Tengo instalado Moodle 1.9.2+ configurado de la siguiente manera:
- NO se permite acceso a invitados.
- La opción "opentogoogle" está DESACTIVADA.
Desde hace tiempo, al mirar los registros de uso había detectado entradas a la plataforma por usuarios sin autentificar, de los que sólo puedo saber su ip (cosa que no debería ocurrir en teoría, puesto que no he permitido el acceso de invitados).
Al investigar un poco esas ips, descubro que la mayoría de las entradas corresponden al robot de búsqueda Googlebot y, en menor medida, a otros ¿robots? que no puedo identificar.
Investigo un poco más y... ¡sorpresa!: ¡TODOS los mensajes de los foros "privados" (eso creía yo) de mi plataforma están publicados en Google, disponibles para todo el mundo! ¿Desde cuándo estarán ahí...?
A partir de ahí (ayer), ¡a correr!: sigo investigando y averiguo cómo solicitar a Google que borre todos esos mensajes de su índice (lo cual realizan en menos de 24 horas) y sigo las instrucciones para crear un fichero "robots.txt" en mi dominio que, teóricamente, impedirá que vuelva a indexar mis foros (tendré que comprobar en las próximas semanas que efectivamente es así).
Y ahora solicito su colaboración para la parte referente a Moodle: En primer lugar, me gustaría advertir al resto de usuarios de esta vulnerabilidad, por si pudieran estar en la misma situación que yo sin saberlo.
Por último, algunas preguntas:
- ¿Exista alguna otra cosa que pueda hacer además de lo ya descrito para evitar este fallo?
- ¿La opción "opentogoogle" desactivada funciona correctamente?
- Si Moodle está configurado para que NADIE pueda acceder sin autentificarse, ¿no se supone que tampoco deberían acceder los robots de búsqueda? Yo lo considero una gravísima vulnerabilidad de la seguridad de Moodle.
- ¿Podría una persona (no un robot de búsqueda) con los conocimientos suficientes, burlar sin mucho esfuerzo el sistema de autentificación de Moodle?
- ¿Cómo es posible que estos robots entren tan fácilmente en Moodle? (Planteo estas dos últimas preguntas porque en este aspecto mi experiencia es nula, perdón si resultan obvias para los administradores más avanzados)
- ¿Se podría implementar en futuras versiones alguna solución para este problema? (Habría que tener en cuenta incluso, aunque no es mi caso, que podemos tener algunos cursos abiertos a invitados y otros no, adonde no deberían llegar los robots)
Gracias y saludos,
Santi Benito