Web Empresa

Ha llegado el momento de hablar sobre cuáles son las predicciones para Joomla en este año 2010. En la web de Alledia apuntan algunas que nos parecen especialmente interesantes:

Teniendo en cuenta que cada vez más usuarios acceden a Internet a través del teléfono móvil, debemos esperar más plantillas y extensiones que ayuden a visualizar con alta calidad los sitios Joomla en el iPhone, Nexus One de Google, etc.

Más empresas aceptarán definitivamente el crecimiento de Joomla, e invertirán con capital de riesgo como ha sido el caso de Artisteer. La CMS Expo en Chicago será más grande e importante que la de este año y se van a  celebrar eventos internacionales de Joomla en Alemania y en todos los continentes

Drupal, Joomla y Wordpress cada vez están más interesados en que se sepa lo que se hace en su nombre, así que es de esperar que este año veamos más alianzas oficiales como la de Acquia y Drupal.

La producción de plantillas o templates de Joomla funcionarán de modo similar a las APIs: Atención a Morph, que facilita que desarrolladores externos puedan crear sus propias plantillas.

Los diseñadores de Templates diseñaran en 2010 para diferentes plataformas sin centrarse solo en una de ellas.

Y para finalizar, debemos esperar la nueva actualización de Joomla, la 1.6, en algún momento del nuevo año que empezamos.

¿Cuáles son tus predicciones?

Con la llegada del nuevo año tenemos una interesante noticia que comunicar en nuestro blog: nuestros técnicos se estan especializando en virtuemart para Joomlas de comercio electrónico. Actualmente estamos probando diferentes skins o formas de mostrar listados de productos, fichas de producto, listados de categorias, etc.

¡Todos aquellos interesados en lo que os estamos contando, ya podéis ver resultados de estas experiencias con virtuemart!

Se acercan las navidades y qué mejor regalo que una nueva actualización de Joomla para probar. Se trata de Joomla! 1.6.0 Aplha, que actualmente no debe usarse en sitios activos ni de producción pero que ya está disponible para que vayamos probando en ambientes controlados como en localhost y ver que nuevas mejoras nos trae. De momento, sólo lo tenemos disponible en inglés.

Nuestros amigos de Joomla Spanish nos explican extensamente en su página qué mejoras nos trae esta nueva versión:

El nuevo sistema de ACL . Ahora se pueden crear nuevos grupos de usuarios, asignación de usuarios a los grupos, asignar niveles de acceso a grupos, y asignar permisos de visualización de contenido a los niveles de acceso.
La actualización a MooTools 1.2 es completa y se ha iniciado la limpieza del código del núcleo JavaScript para que sea más compacto y eficiente.
El sistema de menú y y el gestor de menus han sido completamente reescritos y ahora cuentan con una serie de importantes mejoras que lo hacen más potente, eficiente y fácil de personalizar.
Se ha recortado y depurado un montón de código lo que la hace un 30% mas ligera.
También se ha hecho una serie de mejoras de rendimiento para la extensión del sistema y el sistema de menús que debe crear una mejora visible en grandes sitios web.
Ojo: Importante que no cunda el pánico cuando algo no funcione como podría esperarse, aún queda mucho por hacer.

Esperamos que esta nueva versión os guste y paséis unas buenas navidades probando todas las ventajas que ofrece en comparación a su anterior versión.

Los días 11 y 12 de diciembre nos espera a todos los usuarios de Joomla! algo muy especial, y es que se celebra el Joomla!Day Spain 2009.

Se trata de un evento exclusivo para los usuarios de Joomla! (sólo se cobra una pequeña cuota para cubrir los gastos del evento) que tiene como objetivo aprender de los otros usuarios ya sea mediante el encuetro e intercambio de opiniones como de las distintas ponencias que se celebrarán.

El patrocinio de un evento como este, que gira entorno a un software libre basado en un gestor de contenidos del panorama internacional tiene sentido si analizamos la situación actual, donde la reducción de costes en licencias de software resulta primordial ya no sólo para el usuario medio sino que también lo es para administraciones públicas. Esto hace que Joomla! haya calado fuerte en los usuarios y su crecimiento, y el del software libre en general, haya sido exponencial en los últimos años.

Así, Joomla!Day se convierte en un escaparate inmejorable para todos aquellos proyectos que estamos desarrollando y queremos que vean la luz.

Todo lo recaudado se destinará a facilitar la máxima comodidad y calidad a los miembros de la comunidad asistentes a los diversos eventos. Algunos ejemplos de estas inversiones son:

- Traducción de las conferencias al idioma Inglés.
- Audio y vídeo en todas las salas.
- Abono de trasporte público para los dos días y para todos los asistentes.
- Snack/Almuerzo para los asistentes.
- Pack de bienvenida a los asistentes.
- CD con la última versión del pack de Joomla!Spanish y una copia offline del portal de Joomla!Day 2009

¡Esperamos veros en Joomla!Day Spain 2009 a todos!

En el post de hoy queremos recordaos que ya está disponible la nueva actualización de Joomla, 1.5.15, tras tres meses desde que apareciera la anterior versión.

Es altamente recomendable realizar la actualización por razones de seguridad. A continuación un breve resumen de las modificaciones de esta nueva versión:

• Cuestiones de Seguridad: 2
• Problemas en los Componentes: 8
• Problemas en los Módulos: 4
• Problemas en los Plugins: 18
• Problemas en los Templates: 6
• Cuestiones de Sistema: 11

Como explican nuestros amigos de Joomla Spanish, desde donde podéis descargar el software, la nueva versión soluciona un problema en el plugin XML- RPC, una vulnerabilidad de seguridad considerada de prioridad alta.Este error permitía que otros usuarios, sin permiso, pudieran editar, publicar e incluso borrar artículos. Es por tal motivo que se aconseja a los usuarios que urgentemente descarguen la nueva versión y actualicen a Joomla! 1.5.15, sobretodo aquellos que utilizan el sistema XML-RPC.

Por otra parte se solucionaron los problemas de SEF, incluida la creación de un parámetro opcional, live_site, que permitirá “proxy inverso”, se arregló el problema del correo masivo, el error en la fecha de finalización de la publicación y la detección de base de datos UTF8, entre otros.

¿A qué esperas para actualizar esta nueva versión?

Sigamos ampliando la información de post anterior sobre los elementos de seguridad en Joomla:

Núcleo de Joomla! (Core)

• Siempre actualice a la ultima versión estable.

• Descargue Joomla! solo de sitios oficiales, sitios de confianza

• Suscribase, o revise regularmente anuncios Relacionados con la seguridad Joomla!

• Remueva todas las plantillas (templates) que no sean necesarias en su sitio.

• Edite globals.php para correr register_globals emulation off en Joomla! . Aunque la emulación Joomla! es mucho mas segura que la directiva PHP register_globals, es mejor no permitir para nada register_globals. Comenzando con PHP 6, esta ni siquiera será una opción, y es cuestión de tiempo.

• Una vez que su sitio esta configurado y es estable, Proteja contra escritura la mayor cantidad de archivos y directorios que pueda cambiando los permisos de directorios a 755, y los permisos de archivos a 644. Existe una característica de sitio –> Global Configuration (configuración global) –> que puede colocar los permisos de forma masiva por usted. Tenga en cuenta de que esta función masiva puede afectar el funcionamiento de los componentes, si lo hace pruebe el funcionamiento de los mismos. También tenga en cuenta que es posible que no se puedan cambiar los permisos en todos los componentes o extensiones.

Extensiones (Componentes, Módulos, y plugins) de Joomla!

• No utilice extensiones Joomla! que requieran register_globals ON.

• Descargue extensiones solo de sitios de confianza. La definición oficial de “sitio de confianza” es aquel sitio en el que USTED confía.

• Haga una copia de seguridad de su sitio y de la base de datos MySql, antes de instalar nuevas extensiones.

• Desinstale cualquier extensión no usada, y revise doblemente que los directorios y archivos relacionados hayan sido borrados.

Texto original: “Joomla Administrator’s Security Checklist”
Traducido por: Equipo de Traducción y Documentación de Joomla!Spanish.

3. Respecto a la instalación de componentes que eleven el nivel de seguridad de Joomla, en Webempresa estamos usando los siguientes:

SecureJoomla: http://www.securelive.net/index.php?option=com_content&view=article&id=187&Itemid=235

jSecure Authentication. Para poner una barrera de seguridad adicional a nuestro sitio, este plugin modifica la ruta de acceso a la administración. Se trata de añadir una clave personal a nuestra ruta del administrador, ya que debido a que la ruta de acceso a la administración de Joomla es siempre la misma: (http://www.misitio.com/administrator), cualquiera que haya logrado obtener nuestro usuario o contraseña puede acceder a nuestro Joomla.

¡Esperamos que estos dos posts os hayan ayudado!

Durante los próximos dos posts os mostraremos las medidas que se pueden tomar con Joomla, para aumentar el nivel de seguridad del mismo. Hay que partir de la base que Joomla es seguro, siempre que se realice un buen mantenimiento a nivel de actualizaciones y se tomen ciertas medidas de precaución, tanto a nivel de servidor como del propio Joomla.

Fundamentalmente hay 3 aspectos que deben contemplarse cuando hablamos de seguridad Joomla:

• La configuración del servidor donde está alojado nuestro Joomla.
• Las medidas tomadas desde la administración del Joomla por parte del administrador, tanto a nivel de configuraciones como extensiones de seguridad.
• Extensiones de terceros, hay que tener en cuenta su seguridad y mantenerlas actualizadas.

Respecto a los puntos 1 y 2, estas son las recomendaciones que hace rliskey, moderador del foro de joomla.org:

Consideraciones generales

• Cambie sus passwords regularmente y no use siempre los mismos. Utilice una combinación aleatoria de letras, números, o símbolos y evite usar nombres o palabras que puedan ser encontradas en un diccionario. Nunca utilice los nombres de sus parientes, mascotas, etc.
• Si usted esta usando un servicio compartido de hosting en su proveedor, asegurese de que ningún otro usuario en el servidor pueda ver o acceder a los archivos de su sitio, por ejemplo a través de cuentas shell, cpanels, etc.
• Nunca dependa de los backups de otro. Hágase responsable personalmente de respaldar regularmente los archivos de su sitio y su base de datos.
• Utilice un sistema de Prevención/Detección de intrusos para bloquear/alertar sobre solicitudes HTTP maliciosas.
  Ejemplo de búsqueda en Google (Intrusión+Prevención)

HTTP Server (Apache)

• PHP, MySQL y muchos otros componentes base fueron originalmente diseñados para, y generalmente funcionan mejor en, servidores Apache. Evite usar otros servidores si es posible.

• Utilice archivos .htaccess para bloquear intentos de exploits

• Regularmente revise los registros de acceso en busca de actividad sospechosa. No confie en sumarios y graficas. Revise los “raw logs” (registros en crudo) para detalles mas reales.

• Configure los filtros de Apache mod_security y mod_rewrite para que bloqueen ataques PHP.

MySQL

• En un servidor compartido, si usted puede ver los nombres de las bases de datos de otros usuarios, entonces puede estar bastante seguro de que ellos ven las suyas. Si ellos pueden ver las bases de datos que usted posea, ellos están innecesariamente un paso más cerca de entrar. Un buen ISP limitara estrictamente el acceso de cada usuario a sus propias bases de datos.

PHP

• Antes que nada PHP 4 ya no es mantenido activamente, actualice su código PHP a PHP 5.

• Aplique todos los parches necesarios para PHP y para aplicaciones basadas en PHP.

• Se recomienda un frecuente escaneo dónde un gran número de aplicaciones PHP están en uso.

• Utilice herramientas como Paros Proxy para realizar pruebas automáticas de SQL Injection en contra de sus aplicaciones PHP.

• Siga el principio de “Least Privilege” (El menor privilegio) para correr PHP usando herramientas como PHPsuExec, php_suexec o suPHP desde suPHP.

php.ini

• Estudie la lista oficial de directivas php.ini en www.php.net.

• Configure register_globals OFF. Esta directiva determina si registrar o no las variables EGPCS (Environment, GET, POST, Cookie, Server) como variables globales.

• Use disable_functions para desactivar peligrosas funciones PHP que no son necesarias para su sitio.

• Desactive allow_url_fopen. Esta opción activa las URL-aware fopen wrappers que permite el acceso a los objetos URL como archivos. Los wrappers (envolturas) son proveidos para el acceso de archivos remotos usando el ftp o el protocolo http, algunas extensiones como zlib son capaces de registrar wrappers adicionales. Nota: Esto solo puede ser configurado en php.ini por motivos de seguridad.

• Ajuste la directiva magic_gpc_quotes como sea necesario para su sitio. Debería estar en off para usar software bien escrito, y para los pobremente escritos scripts PHP 3 y PHP 4 . magic_gpc_quotes configura el estado magic_quotes state para operaciones GPC (Get/Post/Cookie). Cuando magic_quotes esta on, todas las ‘ (single-quote/comillas-simples), ” (double quote/comillas dobles), \ (backslash-barra invertida) y NUL’s son evitadas con una barra invertida \ automáticamente.

• Modo Seguro: safe_mode (debería estar activado y configurado correctamente)

• open_basedir (debería estar activado y configurado correctamente). Limite los archivos que pueden ser abiertos por PHP a el arbol de directorios especificado, incluyendo el archivo mismo. Esta directiva no es afectada si el Safe Mode esta On u Off. La restriccion especificada con open_basedir es en realidad un prefijo, no un nombre de directorio. Esto significa que “open_basedir = /dir/incl” también permite el acceso “/dir/include” y “/dir/incls” si es que existen. Cuando quiere restringir el acceso solamente al directorio especificado, cierre con una barra /.

Aquí hay directivas de ejemplo para las sugerencias anteriores:

register_globals = 0
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
allow_url_fopen = 0
magic_gpc_quotes = 0
safe_mode = 1
open_basedir = /dir/incl/

¡Estad atentos al próximo post!

Como dijimos en el post anterior, vamos a seguir hablando sobre la Ley de Protección de Datos en la web, en este caso sobre la Ley Orgánica de Protección de Datos de Carácter Personal.

La LOPD

¿Qué hay que cumplir?

Esta Ley Orgánica, establece los derechos y deberes de ciudadanos u organismos en la recogida y tratamiento de información y datos de caracter personal. Desde el punto de vista de aquellos organismos o empresas que recogen información, las obligaciones se dividen en tres apartados:

* Notificación: La empresa u organismo ha de notificar a la Agencia Española de Protección de Datos, aquellos ficheros, con datos de caracter personal, de los que es propietaria, así como cualquier variación con respecto a los datos informados en su creación: cambio de titularidad, de finalidad del archivo, de su ubicación física.
* Obtención de consentimiento: La Ley establece que para obtener y almacenar los datos personales de clientes y empleados, debemos contar con su autorización, no pudiendo en ningún caso hacer un uso fraudulento, abusivo o ilícitio de los mismos. Salvo los casos especiales, definidos por la ley, este consentimiento deberá ser libre, específico, informado e inequívoco. Asimismo, la Ley entiende que a partir de dicha información el afectado es consciente y toma conocimiento de la existencia del tratamiento que se va a realizar, sin que deba mediar consentimiento expreso salvo en la recabación de datos sobre Salud y expreso y por escrito en aquellos que tengan que ver con ideología o filiación.
* Protección de los datos: el fichero o fichero de datos ha de estar protegido física y tecnológicmante y debe cumplir los criterios de confidencialidad, exactitud y disponibilidad. Es decir, la información sólo ha de ser accesible por personas autorizadas y sólo ha de sufrir modificaciones autorizadas.

¿Cómo cumplirlo?

Para notificar a la AGPD el fichero o ficheros de los que somos titulares, podemos optar por diversas formas, siendo la recomendada por la propia agencia, el sistema NOTA (Notificación Telemática a la Agpd) que nos permite crear, modificar o suprimir el fichero.  La AGPD dispone además de una serie de ficheros pre-completados que pueden ayudarnos en su creación.

En lo que se refiere a informar a aquellos cuya información vamos a recoger , la ley establece que se deberá incluir la información sobre el objetivo de la recogida de la información y los derechos que dispone el mismo,  de forma visible en todos aquellos formularios, contratos y cupones en los que se recoja información privada.

Por último, para garantizar la seguridad, debemos observar y cumplir medidas de seguridad en el acceso físico a las instalaciones o equipos donde almacenamos la información, formación de las personas que acceden a ellos y protección tecnológica con el uso de claves o contraseñas, programas antiespías…

Como resumen, podemos decir que cumplir con la legalidad, no sólo no es costoso si no que reflejará nuestro compromiso con los usuarios y por tanto mejorará su percepción de nuestra empresa lo que será beneficioso en todos los casos.

Tanto este como el siguiente post vana  servir para poner en claro ciertos conceptos en relación a la protección de datos en la web. Desde Webempresa esperamos que os sea de utilidad a todos.

¿Qué tengo que tener en cuenta con mi web respecto a la ley de protección de datos?

La regulación viene dada por dos leyes distintas, uno de caracter directo La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), elaborada en 2002 por el Ministerio de Industria, y otra que afecta de forma indirecta la conocida  Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) elaborada por el Ministerio de Fomento en 1999.

Las obligaciones que imponen ambas leyes dependen del tipo de empresa y del tipo de web. Así, no rigen los mismos puntos de la Ley para una web orientada al E-commerce que para una web corporativa de una empresa, que son a su vez distintos  que los que debe observar un sitio web de uso personal.

La LSSICE

¿Qué hay que cumplir?

Es la más reciente de las dos.  Establece las obligaciones que han de cumplir propietarios y proveedores de sitios web. Sirvan estos puntos como resumen de la información que debe ofrecer el propietario de una web, en todos los casos:

* Denominación social, NIF, domicilio y fax, teléfono o e-mail.
* Los datos de inscripción registral.
* Códigos de conducta a los que esté adherido, en su caso.
* Precios de los productos o servicios ofrecidos en la web junto a sus impuestos y gastos de envío, en su caso.
* Si es una actividad regulada, datos de colegiaciación y titulación académica de quienes ejerzan en la empresa.

Si además de ofrecer productos o servicios en la web, se ofrece la contratación o transacción online, se debe dar información de:

* Los trámites a seguir para la contratación.
* Si el contrato o pedido  se va a archivar, y si este será accesible para el usuario.
* La forma en la que el usuario puede corregir errores en la introducción de datos
* La lengua o lenguas en las que puede formalizarse el contrato.
* Las condiciones generales, en las que en su caso, se sujete el contrato.

¿Cómo cumplirlo?

Esta serie de puntos, son sencillos de llevar a la práctica, y no solo constituyen una obligación sino que son la base para lograr éxito comercial en una web. El dueño de la web tan sólo ha de redactar una o dos secciones de la web informando de todas las cuestiones referidas en los puntos anteriores.

Suele ser interesante dedicar dos secciones a esto. Una que recoja toda la información desde un punto de vista jurídico/legal (el aviso legal) y otra, desde un punto de vista más comercial, que recoja asimismo la información, pero con un tono más informal, informando de todas las cuestiones relacionadas con la compra o prestación de servicios. (la sección de faqs, cómo comprar, etc). Muchos proveedores importantes de servicios web, ofrecen un borrador de la redacción, sin embargo, la empresa propietaria de la web, y por tanto, responsable legal de la misma, ha de revisar los puntos para adaptarlos a aquellos que son de aplicación en su caso.

Joomla es un CMS muy completo que nos puede servir para montar nuestra página web de manera muy sencilla, pero también nuestra tienda online o catálogo simplemente añadiendo un módulo. Virtuemart es un complemento para Joomla para crear tiendas online que podremos actualizar con facilidad.

La flexibilidad de Virtuemart es asombrosa ya que desde su panel de control podemos listar los productos que tenemos en venta, añadirle categorías a los productos, comprobar los pedidos, ofrecer distintos métodos de pagos, listar los vendedores, controlar los usuarios o modificar la configuración e información de la tienda. Si no queremos activar la opción de venta, podemos usarlo sencillamente como catálogo para mostrar nuestros productos. Además podremos dar datos adicionales como el tamaño y el peso de los productos y establecer ventas cruzadas recomendando productos relacionados.

Las funciones que nos permite son muchas, como controlar el stock de productos (es muy sencillo agregar nuevos productos cuando nos interese y eliminarlos cuando creamos oportuno), marcar opciones de cupones descuento o administrar los envíos configurando con qué transportistas vamos a trabajar y que tarifas tienen.

Una de las grandes ventajas de Virtuemart, además, es la flexibilidad a la hora de configurar distintas posibilidades y medios de pago, ya que podemos configurar los impuestos, los métodos de pago o las tarjetas de crédito admitidas.

Fuente: tecnologiapyme