mejora, a las versiones anteriores; la cual se podía incluir archivos remotos. Pero no hizo ningún cambio importante como para lanzar otra versión superior, ejemplo: 2.0.19 (mira la lista de cambios - changelog)

Toda aplicación mal desarrollada, puede dar acceso a cualquier pelotudo Script Kiddie que puede obtener acceso al servidor. XOOPS como cualquier otro CMS o aplicación tiene errores. Sin embargo, XOOPS se caracteriza por ser seguro. Ahora que existan muchas y diversas formas de ataque, ya eso es otra cosa.

Los problemas de seguridad del servidor. Son eso, problemas del servidor. Recuerdo que no hace mucho había un error gravísimo en el Kernel de Linux, que le permitia a un usuario común convertirse en root. Así que el servidor debe estar al día, actualizaciones, firewall, jaula chroot, etc.

XOOPS el más seguro. No creo que sea el único. Pero como ya dije, XOOPS como cualquier otra aplicación está propenso a errores.

Acotación:

... ¿Hago demasiadas preguntas?


Sí. Pero descuida.

Enviado el:28/6/2008 6:04
_________________
Github
Crear PDF con el mensaje Imprimir Facebook Twitter Google Buzz Linkedin Stumbleupon FriendFeed Del.icio.us Digg Reddit Technorati


Sobre la seguridad en xoops.
#1
Principiante
Info
Más que nada es una inquietud. Siempre he sido partidario de xoops, desde la versión 1 que lo conocí. Le he hinchado las p...... a todos los que quieren hacer un site para que utilice xoops.

Un amigo mío de Panamá acesora a algunas empresas en la puesta en marcha de sus proyectos de internet. Les vende el hosting y les deja xoops instalado y corriendo (sin costo adicional, quiero aclarar) para que sus clientes sólo se preocupen del contenido, como debe ser con xoops (si no, no sería un CMS, claro está).

Sin embargo en el último semestre todos sus sitios fueron hackeados. Eliminado contenidos, puesto cosas indevidas, robado passwords, etc. La empresa del hosting que él revende le dijo "retire sus xoops", ni siquiera lo pidieron por favor. No he podido encontrar un artículo de barrapunto en el que decían que cualquier sitio con xoops era fácilmente hackeable. Lo encontré al día siguiente de que mi amigo me dijera su problema. Tampoco tengo claro que tan al día estaba mi amigo con sus versiones de xoops. Al final migró a ... bueno, otro CMS.

Quisiera preguntarles la opinión. Soy muy entuciasta, pero tampoco quiero darle mal consejo a mis amigos que tienen sus mipymes.

¿Hay problemas graves de seguridad en Xoops? ¿Puede volver vulnerable a un servidor el tener una falla de seguridad en xoops? ¿Los problemas de seguridad de un servidor no son de xoops? ¿Ha dejado de ser xoops el cms más seguro que existía?...

... ¿Hago demasiadas preguntas?

Gracias.

Enviado el:25/6/2008 0:10
Crear PDF con el mensaje Imprimir Facebook Twitter Google Buzz Linkedin Stumbleupon FriendFeed Del.icio.us Digg Reddit Technorati







Usted puede ver temas.
No puede empezar un nuevo tema.
No puede responder mensajes.
Usted no puede editar sus mensajes.
Usted no puede borrar sus mensajes.
Usted no puede crear encuestas.
Usted no puede votar en encuestas.
No se pueden adjuntar archivos a los mensajes.
No se puede publicar sin aprobación.
Usted no puede usar el tipo de tema.
Usted no puede utilizar la sintaxis HTML.
No se puede utilizar firma.

[Búsqueda Avanzada]


Mensajes Recientes

Foro Tema Respuestas Visitas Último Mensaje