Información general sobre seguridad
  • 08 Feb 2024
  • 10 Minutos para leer

Información general sobre seguridad


Article Summary

Se puede acceder al informe de descripción general de seguridad a través del menú de acceso rápido Información general de > > seguridad. Muestra un informe sobre el estado de todos los ajustes clave de seguridad desde el sistema, mostrando si el ajuste actual es OK. Si hay un problema, verás un estado de Advertencia o Grave, lo que significa que debes revisar esa configuración y asegurarte de estar al tanto de los riesgos de seguridad o tomar las medidas correctivas necesarias. 

El rol de invitado está destinado a usuarios temporales sin sesión iniciada y, por lo tanto, no se deben otorgar permisos/capacidades riesgosas a este rol.

ConfiguraciónDescripciónNotas:
Administradores

Se recomienda mantener al mínimo el número de administradores del sitio. Si los usuarios no necesitan todos los permisos/capacidades de un administrador del sitio, por favor considere otro rol, como Administrador del sitio.

Puedes ajustar el número de administradores del sitio a través del menú de acceso rápido > Permisos > Administradores del sitio.

Permitir EMBED y OBJETIVOComo medida de seguridad por defecto, los usuarios normales no tienen permitido incrustar multimedia (como Flash) dentro del texto utilizando etiquetas EMBED y OBJETIVOS explícitas en su HTML (aunque aún se puede hacer de forma segura utilizando el filtro mediaplugins). Si deseas permitir estas etiquetas, habilita esta opción en la Configuración de seguridad.
Para configurar esto, ve almenú de acceso  rápido > Seguridad Ajustes > de seguridad.
Nouth deshabilitadoEsta configuración debe desactivarse en los sitios de producción/en vivo, ya que permitiría que alguien cree una cuenta sin autenticación, lo que significa que podría incluso usar una dirección de correo electrónico que no existe y no se requiere verificación.
Esto se puede desactivar al ir a Plugins de acceso  > rápido > Autenticación > Administrar autenticación y asegurarse de que esté deshabilitado.
Copia de seguridad de datos de usuariosEsta configuración comprueba los roles que tienen la capacidad de backup:userinfo, ya que los titulares de este permiso pueden hacer una copia de seguridad de todos los datos del usuario (incluidos los detalles relevantes de la cuenta de usuario) al hacer una copia de seguridad de un curso. Esto podría dar lugar a una violación de la seguridad si está en las manos equivocadas. También se recomienda que garantices una políticade contraseñas robusta para proteger las cuentas de los usuarios con esta capacidad.

La capacidad de hacer copias de seguridad de los datos del usuario es independiente de la capacidad de hacer copias de seguridad de los datos del curso. Por defecto, solo el rol de gerente puede hacer una copia de seguridad de los datos del usuario.

Las políticas de contraseñas se pueden configurar a través del menú  de acceso >rápido Seguridad Ajustes > de seguridad.

Revisar todas las rutas públicas/privadasCompruebe que las rutas internas no estén disponibles públicamente.Esto se configura a nivel del servidor. Consulte el informe detallado para obtener más información.
Protección CSRF en la página de inicio de sesión

Se recomienda que la protección CSRF esté habilitada en la página de inicio de sesión de tu sitio. Sin embargo, es posible que no sea compatible con plugins de autenticación personalizados o páginas de inicio de sesión obsoletas.

Esto solo se puede establecer en config.php , consulte config.example.php para obtener más detalles.

Rol por defecto de todos los usuarios

El rol de usuario por defecto normalmente se establece como Usuario autenticado. Si ves el estado de crítico, esto significa que el rol no está configurado correctamente y que es posible que se le hayan dado algunas capacidades riesgosas. Puedes editar los permisos del rol dirigiéndote al menú  de acceso >rápido Usuarios > Permisos > Definir roles, luego haciendo clic en Usuario autenticado y navegando por la columna de permisos para verificar que todo sea como se espera.

Esto se puede configurar a través del menú de acceso rápido > Permisos > Políticas de usuario.

Deshabilitar la limpieza constanteSe recomienda encarecidamente que la opción Deshabilitar limpieza consistente no esté habilitada, ya que esto puede introducir vulnerabilidades con los usuarios que agregan HTML malicioso a su sitio.Esto se puede configurar a través del menú de acceso rápido > Seguridad > Configuración de seguridad .
Visualización de errores de PHPEsto debe desactivarse para todos los sitios de producción/en vivo, ya que podría crear una vulnerabilidad de seguridad. Si PHP está configurado para mostrar errores, permitiría a alguien obtener información como estructuras de directorios ingresando una URL defectuosa (indicando a PHP que muestre detalles sobre el error y el sistema).
Esto se puede cambiar en el archivo php.ini. Abra el archivo y establezca display_errors en display_errors=Off.
Confirmar cambio de correo electrónicoPuedes elegir forzar a los usuarios a confirmar cualquier cambio que hagan en su dirección de correo electrónico. Se recomienda que hagas esto para evitar que los spammers exploten tu servidor.
Esto se configura a través del menú de acceso rápido > Seguridad > Configuración de seguridad.
Caminos ejecutablesPermitir que las rutas ejecutables se configuren a través de la GUI del administrador es un vector para la escalada de privilegios.Esto se configura en config.php .
Rol en la página principal

El rol de página principal por defecto se otorga a todos los usuarios registrados para las actividades de página principal. Por favor, asegúrese de que no se permitan sunciones riesgosas para este rol.

Se recomienda crear un rol especial a tal efecto y que no se use un tipo de rol heredado.

Configurado a través de la opción Editar en el bloque Administración en la página principal. 

Modo de desarrollo GraphQL

Si bien el modo de desarrollo GraphQL puede habilitarse a través de config.php cuando se implementa un nuevo código, este modo no debe habilitarse en los sitios de producción.

Esto se configura en config.php .

Acceso de invitados

Tendrás que considerar cuidadosamente los riesgos de seguridad asociados con permitir el acceso al sitio sin una cuenta de usuario (que es posible a través del acceso de invitados). Por favor considere deshabilitar la configuración Botón de acceso a invitados.

El acceso de invitados se puede administrar a través del menú Acceso rápido > Plugins > Autenticación > Administrar autenticación. 

Rol de invitadoEsto se puede configurar a través del menú de acceso rápido > Permisos > Políticas de usuario.
-
Solo cookies de HTTPEsto evita que los scripts accedan a las cookies enviadas por su servidor para que las cookies solo sean accesibles por solicitudes reales. Esto puede ayudar a reducir el riesgo de ataques de scripts entre sitios (XSS).Las cookies solo HTTP pueden habilitarse desde elmenú de acceso  rápido > Seguridad > HTTP. Ten en cuenta que algunos navegadores antiguos pueden no ser compatibles con esta característica.
Protocolo HTTPSEl protocolo HTTP es fácilmente vulnerable, se recomienda encarecidamente utilizar el protocolo HTTPS en todos los servidores de producción.
-
Directorio dataroot inseguro

Totara almacena los archivos de usuario en la raíz de datos. Para mantenerlo seguro, no se debe acceder a este desde la web.

Si se mueve el directorio raíz de datos, la configuración $CFG ->datarootsetting deberá actualizarse en el archivo config.php.

Directorio de módulos Node.js

El node_modules directorio contiene módulos Node.js y sus dependencias, normalmente instalados por la utilidad NPM. Estos módulos pueden ser necesarios para el desarrollo de Totara. No son necesarios para ejecutar un sitio de Totara y pueden contener un código potencialmente peligroso que exponga a tu sitio a ataques remotos.

Se recomienda encarecidamente eliminar el directorio si el sitio está disponible a través de una URL pública, o al menos prohibir el acceso web a él.

-

Verificación de correo electrónico de OAuth 2

Se recomienda que todos los proveedores de OAuth 2 hagan cumplir la verificación de la cuenta de correo electrónico si la vinculación automática de la cuenta está habilitada.

Esto se configura por servicio OAuth 2, a través del menú de acceso rápido > Servidor > OAuth 2 > Detalles del consumidor OAuth 2.

Ir a GoogleEsta configuración funciona con el acceso de invitados para permitir que los motores de búsqueda accedan a los cursos con los permisos de acceso de invitados. Ten en cuenta que permitir el acceso de Google a tu sitio significa que todos los contenidos son de acceso público, así que solo haz esto si no hay información confidencial o sensible en tu sitio.
Esto se configura a través del menú de acceso rápido > Seguridad > Configuración de seguridad.
Abrir perfiles de usuariosSi deja todos los perfiles de usuario abiertos, existe el riesgo de que sean abusados por los spammers (ya que serían visibles públicamente). Se recomienda que solo pongas los perfiles de usuario a disposición de los usuarios que hayan iniciado sesión.
Controla esto configurando Forzar a los usuarios a iniciar sesión y Forzar a los usuarios a iniciar sesión para los ajustes de perfiles a través del menú de acceso rápido > Seguridad > Ajustes de seguridad.
Política de contraseñasUsar una política de contraseñas ayuda a que tu sitio sea más seguro al fomentar/forzar buenos hábitos de contraseñas, incluidas contraseñas más complejas (que son más difíciles de adivinar) y también cambios más frecuentes de contraseñas (si son más fáciles de adivinar). Trata de no hacer que los requisitos de contraseña sean demasiado estrictos o difíciles, ya que esto puede hacer que los usuarios olviden sus contraseñas o las escriban, lo que invalida cualquier beneficio de seguridad.
Esto se configura a través del menú de acceso rápido > Seguridad > Configuración de seguridad.
Inicio de sesión persistenteSi se activa el inicio de sesión persistente, ignore el tiempo de espera de la sesión estándar y establezca una cookie permanente del navegador. Esta cookie se usa más tarde para volver a iniciar sesión automáticamente después de reiniciar el navegador o de pasado el tiempo de espera de la sesión.
Esto se puede configurar a través del menú  de acceso >rápido Seguridad Ajustes > de seguridad.
Mantener activa la sesión SCORMSi la opción está habilitada, la sesión del usuario se mantiene activa en el reproductor SCORM.
Esto se puede configurar a través del menú de acceso rápido > Plugins > Módulos de actividad > SCORM packa ge.
Cookies segurasDebes habilitar las cookies seguras si estás permitiendo comunicaciones HTTPS con tu sitio (recomendado). También se recomienda usar solo encabezados HSTS y configurar redirecciones permanentes para cualquier página HTTP a HTTPS.
Las cookies seguras se pueden habilitar a través delmenú de acceso  rápido > Seguridad > HTTP.
Archivos y marcas no seguras en los recursos del cursoTodos los ajustes Permitir marcación insegura y archivos están desactivados. Esto evita que los usuarios carguen contenido potencialmente inseguro en los recursos del curso.-
Descargador de repositorios URL
La activación del descargador de URL puede permitir que usuarios externos accedan a direcciones URL de su red interna. No debe habilitar esta función si hay usuarios que tienen permiso para acceder a su LMS, pero no para acceder a otros recursos de la red interna que sean accesibles desde el servidor LMS.
-
Lista de usuarios
Cuando un usuario ingresa credenciales de inicio de sesión incorrectas, Totara se asegura de que sea vago sobre el motivo del inicio de sesión fallido, de modo que cualquier persona que intente atacar el sitio no pueda saber si el nombre de usuario o la contraseña son incorrectos. La enumeración del nombre de usuario es un proceso que los potenciales atacantes pueden utilizar para averiguar cuál es la convención de nombre de usuario para tu sitio de Totara, de modo que solo necesiten adivinar la contraseña de un usuario para obtener acceso.
Puedes deshabilitar la configuración de autorregistro en el menú  de acceso >rápido Plugins > Authentication > Manage authentication (ya que los potenciales atacantes podrían generar sus propios nombres de usuario para determinar el patrón).
 
Debes habilitar Proteger el nombre de usuario para que no se den pistas a los posibles atacantes si hacen clic en el enlace de contraseña olvidada. Esto se puede hacer a través del menú de acceso rápido > Seguridad > Configuración de seguridad.
Cron de la web
Se recomienda que solo ejecute cron desde la línea de comandos, ya que ejecutar cron desde un navegador web pone en riesgo la exposición de información privilegiada a usuarios anónimos. Además, puedes configurar una contraseña cron para el acceso remoto.
Esto se configura a través del menú de acceso rápido > Seguridad > Configuración de seguridad.
Archivo config.php editable
Una vez que hayas instalado tu sitio de Totara, debes editar el archivo config.php para asegurarte de que esté configurado como de solo lectura, lo que significa que no puede ser modificado por el servidor web.
Necesitarás CHMOD el archivo config.php a 644 o 444 para asegurarte de que sea de solo lectura.
Usuarios de confianza XSS
Algunos contenidos, como ciertos archivos multimedia, código HTML, JavaScript y applets Flash, pueden usarse para atacar tu sitio utilizando un ataque de scripting entre sitios (ataque XSS). Ciertas capacidades permitirán que los roles/usuarios dentro de tu sitio agreguen estos tipos de contenido, ya que pueden ser útiles para fines de capacitación. Sin embargo, es importante asegurarse de que solo permitas que los usuarios de confianza tengan acceso a estas capacidades. Esta configuración en el informe de descripción general mostrará una lista de usuarios con estas capacidades, para que puedas verificar que todos sean personas de confianza.
-
Riesgo XXE
Algunas versiones de LibXML y PHP potencialmente cargan entidades externas en XML por defecto, lo que significa que los contenidos de los archivos locales pueden ser obtenidos por un usuario malicioso. Asegúrese de que está utilizando versiones actualizadas de LibXML y PHP para evitar esta vulnerabilidad.
-

© Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions. 


¿Te ha sido útil este artículo?

Changing your password will log you out immediately. Use the new password to log back in.
First name must have atleast 2 characters. Numbers and special characters are not allowed.
Last name must have atleast 1 characters. Numbers and special characters are not allowed.
Enter a valid email
Enter a valid password
Your profile has been successfully updated.