Guía de seguridad para Joomla: protege tu sitio web frente a las amenazas

La mayoría de las brechas de seguridad en Joomla se pueden evitar. No son consecuencia de ataques sofisticados contra el núcleo de Joomla, sino de instalaciones desactualizadas, extensiones sin parchear, credenciales de administrador débiles y entornos de alojamiento mal configurados. Esta guía recoge las medidas de seguridad que de verdad importan para proteger tu sitio web Joomla.

El mayor riesgo: usar una versión de Joomla sin soporte

Ningún nivel de refuerzo de la seguridad compensa el hecho de ejecutar una versión de Joomla sin soporte. Si tu sitio web funciona con Joomla 3 (fin de vida en agosto de 2023) o Joomla 4 (fin de vida en octubre de 2025), la medida de seguridad más importante que puedes tomar es actualizar a una versión con soporte.

Las versiones de Joomla sin soporte no reciben parches de seguridad. Cuando se descubre y se corrige una vulnerabilidad en Joomla 5 o 6, esa misma vulnerabilidad sigue abierta en Joomla 3 y 4, de forma permanente. Los detalles de la vulnerabilidad se publican en el Centro de Seguridad de Joomla, lo que en la práctica ofrece a los atacantes una hoja de ruta para explotar las instalaciones antiguas.

Ver todas las rutas de actualización →

Extensiones: tu mayor superficie de ataque

La mayoría de las brechas de seguridad en Joomla tienen su origen en extensiones de terceros, no en el núcleo de Joomla. Esto se debe a que la calidad del código de las extensiones varía enormemente, las extensiones abandonadas nunca reciben parches de seguridad y un sitio Joomla típico puede tener entre 15 y 50 extensiones instaladas, cada una de ellas una posible puerta de entrada.

Buenas prácticas de seguridad en las extensiones

  • Elimina lo que no utilizas. Toda extensión instalada es superficie de ataque. Si una extensión está instalada pero no se usa de forma activa, desinstálala por completo: deshabilitarla no basta, ya que el código permanece en el servidor y puede seguir siendo accesible.
  • Actualiza sin demora. Cuando una extensión publique una actualización, aplícala, especialmente si el registro de cambios menciona correcciones de seguridad. Pruébala primero en un entorno de pruebas y después despliégala.
  • Vigila el abandono. Si una extensión no se actualiza desde hace más de 12 meses, considérala abandonada y planifica su sustitución. Una extensión abandonada no volverá a recibir un parche de seguridad.
  • Consulta la lista de extensiones vulnerables. El Directorio de Extensiones de Joomla mantiene una lista de extensiones con vulnerabilidades conocidas. Coteja tus extensiones instaladas con esa lista.
  • Prioriza la calidad sobre la cantidad. Usa el mínimo número de extensiones necesario. Antes de instalar una extensión nueva, comprueba que la funcionalidad no esté ya disponible en el núcleo de Joomla o en una extensión que ya tengas.

Para recomendaciones de extensiones, consulta nuestra Guía de extensiones de Joomla.

Refuerzo del acceso de administrador

Credenciales sólidas

No utilices «admin» como nombre de usuario de administrador. No uses contraseñas sencillas. Emplea un gestor de contraseñas para generar contraseñas únicas y complejas para cada cuenta de administrador de Joomla. Es higiene de seguridad básica, pero sigue siendo la debilidad más habitual que encontramos durante las auditorías de sitios.

Autenticación en dos pasos (2FA)

Joomla 5 y 6 incluyen autenticación en dos pasos integrada. Actívala en todas las cuentas de administrador. La 2FA añade un segundo paso de verificación, normalmente un código temporal generado por una aplicación de autenticación, que impide el acceso no autorizado incluso si la contraseña se ve comprometida. No hay ninguna buena razón para no usarla.

Limita el acceso de administrador

No todos los usuarios del backend necesitan acceso de Super Administrador. El sistema de grupos de usuarios de Joomla te permite crear roles con permisos concretos y limitados. Los editores de contenido deberían tener permisos de edición de contenido, no acceso a la configuración del sistema. El principio de mínimo privilegio se aplica al acceso al CMS igual que a cualquier otro sistema.

Protección del directorio de administración

Añadir una capa adicional de protección a tu directorio /administrator —mediante protección con contraseña a nivel de servidor (.htpasswd), restricción por IP o un parámetro de URL secreto— dificulta mucho que las herramientas automatizadas encuentren y ataquen tu página de inicio de sesión. Esto no sustituye a unas credenciales sólidas ni a la 2FA, pero reduce el volumen de intentos de fuerza bruta que tu sitio tiene que soportar.

Seguridad del servidor y del alojamiento

Versión de PHP

Usa la última versión de PHP con soporte (PHP 8.2 u 8.3 para Joomla 5/6). Las versiones antiguas de PHP no reciben parches de seguridad. Ejecutar Joomla sobre una versión de PHP sin soporte anula muchas de las mejoras de seguridad del propio CMS.

Permisos de archivos

Unos permisos de archivos correctos impiden la modificación no autorizada de tus archivos de Joomla. Como regla general: los directorios deben establecerse en 755, los archivos en 644 y el archivo configuration.php en 444 (solo lectura). Tu entorno de alojamiento puede requerir ajustes ligeramente distintos; consulta a tu proveedor de alojamiento si tienes dudas.

SSL/TLS (HTTPS)

Todo tu sitio web debe servirse a través de HTTPS. Esto protege los datos que se transmiten entre los visitantes y tu servidor, incluidas las credenciales de inicio de sesión, los envíos de formularios y las cookies de sesión. No hay ninguna razón legítima para servir un sitio web Joomla a través de HTTP en 2026. Hay certificados SSL gratuitos disponibles a través de Let's Encrypt y de la mayoría de los proveedores de alojamiento.

Firewall de aplicaciones web (WAF)

Un firewall de aplicaciones web filtra las peticiones maliciosas antes de que lleguen a tu instalación de Joomla. Los WAF a nivel de servidor (ModSecurity, LiteSpeed WAF) o los WAF en la nube (Cloudflare, Sucuri) ofrecen protección frente a ataques habituales como la inyección SQL, el cross-site scripting y los intentos de inclusión de archivos.

Copias de seguridad periódicas

Las copias de seguridad son tu última línea de defensa. Si se produce un incidente de seguridad a pesar de todas las medidas preventivas, una copia de seguridad limpia y probada te permite restaurar tu sitio al estado anterior al ataque. Las copias de seguridad diarias automatizadas, almacenadas fuera del servidor y con pruebas de restauración periódicas, son imprescindibles. Akeeba Backup es la herramienta estándar para esto.

Configuración de seguridad del núcleo de Joomla

Mantén Joomla actualizado

Aplica las actualizaciones del núcleo de Joomla sin demora en cuanto se publiquen. Pruébalas primero en un entorno de pruebas y después despliégalas en producción. Joomla 5.4 y 6 admiten actualizaciones automáticas de versiones menores; activa esta función si confías en la compatibilidad de tus extensiones, o trabaja con un proveedor de mantenimiento para gestionar las actualizaciones de forma controlada.

Ajustes de seguridad en la Configuración global

La Configuración global de Joomla incluye varios ajustes relevantes para la seguridad. Forzar HTTPS debería estar activado. La duración de la sesión debería establecerse en un valor razonable (de 15 a 30 minutos para las sesiones de administrador). La notificación de errores debería establecerse en «Ninguno» o «Predeterminado del sistema» en los sitios de producción (nunca en «Máximo», ya que esto expone rutas del servidor y detalles de configuración a posibles atacantes).

Registro de usuarios

Si tu sitio web no necesita registro público de usuarios, desactívalo. El registro abierto de usuarios es un vector habitual para cuentas de spam y, en instalaciones mal configuradas, puede explotarse para escalar privilegios. Si sí necesitas el registro público, implementa un CAPTCHA y exige la verificación por correo electrónico.

Qué hacer si hackean tu sitio

Si sospechas que tu sitio web Joomla ha sido comprometido:

  1. No te dejes llevar por el pánico, pero actúa con rapidez. Cuanto más tiempo persista el compromiso, más daño causa: a tus datos, a tus visitantes y a tu reputación.
  2. Pon el sitio fuera de línea. Muestra una página de mantenimiento para evitar que los visitantes queden expuestos a contenido malicioso.
  3. No te limites a restaurar desde una copia de seguridad. La vulnerabilidad que permitió el compromiso sigue existiendo. Restaurar sin abordar la causa raíz significa que el atacante puede volver a entrar por la misma brecha.
  4. Identifica el punto de entrada. Determina cómo obtuvo acceso el atacante: ¿fue una extensión sin parchear, una contraseña débil, una vulnerabilidad de subida de archivos o un problema a nivel de servidor?
  5. Limpia el compromiso. Elimina todos los archivos maliciosos, los scripts de puerta trasera y el código inyectado. Revisa la base de datos en busca de contenido inyectado. Revisa las cuentas de usuario en busca de administradores no autorizados.
  6. Parchea la vulnerabilidad. Actualiza el componente que se explotó, cambia todas las contraseñas e implementa las medidas preventivas descritas en esta guía.
  7. Restaura y verifica. Vuelve a poner el sitio en línea y supervísalo de cerca por si aparecen señales de un nuevo compromiso.
  8. Plantéate ayuda profesional. Limpiar a fondo un sitio web hackeado requiere experiencia. Un script de puerta trasera que se pase por alto significa que el atacante conserva el acceso aunque creas que el sitio ya está limpio.

La seguridad es un proceso continuo

La seguridad no es una configuración que se hace una sola vez. Las amenazas evolucionan, se descubren nuevas vulnerabilidades y el panorama de las extensiones cambia constantemente. Un mantenimiento estructurado y continuo —actualizaciones periódicas, supervisión y revisiones de seguridad regulares— es la forma más fiable de mantener seguro un sitio web Joomla a lo largo del tiempo.

Nuestros planes de mantenimiento incluyen supervisión de seguridad, gestión de actualizaciones y verificación de copias de seguridad como servicios fundamentales. Nuestro alojamiento gestionado ofrece seguridad a nivel de servidor, que incluye firewalls, protección frente a ataques DDoS y supervisión proactiva.

Solicita una evaluación de seguridad

Nuestra auditoría gratuita del sitio incluye una evaluación de seguridad: comprobamos tu versión de Joomla, tu versión de PHP, el estado de vulnerabilidad de las extensiones, la configuración de SSL y los errores de configuración más habituales. Recibirás un informe claro que muestra en qué situación se encuentra tu sitio y qué aspectos requieren atención.

Solicita tu evaluación de seguridad gratuita →

También te puede interesar