Un reporte de vista general de seguridad está disponible para los administradores del sitio en Configuraciones > Administración del sitio > Reportes > Vista general de seguridad.

Algunas de las comprobaciones incluidas son como sigue:

• Register globals

register_globals es una configuración de PHP que debe estar deshabilitada para que Moodle opere con seguridad.

• Dataroot inseguro

El directorio dataroot es el sitio en donde Moodle guarda los archivos de los usuarios. No debería de estar accesible directamente via web.

• Mostrar errores de PHP

Si PHP está configurado para mostrar errores, entonces cualquiera podría escribir una URL defectuosa, lo que causaría que PHP diera información valiosa acerca de la estructura del directorio y otros datos.

• Vendor directory

El directorio del proveedor no debería estar presente en sitios públicos.

• Sin autenticación

El uso del plugin Sin autenticación puede ser peligroso, pues le permite a la gente acceder al sitio sin autenticarse.

• Permitir EMBED y OBJECT

El permitirle a los usuarios ordinarios que puedan incrustar Flash y otros medios dentro de sus textos (como en publicaciones de foros) puede ser un problema, porque éstos objetos ricos de medios pueden usarse para robar acceso de administrador o de maestro, aún cuando el objeto de media estuviera en otro servidor.

• Rutas ejecutabls

El permitir que se configuren rutas ejecutables vía la Interfaz Gráfica del Usuario es un vector para escalada de privilegios. Esto se puede evitar al configurar lo siguiente en config.php: $CFG->preventexecpath = true;

• Filtro de medio .swf habilitado

Hasta el filtro de medios para Flash puede ser abusado para incluir archivos maliciosos de flash.

• Perfiles de usuario abiertos

Los perfiles de usuario no deberían de estar abiertos a la web sin Autenticación, tanto por razones de privacidad, como para evitar que los spammers obtengan una plataforma para publicar su spam en el sitio de Usted.

• Abierto a Google

El permitirle a Google que entre a su sitio significa que todos los contenidos se vuelven disponibles para todo el mundo. No use esto a menos que su sitio sea realmente un sitio público.

• Política de contraseña

El usar una política de contraseñas forzará a sus usuarios a que usen contraseñas más fuertes, que son menos susceptibles a ser crackeadas por un intruso.

• Salado de contraseña

El configurar un salado de contraseña reduce grandemente el riesgo de robo de contraseña.

• Confirmación de cambio de Email

Usted generalmente siempre debería de forzar a los usuarios a que confirmen el cambio de su dirección de Email mediante un paso extra en donde se le manda un enlace para confirmación al usuario.

• Cookies seguras

Se recomienda usar cookies seguras solamente al servir sobre SSL.

• config.php escribible

El archivo config.php no debe ser escribible por el proceso del servidor web. Si sí lo fuera, entonces sería posible que hubiera una vulnerabilidad que permitiera a los atacantes el re-escribir el código de Moodle y mostrar lo que quieran.

• Usuarios confiables para XSS

Asegúrese de que realmente confía en toda a gente de esta lista: estos son los que tienen permisos para potencialmente escribir exploits XSS en foros, etc.

• Administradores

Revise sus cuentas de administrador y asegúrese de que sólamente tenga lo que necesita.

• Respaldo de datos del usuario

Asegúrese de que solamente los roles que necesitan respaldar datos del usuario puedan hacerlo y de que todos los usuarios que tengan dicha capacidad sean de su total y absoluta confianza.

• Rol por defecto para todos los usuarios

Esto revisa que el rol de usuario registrado está definido con permisos sanos.

• Rol de invitado

Esto revisa que el rol de invitado esté definido con permisos sanos.

• Rol en portada

Esto revisa que el rol de usuario en portada esté definido con permisos sanos.

Vea también

• Usando Moodle Security and Privacy forum