Guía de seguridad para Joomla: protege tu sitio web frente a los ataques más habituales

La mayoría de los sitios Joomla comprometidos se podían haber evitado. Los ataques aprovechan debilidades de sobra conocidas: nombres de usuario de administrador por defecto, falta de autenticación en dos pasos, extensiones sin actualizar y servidores mal configurados. En esta guía repasamos las medidas de seguridad que de verdad importan.

Si buscas la guía de seguridad completa, con los riesgos de las versiones sin soporte, la seguridad de las extensiones y la recuperación tras un hackeo, consulta nuestro Centro de seguridad de Joomla.

Las cinco cosas que debes hacer ya

1. Actualízalo todo. El núcleo de Joomla. Todas las extensiones. La versión de PHP. Si tu versión de Joomla ya no tiene soporte, actualízala: ningún blindaje arregla un CMS sin mantenimiento.

2. Activa la autenticación en dos pasos. Joomla 5 y 6 incluyen 2FA de serie. Actívala en todas las cuentas de administrador. Esta única medida frena la mayor parte de los ataques de fuerza bruta y de relleno de credenciales.

3. Cambia el nombre de usuario de administrador por defecto. Si tu cuenta de Superadministrador todavía se llama «admin», cámbiala hoy mismo. Las herramientas de ataque automatizadas buscan precisamente ese nombre de usuario.

4. Elimina las extensiones que no uses. Cada extensión instalada amplía la superficie de ataque. Si no la usas de forma activa, desinstálala por completo: no basta con desactivarla, hay que eliminarla.

5. Comprueba que tus copias de seguridad funcionan. Tener copias de seguridad automáticas es imprescindible. Pero ¿cuándo probaste por última vez a restaurar una? Una copia que nunca se ha probado es una esperanza, no una red de seguridad.

Blindaje a nivel de servidor

HTTPS en todas partes. SSL/TLS en todas las páginas, forzado mediante .htaccess o la configuración del servidor. Sin excepciones.

Permisos de archivos. Directorios: 755. Archivos: 644. configuration.php: 444. Estos ajustes impiden la modificación no autorizada de archivos.

Protección del directorio de administración. Añade protección por contraseña a nivel de servidor, restricciones por IP o un parámetro de URL secreto a tu directorio /administrator. Así reducirás drásticamente el volumen de intentos de fuerza bruta.

Cortafuegos de aplicaciones web (WAF). ModSecurity, el WAF de LiteSpeed o un WAF en la nube como Cloudflare ofrecen protección frente a inyección SQL, XSS y ataques de inclusión de archivos directamente en el servidor.

Informe de errores desactivado. Configura el informe de errores de Joomla como «Ninguno» o «Predeterminado del sistema» en los sitios en producción. La opción «Máximo» muestra rutas del servidor y detalles de configuración que ayudan a los atacantes.

Seguridad continua

La seguridad no es una configuración que se hace una vez y ya está. Requiere supervisión, actualizaciones y atención constantes. Nuestros planes de mantenimiento incluyen supervisión de seguridad, gestión de actualizaciones y verificación de copias de seguridad.