Información general sobre seguridad

Totara almacena los archivos de usuario en la raíz de datos. Para mantenerlo seguro, no debe ser accesible desde la web.

Si se mueve el directorio raíz de datos, $CFG->datarootsetting el deberá actualizarse en el archivo config.php.

Esto debe desactivarse para todos los sitios en vivo/de producción, ya que podría crear una vulnerabilidad de seguridad. Si PHP está configurado para mostrar errores, permitiría que alguien obtenga información, como estructuras de directorio, ingresando una URL defectuosa (lo que indicaría a PHP que muestre detalles sobre el error y el sistema).

Esto se puede cambiar en el archivo php.ini. Abra el archivo y establezca display_errors en display_errors=Desactivado.

El directorio de proveedores contiene varias bibliotecas de terceros y sus dependencias, normalmente instaladas por el compositor de PHP. Puede ser necesario para el desarrollo local, como para instalar el marco de PHPUnit. Pero también puede contener códigos potencialmente peligrosos, lo que expone su sitio a ataques remotos.

Se recomienda encarecidamente eliminar el directorio si el sitio está disponible a través de una URL pública, o al menos prohibir el acceso web a él.

-

El node_modules directorio contiene módulos Node.js y sus dependencias, normalmente instalados por la utilidad NPM. Estos módulos pueden ser necesarios para el desarrollo de Totara. No son necesarios para ejecutar un sitio de Totara, y pueden contener códigos potencialmente peligrosos que expongan su sitio a ataques remotos.

Se recomienda encarecidamente eliminar el directorio si el sitio está disponible a través de una URL pública, o al menos prohibir el acceso web a él.

-

Esta configuración debe desactivarse en sitios de producción/en vivo, ya que permitiría a alguien crear una cuenta sin autenticación, lo que significa que incluso podría usar una dirección de correo electrónico que no existe y no se requiere verificación.

Esto se puede desactivar al ir a la autenticación de gestión de autenticación de complementos de acceso  >>> rápido y asegurarse de que esté deshabilitado.

Como medida de seguridad predeterminada, los usuarios normales no pueden incorporar multimedia (como Flash) dentro del texto utilizando etiquetas explícitas EMBED y OBJECT en su HTML (aunque aún se puede hacer de manera segura utilizando el filtro de complementos de medios). Si desea permitir estas etiquetas, habilite esta opción en la configuración de seguridad.

Para configurar esto, vaya almenú de acceso  rápido Configuración > de > seguridad.

No se recomienda habilitar la integración automática de archivos Flash (.swf) de manera predeterminada, ya que esto podría permitir que un usuario inicie un ataque de secuencia de comandos entre sitios (XXS), mediante el uso de un archivo que contenga algún código malicioso.

Puede controlar esto asegurándose de que la configuración Convertir URL en enlaces e imágenes esté deshabilitada en el menú  de acceso >rápido Complementos > Filtros > Administrar filtros. También puede elegir si desea permitir archivos Flash en la configuración del reproductor multimedia en elmenú de acceso  rápido > Complementos Reproductores > multimedia > Administrar reproductores multimedia.

Si deja todos los perfiles de usuario abiertos, existe el riesgo de que los spammers los abusen (como serían visibles públicamente). Se recomienda que solo ponga los perfiles de usuario a disposición de los usuarios conectados.

Controle esto configurando la opción Forzar usuarios para que inicien sesión y Forzar usuarios para que inicien sesión para la configuración de perfiles en el menú  de acceso >rápido Configuración > de seguridad.

Esta configuración funciona con Acceso de invitado para permitir que los motores de búsqueda accedan a cursos con los permisos de acceso de invitado. Tenga en cuenta que permitir que Google acceda a su sitio significará que todos los contenidos son de acceso público, así que solo haga esto si no hay información confidencial o sensible en su sitio.

Esto se configura en Configuración de seguridad del menú > de acceso >rápido.

El uso de una política de contraseñas ayuda a que su sitio sea más seguro al alentar/forzar buenos hábitos de contraseñas, incluidas contraseñas más complejas (que son más difíciles de adivinar) y también cambios más frecuentes de contraseñas (si son más fáciles de adivinar). Intente no hacer que los requisitos de contraseña sean demasiado estrictos o difíciles, ya que esto podría hacer que los usuarios olviden sus contraseñas o las escriban, negando así cualquier beneficio de seguridad.

Esto se configura en Configuración de seguridad del menú > de acceso >rápido.

Puede optar por obligar a los usuarios a confirmar cualquier cambio que hagan en su dirección de correo electrónico. Se recomienda que haga esto para evitar que los spammers exploten su servidor.

Esto se configura en Configuración de > seguridad del menú de acceso >rápido.

Cuando un usuario ingresa credenciales de inicio de sesión incorrectas, Totara se asegura de que sea impreciso sobre el motivo del inicio de sesión fallido, de modo que cualquier persona que intente atacar el sitio no pueda saber si el nombre de usuario o la contraseña son incorrectos. La enumeración de nombres de usuario es un proceso que los atacantes potenciales pueden usar para averiguar cuál es la convención de nombre de usuario para su sitio de Totara, de modo que solo necesitan adivinar la contraseña de un usuario para obtener acceso.

Puede deshabilitar la configuración de Autoregistro en el menú  de acceso >rápido Au>tenticación de Plugins > Administrar autenticación (ya que los posibles atacantes podrían generar sus propios nombres de usuario para determinar el patrón).
 
Debe habilitar el nombre de usuario de Protect para que no se proporcionen pistas a los atacantes potenciales si hacen clic en el enlace de contraseña olvidada. Esto se puede hacer en la configuración de Seguridad del menú > de acceso >rápido.

Dado que el protocolo HTTP se puede explotar fácilmente, se recomienda que utilice el protocolo HTTPS en todos sus servidores.

-

Debe habilitar cookies seguras si permite comunicaciones HTTPS con su sitio (recomendado). También es aconsejable usar solo encabezados HSTS y configurar redireccionamientos permanentes para cualquier página HTTP a HTTPS.

Las cookies seguras se pueden habilitar a través delmenú de acceso  rápido > Seguridad Seguridad > HTTP Seguridad.

Esto evita que los scripts accedan a las cookies enviadas por su servidor para que las cookies solo sean accesibles mediante solicitudes reales. Esto puede ayudar a reducir el riesgo de ataques de secuencia de comandos entre sitios (XSS).

Las cookies solo HTTP se pueden habilitar desde elmenú de acceso  rápido > Seguridad Seguridad > HTTP. Tenga en cuenta que es posible que algunos navegadores más antiguos no admitan esta función.

Inicio de sesión persistente

Si está habilitado, los inicios de sesión persistentes ignoran los tiempos de espera de sesión estándar y establecen una cookie permanente del navegador. Esta cookie se utiliza posteriormente para volver a iniciar sesión automáticamente en los usuarios después del reinicio del navegador o del tiempo de espera de la sesión.

Esto se puede configurar a través de la configuración de Seguridad del menú > de acceso >rápido.

Mantener activa la sesión SCORM

Si está habilitada, la sesión de usuario se mantiene activa en el reproductor SCORM. 

Se puede configurar en el menú  de acceso >rápido Complementos Módulos de > actividad > SCORM package.

Después de instalar su sitio de Totara, debe editar el archivo config.php para asegurarse de que esté configurado como de solo lectura, lo que significa que el servidor web no puede modificarlo.

Deberá CAMBIAR el archivo config.php a 644 o 444 para asegurarse de que sea de solo lectura.

Parte del contenido, como ciertos archivos multimedia, código HTML, JavaScript y applets Flash, se puede utilizar para atacar su sitio mediante un ataque de secuencia de comandos entre sitios (ataque XSS). Ciertas capacidades permitirán a los roles/usuarios dentro de su sitio agregar estos tipos de contenido, ya que pueden ser útiles para fines de capacitación. Sin embargo, es importante asegurarse de que solo permita que los usuarios de confianza tengan acceso a estas capacidades. Esta configuración en el informe de descripción general mostrará una lista de usuarios con estas capacidades, para que pueda verificar que todos son personas de confianza.

-

Se recomienda mantener la cantidad de administradores del sitio al mínimo. Si los usuarios no necesitan todos los permisos/capacidades de un administrador del sitio, considere otra función, como el administrador del sitio.

Puede ajustar la cantidad de administradores del sitio en el menú  de acceso >rápido Permisos Administradores > del sitio.

Esta configuración verifica los roles que tienen la capacidad backup:userinfo, ya que los titulares de este permiso pueden hacer una copia de seguridad de todos los datos de usuario (incluidos los detalles relevantes de la cuenta de usuario) al hacer una copia de seguridad de un curso. Esto podría conducir a una violación de seguridad si está en las manos equivocadas. También se recomienda que garantice una políticade contraseñas sólida para proteger las cuentas de los usuarios con esta capacidad.

La capacidad de realizar copias de seguridad de los datos del usuario es independiente de la capacidad de realizar copias de seguridad de los datos del curso. De manera predeterminada, solo el rol de gerente puede realizar copias de seguridad de los datos del usuario.

Las políticas de contraseña se pueden configurar a través de la configuración de Seguridad del menú > de acceso >rápido.

El rol de usuario predeterminado normalmente se establece como usuario autenticado. Si ve el estado Crítico, significa que el rol no está configurado correctamente y que es posible que se le hayan dado algunas capacidades riesgosas. Puede editar los permisos del rol al ir al menú  de acceso >rápido > Permisos de usuarios > Definir roles, luego hacer clic en Usuario autenticado y navegar por la columna de permisos para verificar que todo sea como se espera.

Esto se puede configurar en elmenú de acceso  rápido > Permisos Políticas de > usuario.

Esto se puede configurar en el menú  de acceso >rápido Permisos Políticas de > usuario.

El rol de primera página predeterminado se otorga a todos los usuarios registrados para las actividades de primera página. Asegúrese de que no se permitan capacidades riesgosas para este rol.

Se recomienda crear un rol especial a tal efecto y que no se use un tipo de rol heredado.

Configurado a través de Editar ajustes en el bloque Administración en la página frontal. 

Se recomienda que solo ejecute cron desde la línea de comandos, ya que ejecutar cron desde un navegador web corre el riesgo de exponer información privilegiada a usuarios anónimos. Además, podría establecer una contraseña cron para el acceso remoto.

Esto se configura en Configuración de seguridad del menú > de acceso >rápido.

Deberá considerar cuidadosamente los riesgos de seguridad asociados con permitir el acceso al sitio sin una cuenta de usuario (que es posible a través del acceso de invitados). Puede considerar deshabilitar la configuración del botón de inicio de sesión del huésped.

El acceso de invitados se puede administrar en el menú  de acceso >rápido Au>tenticación de complementos > Administrar autenticación. 

La activación del descargador de URL puede permitir que usuarios externos accedan a direcciones URL de su red interna. No debe habilitar esta función si tiene usuarios a los que se les permite acceder a su sitio, pero no se les permite acceder a otros recursos dentro de su red interna a los que se puede acceder desde el servidor.

-

Algunas versiones de LibXML y PHP potencialmente cargan entidades externas en XML de manera predeterminada, lo que significa que el contenido de los archivos locales podría ser obtenido por un usuario malicioso. Asegúrese de utilizar versiones actualizadas de LibXML y PHP para ayudar a prevenir esta vulnerabilidad.

-

Caminos ejecutables

Permitir que las rutas ejecutables se configuren a través de la GUI del administrador es un vector para la escalada de privilegios.

-