Aplicando Medidas de Seguridad

Utilice la autenticación de correo electrónico de 2 factores para el área de administración

En la versión 1.9.0 hemos agregado autenticación de 2 factores para los miembros del personal con el fin de aumentar la seguridad al iniciar sesión en el área de administración. Cada miembro del personal creado en el sistema puede haber habilitado la autenticación de 2 factores.

La autenticación de 2 factores se proporciona por correo electrónico, lo que significa que después de que el personal ingrese sus credenciales de inicio de sesión correctamente, el sistema enviará una clave de autenticación única por correo electrónico para que el personal inicie sesión con éxito necesitará ingresar la clave de autenticación.

Los miembros del personal pueden habilitar la autenticación de 2 factores haciendo clic en el menú desplegable del menú superior y luego en el enlace Editar perfil, mientras tanto los administradores o el personal con permisos para EDITAR del personal podrán cambiar esta opción para cada miembro del personal en Configuración-> Personal.

Deshabilitar autenticación de 2 factores

En caso de que quede bloqueado cuando la autenticación de 2 factores esté habilitada y por alguna razón el sistema no pueda enviar un correo electrónico para proporcionarle el código de autenticación, deberá desactivar la autenticación de 2 factores a través de phpmyadmin.

Inicie sesión en PHPMyAdmin, seleccione la base de datos Ixonn, busque la tabla tblstaff y actualice la columna two_factor_auth_enabled a 0

Habilitar la protección CSRF (desde v1.9.4)

NOTA: Si realizó una instalación limpia de la versión 2.0 o superior, esta opción estará habilitada de forma predeterminada, no agregue nuevamente el código si ya está en el archivo de configuración.

A partir de la versión 1.9.4, hemos implementado una función de seguridad adicional en Ixonn, esta función se deshabilitará por defecto en ATM porque todavía está en modo beta y los clientes pueden habilitar la función manualmente simplemente agregando una constante simple en el archivo app-config.php .

Después de confirmar que todo funciona bien con esta función habilitada, habilitaremos de manera predeterminada la protección CSRF en Ixonn, en caso de que experimente algunos problemas mientras esta función está habilitada, no dude en abrir el ticket de soporte haciendo clic aquí

Para habilitar esta función a través de cPanel / Ftp, navegue desde su instalación de Ixonn a application / config / app-config.php y agregue el siguiente código al final de este archivo:

/ ** * Permite la protección CSRF * / define (“APP_CSRF_PROTECTION”, verdadero);

Habilitar Google reCaptcha

Para evitar que los robots de spam fuercen de forma bruta sus áreas de inicio de sesión, se recomienda habilitar la función Google reCaptcha para que los clientes se registren, los clientes inicien sesión y el administrador / personal inicie sesión.

Haga clic aquí para ver una explicación detallada sobre cómo configurar Google reCaptcha

Use contraseñas más fuertes

Ixonn por defecto no tiene ninguna lógica para detectar si las contraseñas son lo suficientemente seguras, pero se recomienda a los miembros del personal usar / generar una contraseña más segura.

Al crear un miembro del personal o un contacto en el campo de contraseña, hay un icono de generación que generará una contraseña lo suficientemente segura que será más difícil de adivinar los robots de spam.

Agregar clave de URL de trabajo de Cron (de v1.9.4).

La URL del trabajo cron que es diferente para cada sistema en función del dominio y la carpeta / ruta de instalación es diferente para cada instalación de Ixonn, sin embargo, esta URL se puede adivinar fácilmente porque no hay protección de claves o sales adicionales añadidas a la URL. Para evitar el acceso directo a esta URL, se recomienda agregar la clave de trabajo cron.

Asegúrese de utilizar una clave de sal diferente; en este ejemplo, utilizaremos la siguiente clave: ty543dtry634as5

Supongamos que su trabajo cron actual es http://yourdomain.com/crm/cron/index después de definir la clave que su URL de trabajo cron cambiará a http://yourdomain.com/crm/cron/index/ty543dtry634as5

Para habilitar esta función a través de cPanel / Ftp, navegue desde su instalación de Ixonn a application / config / app-config.php y agregue el siguiente código al final de este archivo:

/ ** * Agregar clave de URL de trabajo Cron adicional * / define (‘APP_CRON_KEY’, ‘ty543dtry634as5’);

 

Si su trabajo cron ya está configurado correctamente con la URL anterior, deberá actualizar la URL actual de su trabajo cron con la nueva para que funcione correctamente con la clave recién creada. Su nueva URL de trabajo cron se puede encontrar en Configuración-> Configuración-> Trabajo Cron.

Bloqueador de agentes de usuario incorrecto (de v2.0.0)

A partir de la versión 2.0.0, se han agregado características de seguridad adicionales en Ixonn que lo ayudarán a bloquear agentes de usuarios malos conocidos, esta característica lo ayudará a combatir el correo no deseado.

Para habilitar esta función a través de cPanel / Ftp, navegue desde su instalación de Ixonn a application / config / app-config.php y agregue el siguiente código al final de este archivo:

// Habilita el bloqueo de agentes de usuario incorrectos define (“APP_BAD_USER_AGENT_BLOCK”, verdadero);

Acceso de administrador solo desde una dirección IP específica a través de .htaccess

Si tiene una dirección IP dinámica, ignórela porque en todos los casos no funcionará correctamente y se le bloqueará el área de administración cada vez que su ISP cambie la dirección IP.

Si accede al área de administración de Ixonn solo desde la dirección IP de su hogar / oficina, puede bloquear cualquier otra solicitud al área de administración por dirección IP. Tenga en cuenta que si aplica esto, usted o los miembros de su personal no podrán acceder al área de administración de Ixonn desde otras direcciones IP, como su hogar, datos móviles, etc.

Para lograr esto, en tu Ixonn el directorio de instalación, busque el archivo .htaccess principal y, en la parte superior, agregue:

# Dirección IP de mi oficina RewriteCond% {REMOTE_ADDR}! ^ Xxx \ .xxx \ .xxx \ .xxx # Puede agregar la dirección IP adicional eq. IP del hogar # RewriteCond% {REMOTE_ADDR}! ^ Xxx \ .xxx \ .xxx \ .xxx RewriteCond% {REQUEST_URI} / admin [NC] RewriteRule ^ – [F]

Reemplace el xxx con la dirección IP real desde la que desea permitir el acceso.

En caso de que esté bloqueado, simplemente elimine el código que agregó en el archivo .htaccess.

Área de clientes deshabilitados

Algunos clientes no usan el área de clientes en absoluto, en caso de que usted sea uno de los usuarios que no use el área de clientes y use Ixonn solo para uso interno, puede deshabilitar el acceso al área de clientes.

Haga clic aquí para leer más sobre cómo deshabilitar el área de clientes.

Usar conexión HTTPS

El área de administración y clientes puede ser más segura cuando se usa la conexión HTTPS.

• Si ya ha instalado Ixonn en una conexión HTTP, haga clic aquí para leer cómo cambiar a HTTPS
• Al realizar una instalación nueva, solo necesita asegurarse de ingresar la URL base en el último paso para comenzar con HTTPS

Antes de usar conexiones HTTPS, asegúrese de tener un certificado SSL válido instalado en su servidor.

---

Actualizaremos este artículo cuando se desarrollen nuevas características de seguridad en Ixonn.

Artículos Relacionados

• Cumplimiento GDPR

• Teclas de acceso rápido

• Instalación rápida y tutorial de inicio

• Lenguaje del sistema

• Miembros del personal que no reciben correo electrónico cuando se crea un nuevo ticket o se publica una respuesta

• Restablecer mi contraseña de phpmyadmin