Comprobaciones de Seguridad

De MoodleDocs
(Redirigido desde «Reporte Vista general de Seguridad»)


Un reporte de vista general de seguridad está disponible para los administradores del sitio en Configuraciones > Administración del sitio > Reportes > Vista general de seguridad.

Algunas de las comprobaciones incluidas son como sigue:

register_globals es una configuración de PHP que debe estar deshabilitada para que Moodle opere con seguridad.
El directorio dataroot es el sitio en donde Moodle guarda los archivos de los usuarios. No debería de estar accesible directamente via web.
Si PHP está configurado para mostrar errores, entonces cualquiera podría escribir una URL defectuosa, lo que causaría que PHP diera información valiosa acerca de la estructura del directorio y otros datos.
El directorio del proveedor no debería estar presente en sitios públicos.
El uso del plugin Sin autenticación puede ser peligroso, pues le permite a la gente acceder al sitio sin autenticarse.
El permitirle a los usuarios ordinarios que puedan incrustar Flash y otros medios dentro de sus textos (como en publicaciones de foros) puede ser un problema, porque éstos objetos ricos de medios pueden usarse para robar acceso de administrador o de maestro, aún cuando el objeto de media estuviera en otro servidor.
El permitir que se configuren rutas ejecutables vía la Interfaz Gráfica del Usuario es un vector para escalada de privilegios. Esto se puede evitar al configurar lo siguiente en config.php: $CFG->preventexecpath = true;
Hasta el filtro de medios para Flash puede ser abusado para incluir archivos maliciosos de flash.
Los perfiles de usuario no deberían de estar abiertos a la web sin Autenticación, tanto por razones de privacidad, como para evitar que los spammers obtengan una plataforma para publicar su spam en el sitio de Usted.
El permitirle a Google que entre a su sitio significa que todos los contenidos se vuelven disponibles para todo el mundo. No use esto a menos que su sitio sea realmente un sitio público.
El usar una política de contraseñas forzará a sus usuarios a que usen contraseñas más fuertes, que son menos susceptibles a ser crackeadas por un intruso.
El configurar un salado de contraseña reduce grandemente el riesgo de robo de contraseña.
Usted generalmente siempre debería de forzar a los usuarios a que confirmen el cambio de su dirección de Email mediante un paso extra en donde se le manda un enlace para confirmación al usuario.
Se recomienda usar cookies seguras solamente al servir sobre SSL.
El archivo config.php no debe ser escribible por el proceso del servidor web. Si sí lo fuera, entonces sería posible que hubiera una vulnerabilidad que permitiera a los atacantes el re-escribir el código de Moodle y mostrar lo que quieran.
Asegúrese de que realmente confía en toda a gente de esta lista: estos son los que tienen permisos para potencialmente escribir exploits XSS en foros, etc.
Revise sus cuentas de administrador y asegúrese de que sólamente tenga lo que necesita.
Asegúrese de que solamente los roles que necesitan respaldar datos del usuario puedan hacerlo y de que todos los usuarios que tengan dicha capacidad sean de su total y absoluta confianza.
Esto revisa que el rol de usuario registrado está definido con permisos sanos.
Esto revisa que el rol de invitado esté definido con permisos sanos.
Esto revisa que el rol de usuario en portada esté definido con permisos sanos.

Vea también