Configuraciones de seguridad del sitio

De MoodleDocs
note icon.png Existe documentación diferente para varias versiones de Moodle: Esta documentación es para Moodle 3.4 y más recientes. La documentación anterior se encuentra en 33/Políticas del sitio.



Proteger nombres de usuarios

Si se habilita, cuando un usuario intente reiniciar su contraseña y escriba un nombre de usuario (username) o una dirección de Email, se muestra el siguiente mensaje: "Si ha suministrado un nombre_de_usuario o dirección correctos, se le debería haber enviado un Email.". Esto es para evitar que un sujeto malicioso use la interfaz para determinar cuales nombres_de_usuario y direcciones de Email están en uso en cuentas válidas.

Si se deshabilita la configuración para proteger nombres de usuario, entonces, cuando un usuario intente reiniciar su contraseña, se le proporciona retroalimentación acerca de si existiera una cuenta con el nombre_de_usuario o la dirección de Email proporcionada. Por ejemplo, se mostraría el mensaje " La dirección de Email no se encontró en la BasedeDatos".

Forzar a que los usuarios ingresen

Si Usted activa ésto, todos los usuarios deberán ingresar antes de que puedan siquiera ver la Portada del sitio. Tenga en cuenta sin embargo, que esto no impide que los invitados accedan a cursos, si Usted tiene habilitado el auto-ingresar invitados en las Políticas de usuario.

Forzar a los usuarios a ingresar para ver perfiles

Deje ésto a Si, para mantener a los visitantes anónimos lejos de los perfiles de los usuarios.

Forzar a usuarios a ingresar para poder ver imágenes de usuarios

Si se habilita, los usuarios deben ingresar para poder ver las imágenes de los perfiles de usuarios y se usará la imágen de usuario por defecto en todos los Emails de notificaciones.

Abrir a motores de búsqueda

Al habilitar esta opción, se permite que las arañas de búsqueda (por ejemplo, de Google) accedan a su sitio como invitados. Cualquier parte del sitio que permita acceso como invitados será buscable en motores de búsqueda. Además, la gente que entre en el sitio mediante una búsqueda en motores de búsqueda entrará automáticamente como invitado en el sistema.

Política del referente

Puede configurarse una política de referente, varias partes de Moodle dependen de que el referente esté configurado, por lo que generalmente es mejor solamente quitar o reducir al referente para enlaces externos. Así, una política de origen-cuando-origen-cruzado es probablemente el mejor balance. Vea la documentación para más detalless:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

Permitir indexado por motores de búsqueda

Esto determina si es que se permite que los motores de búsqueda (tipo Google) indexen su sitio. Lo predeterminado es En todas partes excepto las página para el ingreso y para apuntarse.

Roles visibles en perfil

Cualquier rol que esté activado/seleccionado aquí será visible en los perfiles de usuarios y la pantalla de Participación.

Tamaño máximo del archivo subido

Probablemente la pregunta más formulada en los foros Using Moodle de Moodle.org es "¿Cómo aumento el límite de tamaño del archivo subido?"

Los tamaños de los archivos subidos están restringidos en varias formas - cada una de ellas en esta lista restringe lo siguiente:

1. La configuración LimitRequestBody del servidor Apache ... el valor por defecto en Apache 2.x o superior está configurado a 0 o un tamaño ilimitado de subida

2. La configuración post_max_size y upload_max_filesize del PHP dentro del archivo php.ini : modifique php.ini en los directorios del servidor web ( apache2.x.x/bin/php.ini ) no lo haga en los directorios de php :

post_max_size = 128M;  para aumentar el límite a 128 Megabytes;
upload_max_filesize = 128M;  para aumentar el límite  128 Megabytes;
max_execution_time = 600 ; El tiempo máximo para ejecución de cada script, en segundos;

3. La configuración de Moodle para el tamaño máximo de archivo subido : Configuraciones > Administración del sitio > Seguridad > Políticas del sitio > Tamaño máximo del archivo subido .

4. La configuración para tamaño máximo de archivo subido dentro de las configuraciones por defecto del curso: Configuraciones > Administración del sitio > Cursos > Configuraciones por defecto del Curso

5. Las configuraciones para Tamaño máximo del archivo subido en cada curso individual en Curso > Administración del curso > Configuraciones.

5. Ciertas configuraciones de módulos de actividad en cursos (por ejemplo, Tarea)

Cuota de usuario

El número máximo de bytes que un usuario puede almacenar en su propia área de Archivos privados .

Permitir marcas (tags) EMBED y OBJECT

El permitir éstas presenta un riesgo de seguridad, pero si Usted desea que los usuarios normales, como los alumnos, puedan usarlas, entonces active la casilla aquí.

Habilitar contenido confiable

Por defecto, Moodle siempre limpia concienzudamente el texto que viene de los usuarios para remover cualquier posible script dañino o medios que pudieran ser un riesgo de seguridad. El sistema de Contenido Confiable es una forma de darle a usuarios particulares la habilidad para incluir éstas características avanzadas en sus contenidos sin interferencias. Para habilitar este sistema, Usted primero necesita habilitar esta configuración y después otorgar la capacidad para Contenido enviado confiable a un rol específico de Moodle. Los textos creados o subidos por estos usuarios serán marcados como confiables y no serán limpiados antes de mostrarlos.

Tiempo máximo para editar mensajes

Esta opción establece el tiempo de edición para entradas en los foros. El tiempo de edición es la cantidad de tiempo que los usuarios tienen para cambiar las entradas de un foro antes de que se envíen a los suscriptores por correo.

Por favor, consulte los hilos de discusión de los foros Editing a forum post after the 30 minutes deadline (en inglés) y The philosophy underlying "no editing after 30 minutes" (en inglés)

Formato de nombre completo

Si se configura a 'Solamente nombre' solamente los usuarios con la capacidad de viewfullname |view full names capability (por defecto los mánagers, profesores y profesores no-editores pueden ver los nombres completos de los usuarios.

Moodle 2.6

Esta configuración se ha movido en Moodle 2.6 en adelante a Administración > Administración del sitio > Usuarios > Permisos > Políticas de usuario.

Permitir caracteres extendidos en nombres_de_usuarios

Por defecto aquí esta no-seleccionado = deshabilitado, solamente puede contener letras alfabéticas en minúsculas, números, guión '-', guión bajo '_', punto '.', o el signo de arroba'@'. Si Usted habilita ésto, será posible entonces el utilizar cualquier caracter para el nombre_de_usuario, pero aun así deben de ser minúsculas. Esta configuración le permitirá, por ejemplo, tener nombres_de_usuarios con vocales acentuadas como á, é, í, ó, ú, letra eñe, etc.

Nota: En Moodle 3.4.2 en adelante, las configuraciones de URL de política del sitio y de URL de política para invitados se han movido a 'Configuraciones de política' en la Administración del sitio.


Mantener estado de MAYÚS/minúsculas para nombres de marcas (tags)

Si se habilita, entonces las Marcas (tags) se mostrarán como las siguientes: SOCCER, gUiTaRRa, MacDonalds, música

Si se desactiva, entonces todas las marcas (tags) se mostrarán así: Soccer, Guitarra, Macdonalds, Música

Sugerencias:
  • Para idioma Inglés (y español también), deshabilitado es útil.
  • Para idioma Japonés, no hay cambios en ningún caso.
  • Para idiomas en donde este tipo de MAYÚS/minúsculas cambia el significado, es mejor dejarlo activado.

Perfiles solamente para usuarios inscritos (matriculados)

Para evitar abusos por los spammers, las descripciones de los perfiles de los usuarios que todavía no se hayan inscrito a ningún curso están ocultas. Los nuevos usuarios deben de inscribirseos antes de que puedan añadir una descripción en el perfil.

Ejecución del CRON solamente mediante línea de comando

Cron es una acción que corre varios trabajos administrativos en su Moodle, tales como enviar publicaciones a foros. Por defecto, en versiones de Moodle anteriores a 2.9 el CRON podía invocarse al escribir www.SU_MOODLE.com/admin/cron.php, pero dado que cualquier persona que haya ingresado al sitio puede hacer ésto y el correr Cron desde un navegador web puede exponer información privilegiada a usuarios anónimos, SE RECOMIENDA que se active esta casilla y los administradores sólamente podrán correr Cron desde la línea de comando, o que configure una contraseña para acceso remoto al Cron.

Contraseña del CRON para acceso remoto

EL configurar aquí una contraseña significará que los usuarios sólamente podrán ejecutar el CRON desde el navegador de Internet si conocen la contraseña y la añaden de esta forma: www.SUMOODLE.com/admin/cron.php/?password=LaContraseñaQueConfiguraste

Bloqueo de cuenta

Se puede habilitar el bloqueo de cuenta.

Umbral para el bloqueo de cuenta: Después de un número especificado de intentos fallidos para ingresar al sitio, se bloquea una cuenta de usuario y se les manda un Email que contiene una URL para des-bloquear la cuenta. El configurar esto a 'No' significará que no haya un umbral y que una cuenta que intente ingresar lo puede hacer un número ilimitado de veces.

Ventana de observación del bloqueo de cuenta: Tiempo de observación para umbral de bloqueo, si no hay intentos fallidos, el contador del umbral se reinicia después de este tiempo. Este es el contador para el tiempo a observar para más intentos fallidos de ingreso para una cuenta que trata de ingresar aun después de haber sido bloqueada, el contador se reiniciará en cada intento y durará este tiempo.

Duración del bloqueo de la cuenta: Las cuentas bloqueadas son des-bloqueadas automáticamente después de este tiempo.

La cuenta también puede desbloquearse por un administrador en Administración > Administración del sitio > Usuarios > Cuentas > Ojear lista de usuarios o al esperar a que transcurra el tiempo de duracón del bloqueo de la cuenta.

Política de contraseñas

Es altamente recomendable que se ponga una política de contraseñas que obligue a los usuarios a que utilicen contraseñas más fuertes, que son menos susceptibles de ser crackeadas por un intruso.

Política de contraseña

La política de contraseñas incluye la opción para configurar la longitud mínima de la contraseña, el número mínimo de dígitos, el número mínimo de minúsculas, el número mínimo de MAYÚSCULAS y el número mínimo de caracteres especiales no-alfanuméricos (como $%&/).

La política de contraseñas se habilita por defecto en Moodle 2.x. Las configuraciones por defecto son:

  • Longitud de contraseña - 8
  • Dígitos - 1
  • Letras minúsculas - 1
  • Letras MAYÚSCULAS - 1
  • Caracteres no-alfanuméricos - 1

Si un usuario escribe una contraseña que no reune los requisitos, les aparecerá un mensaje de error que indica la naturaleza del problema con la contraseña escrita.

Tip: Para reducir el riesgo de un ataque por búsqueda de diccionario md5, las contraseñas deberían de tener al menos 8 caracteres y contener al menos un número, una minúscula, una MAYÚSCULA y al menos un caracter no-alfanumérico.

Al habilitar la política de contraseñas no se afectan a los usuarios existentes hasta que decidan o se les obligue a cambiar sus contraseñas. Un administrador puede obligar a todos los usuarios a cambiar sus contraseñas usando la opción para forzar cambio de contraseñas en Acciones masivas con usuarios.

Tip: La política de contraseñas también puede aplicarse para las claves de inscripción (matriculación) al activar la casilla para 'Usar política de contraseñas' en las configuraciones para Auto inscripción.

Límite de rotación de contraseña

Aquí puede Usted especificar qué tan seguido un usuario debe de cambiar su contraseña antes de re-usar una contraseña previa. Tome nota de que ésto podría no funcionar con algunos plugins de autenticación externa.

Salir después de cambiar contraseña

Por defecto, los usuarios pueden cambiar sus contraseñas y permanecer ingresados en el sitio. Al habilitar ésta configuración, se saldrán de las sesiones existentes, con excepción de la sesión en la que especificaron la nueva contraseña. Ésta configuración solamente aplica a usuarios que cambian manualmente sus contraseñas, pero no aplica para los cambios masivos de contraseñas.

Duración del token creado por el usuario

Una nueva configuración a partir de Moodle 3.4 habilita que se configure la duración de un token para servicios web creada por un usuario (por ejemplo, vía la App mobile). (Anteriormente la duración era de tres meses y este valor no podía cambiarse.

Política de claves para inscripción a grupo

Si ésto se habilita, entonces cuando un maestro configure una clave para inscripción a un grupo, tendrá que configurar una clave que siga la política de contraseñas descrita arriba. Tenga en cuenta que la política de clave para inscripción requiere que sea habilitada la política de contraseñas.

Deshabilitar imágenes del perfil de usuario

Active esta casilla si no desea que sus usuarios puedan cambiar sus imágenes del perfil.

Confirmación de cambio del Email

Se requiere un paso de confirmación para los usuarios que cambian su dirección de Email a menos que la casilla para emailchangeconfirmation esté desactivada

Recordar nombre_de_usuario

Si Usted quiere que los nombres_de_usuario se almacenen durante el ingreso al sitio, entonces configure esto a "si". Esto guardará cookies de forma permanente, lo que en algunos países puede considerarse un asunto de violación a la privacidad si se realiza sin el consentimiento del usuario. Para el punto de vista de los habitantes del Reino Unido de la Gran Bretaña, vea http://tracker.moodle.org/secure/attachment/24290/UK+Laws+Relating+to+Cookies-LUNS2011.pdf Vea también la discusión en el foro acerca del uso de Moodle EU Cookie Law.

Validación estricta de campos requeridos

Si se habilita, se les impide a los usuarios escribir solamente un espacio o un salto de línea en los campos requeridos de los formatos (formularios) (nota: añada más información)

Vea también

  • Plugin de políticas El plugin de políticas proporciona un nuevo proceso para ingreso (identificación) del usuario, con habilidad para definir múltiples políticas (del sitio, privacidad, terceros), monitorear los acuerdos (consentimientos) del usuario y gestionar actualizaciones y versionado de las políticas.

Políticas del sitio moodle.org

Las políticas del sitio de moodle.org están descritas en idioma inglés, sin traducciones, para que puedan ser actualizadas de inmediato en caso necesario.

Esa página tiene asuntos de:

  • Privacidad
  • Código de conducta para los foros
  • Anuncios
  • Discusiones sobre Moodle Partners (Socios Moodle)
  • Violaciones a la política del sitio
  • Aviso legal

Y al final aparece la fecha de la última actualización.