Información general sobre seguridad

Totara almacena los archivos de usuario en la raíz de datos. Para mantenerlo seguro, no se debe acceder a este desde la web.

Si se mueve el directorio raíz de datos, la configuración de la raíz de>datos de $CFG- deberá actualizarse en el archivo config.php.

Esto debe desactivarse para todos los sitios de producción/en vivo, ya que podría crear una vulnerabilidad de seguridad. Si PHP está configurado para mostrar errores, permitiría a alguien obtener información como estructuras de directorios ingresando una URL defectuosa (indicando a PHP que muestre detalles sobre el error y el sistema).

Esto se puede cambiar en el archivo php.ini. Abra el archivo y establezca display_errors en display_errors=Off.

El directorio de proveedores contiene varias bibliotecas de terceros y sus dependencias, normalmente instaladas por el compositor de PHP. Puede ser necesario para el desarrollo local, como para instalar el marco PHPUnit. Pero también puede contener código potencialmente peligroso, lo que expone a tu sitio a ataques remotos.

Se recomienda encarecidamente eliminar el directorio si el sitio está disponible a través de una URL pública, o al menos prohibir el acceso web a él.

-

El directorio node_modules contiene módulos Node.js y sus dependencias, normalmente instalados por la utilidad NPM. Estos módulos pueden ser necesarios para el desarrollo de Totara. No son necesarios para ejecutar un sitio de Totara, y pueden contener un código potencialmente peligroso que exponga su sitio a ataques remotos.

Se recomienda encarecidamente eliminar el directorio si el sitio está disponible a través de una URL pública, o al menos prohibir el acceso web a él.

-

Esta configuración debe desactivarse en los sitios de producción/en vivo, ya que permitiría que alguien cree una cuenta sin autenticación, lo que significa que podría incluso usar una dirección de correo electrónico que no existe y no se requiere verificación.

Esto se puede desactivar al ir a Plugins de acceso  > rápido > Authentication > Manage authentication y asegurarse de que esté deshabilitado.

Como medida de seguridad por defecto, los usuarios normales no pueden incrustar multimedia (como Flash) dentro del texto utilizando etiquetas EMBED y OBJETIVOS explícitas en su HTML (aunque aún se puede realizar de forma segura utilizando el filtro de mediaplugins). Si deseas permitir estas etiquetas, habilita esta opción en la Configuración de seguridad.

Para configurar esto, ve almenú de acceso  rápido > Seguridad Ajustes > de seguridad.

No se recomienda habilitar la incrustación automática de archivos Flash (.swf) de forma predeterminada, ya que esto podría permitir que un usuario inicie un ataque de secuencias de comandos entre sitios (XXS) utilizando un archivo que contenga algún código malicioso.

Puedes controlar esto asegurándote de que la configuración Convertir URLs en enlaces e imágenes esté deshabilitada en Menú  de acceso >rápido Plugins > Filtros > Administrar filtros. También puedes elegir si deseas permitir archivos Flash en la configuración del reproductor multimedia enMenú de acceso  rápido > Plugins Reproductores > multimedia > Administrar reproductores multimedia.

Si deja todos los perfiles de usuario abiertos, existe el riesgo de que los spammers los abusen de ellos (ya que serían visibles públicamente). Se recomienda que solo pongas los perfiles de usuario a disposición de los usuarios que hayan iniciado sesión.

Controla esto configurando Forzar a los usuarios a iniciar sesión y Forzar a los usuarios a iniciar sesión para los ajustes de perfiles en el menú  de acceso >rápido Seguridad Ajustes de > seguridad.

Esta configuración funciona con el acceso de invitados para permitir que los motores de búsqueda accedan a los cursos con los permisos de acceso de invitados. Ten en cuenta que permitir el acceso de Google a tu sitio significa que todos los contenidos son de acceso público, así que solo haz esto si no hay información confidencial o sensible en tu sitio.

Esto se configura en Menú  de acceso >rápido Configuración > de seguridad.

Usar una política de contraseñas ayuda a que tu sitio sea más seguro al fomentar/forzar buenos hábitos de contraseñas, incluidas contraseñas más complejas (que son más difíciles de adivinar) y también cambios más frecuentes de contraseñas (si son más fáciles de adivinar). No intentes hacer que los requisitos de contraseñas sean demasiado estrictos o difíciles, ya que esto podría hacer que los usuarios olviden sus contraseñas o las escriban, lo que invalida cualquier beneficio de seguridad.

Esto se configura en Menú  de acceso >rápido Configuración > de seguridad.

Puedes elegir forzar a los usuarios a confirmar cualquier cambio que hagan en su dirección de correo electrónico. Se recomienda que hagas esto para evitar que los spammers exploten tu servidor.

Esto se configura en el menú de acceso rápido > Seguridad Ajustes > de seguridad.

Cuando un usuario ingresa credenciales de inicio de sesión incorrectas, Totara se asegura de que sea imprecisa sobre el motivo del inicio de sesión fallido, de modo que cualquier persona que intente atacar el sitio no pueda saber si el nombre de usuario o la contraseña son incorrectos. La enumeración del nombre de usuario es un proceso que los potenciales atacantes pueden utilizar para averiguar cuál es la convención de nombre de usuario para tu sitio de Totara, de modo que solo necesiten adivinar la contraseña de un usuario para obtener acceso.

Puedes deshabilitar la configuración de autorregistro en el menú  de acceso >rápido Plugins > Authentication > Manage authentication (ya que los potenciales atacantes podrían generar sus propios nombres de usuario para determinar el patrón).
 
Debes habilitar Proteger el nombre de usuario para que no se den pistas a los posibles atacantes si hacen clic en el enlace de contraseña olvidada. Esto se puede hacer en Menú  de acceso >rápido Configuración de > seguridad.

Dado que el protocolo HTTP es fácilmente explotable, se recomienda que utilice el protocolo HTTPS en todos sus servidores.

-

Debes habilitar las cookies seguras si estás permitiendo comunicaciones HTTPS con tu sitio (recomendado). También se recomienda usar solo encabezados HSTS y configurar redirecciones permanentes para cualquier página HTTP a HTTPS.

Las cookies seguras se pueden habilitar a través delmenú de acceso  rápido > Seguridad > HTTP.

Esto evita que los scripts accedan a las cookies enviadas por su servidor para que las cookies solo sean accesibles por solicitudes reales. Esto puede ayudar a reducir el riesgo de ataques de scripts entre sitios (XSS).

Las cookies solo HTTP se pueden habilitar desde elmenú de acceso  rápido > Seguridad > HTTP. Ten en cuenta que algunos navegadores antiguos pueden no ser compatibles con esta característica.

Inicio de sesión persistente

Si se habilita esta opción, los inicios de sesión persistentes ignoran los tiempos de espera de sesión estándar y establecen una cookie permanente del navegador. Esta cookie se utiliza más tarde para volver a iniciar sesión automáticamente de los usuarios después del reinicio del navegador o del tiempo de espera de la sesión.

Esto se puede configurar a través del menú  de acceso >rápido Seguridad Ajustes > de seguridad.

Mantener activa la sesión SCORM

Si se habilita, la sesión del usuario se mantiene activa en el reproductor SCORM. 

Se puede configurar en el menú  de acceso >rápido Plugins Módulos de > actividad > SCORM package.

Después de instalar el sitio de Totara, debes editar el archivo config.php para asegurarte de que esté configurado como de solo lectura, lo que significa que no puede ser modificado por el servidor web.

Necesitarás CHMOD el archivo config.php a 644 o 444 para asegurarte de que sea de solo lectura.

Algunos contenidos, como ciertos archivos multimedia, código HTML, JavaScript y applets Flash, se pueden usar para atacar tu sitio utilizando un ataque de scripting entre sitios (ataque XSS). Ciertas capacidades permitirán que los roles/usuarios dentro de tu sitio agreguen estos tipos de contenido, ya que pueden ser útiles para fines de capacitación. Sin embargo, es importante asegurarse de que solo permitas que los usuarios de confianza tengan acceso a estas capacidades. Esta configuración en el informe de descripción general mostrará una lista de usuarios con estas capacidades, para que puedas verificar que todos sean personas de confianza.

-

Se recomienda mantener al mínimo el número de administradores del sitio. Si los usuarios no necesitan todos los permisos/capacidades de un administrador del sitio, considere otro rol, como Administrador del sitio.

Puedes ajustar el número de administradores del sitio en el menú  de acceso >rápido Permisos Administradores del > sitio.

Este ajuste comprueba los roles que tienen la capacidad de backup:userinfo, ya que los titulares de este permiso pueden hacer una copia de seguridad de todos los datos del usuario (incluidos los detalles relevantes de la cuenta de usuario) al hacer una copia de seguridad de un curso. Esto podría dar lugar a una violación de la seguridad si está en las manos equivocadas. También se recomienda que garantices una política de contraseñas robustapara proteger las cuentas de los usuarios con esta capacidad.

La capacidad de hacer copias de seguridad de los datos del usuario es independiente de la capacidad de hacer copias de seguridad de los datos del curso. Por defecto, solo el rol de gerente puede hacer una copia de seguridad de los datos del usuario.

Las políticas de contraseñas se pueden configurar a través del menú  de acceso >rápido Seguridad Ajustes > de seguridad.

El rol de usuario por defecto normalmente se establece como Usuario autenticado. Si ves el estado de Crítico, significa que el rol no está configurado correctamente y que es posible que se le hayan dado algunas capacidades riesgosas. Puedes editar los permisos del rol dirigiéndote al menú  de Acceso >rápido Usuarios > Permisos > Definir roles, luego haciendo clic en Usuario autenticado y navegando por la columna de permisos para verificar que todo sea como se espera.

Esto se puede configurar en elmenú de acceso  rápido > Permisos Políticas del > usuario.

Esto se puede configurar en el menú  de acceso >rápido Permisos Políticas del > usuario.

El rol de página principal por defecto se otorga a todos los usuarios registrados para las actividades de página principal. Por favor, asegúrate de que no se permitan capacidades riesgosas para este rol.

Se recomienda crear un rol especial a tal efecto y que no se use un tipo de rol heredado.

Configurado a través de la opción Editar en el bloque Administración en la página principal. 

Se recomienda que solo ejecute cron desde la línea de comandos, ya que ejecutar cron desde un navegador web pone en riesgo la exposición de información privilegiada a usuarios anónimos. Además, puedes configurar una contraseña cron para el acceso remoto.

Esto se configura en Menú  de acceso >rápido Configuración > de seguridad.

Tendrás que considerar cuidadosamente los riesgos de seguridad asociados con permitir el acceso al sitio sin una cuenta de usuario (que es posible a través del acceso de invitados). Es posible que desees deshabilitar la configuración del botón de inicio de sesión de invitado.

El acceso de invitados se puede administrar en el menú  de acceso >rápido Plugins > Authentication > Manage authentication. 

La activación del descargador de URL puede permitir que usuarios externos accedan a direcciones URL de su red interna. No deberías habilitar esta función si tienes usuarios que tienen permiso para acceder a tu sitio, pero no para acceder a otros recursos dentro de tu red interna que son accesibles desde el servidor.

-

Algunas versiones de LibXML y PHP potencialmente cargan entidades externas en XML por defecto, lo que significa que el contenido de los archivos locales podría ser obtenido por un usuario malicioso. Asegúrate de estar usando versiones actualizadas de LibXML y PHP para ayudar a prevenir esta vulnerabilidad.

-

Caminos ejecutables

Permitir que las rutas ejecutables se configuren a través de la GUI del administrador es un vector para la escalada de privilegios.

-