Cómo proteger su instalación de Dolibarr: mejores prácticas

Ciberseguridad · ERP de código abierto ·

Seamos sinceros: la seguridad rara vez es el tema que nos entusiasma por la mañana. Preferimos enviar presupuestos, hacer seguimiento de facturas y contactar con los clientes. Sin embargo, el día que algo sale mal —una cuenta pirateada, datos que desaparecen, un ataque de ransomware que lo cifra todo— lamentamos profundamente no haberle dedicado un poco de tiempo.

El problema con software como Dolibarr es que centraliza absolutamente todo lo importante para tu negocio: tus clientes, tus facturas, tu contabilidad, a veces incluso tus datos de recursos humanos. Es la bóveda digital de tu empresa. Solo que, por defecto, esta bóveda no tiene doble seguridad. Depende de ti protegerla.

¿La buena noticia? No necesitas ser un experto en ciberseguridad. La mayoría de las medidas realmente efectivas implican algunos ajustes de sentido común, que detallaré uno por uno. Al final de este artículo, tendrás una guía clara para proteger tu instalación de Dolibarr, ya sea que la alojes en un servidor compartido, un VPS o tu propio servidor.

Ponte cómodo, comencemos.

Por qué nunca debes descuidar la seguridad de tu ERP

Antes de entrar en detalles, dediquemos treinta segundos a comprender plenamente lo que está en juego. Porque hasta que no entendemos los riesgos, tendemos a posponer las cosas.

Un ataque informático a una página web es molesto. Un ataque informático a un sistema ERP es otra historia. Piensa en todo lo que contiene tu Dolibarr: la información de contacto e historial de tus clientes, los importes de las facturas, los márgenes, las condiciones de los proveedores e incluso, quizás, los registros de tus empleados. En resumen, datos personales y estratégicos que, en manos equivocadas, pueden tener consecuencias muy graves, tanto económicas como para tu reputación y el cumplimiento del RGPD.

Y, al contrario de lo que podrías pensar, estos ataques casi nunca van dirigidos a ti personalmente. Se trata de bots que rastrean la web constantemente, buscando la más mínima vulnerabilidad: una página de inicio de sesión desprotegida, software obsoleto, un archivo de configuración accesible. Si tu sistema presenta alguna de estas debilidades, es solo cuestión de tiempo antes de que la descubran.

Todo comienza con el servidor.

Existe la tendencia a apresurarse a configurar Dolibarr. Esto es un error. Si el servidor que aloja su sistema ERP está plagado de vulnerabilidades de seguridad, todos sus esfuerzos relacionados con la aplicación serán en vano. Es como instalar una puerta reforzada en una casa con las ventanas abiertas de par en par.

Elegir el alojamiento adecuado

Tu margen de maniobra depende en gran medida de dónde se ejecute Dolibarr. En un alojamiento compartido, delegas gran parte del mantenimiento a tu proveedor, pero tienes poco control sobre la configuración. En un VPS o servidor dedicado, es al revés: control total, pero también responsabilidad total. Sea cual sea tu elección, prioriza un proveedor de alojamiento de buena reputación que ofrezca certificados SSL gratuitos, copias de seguridad automáticas e, idealmente, un firewall de aplicaciones.

Mantén todo actualizado, religiosamente.

No puedo enfatizar esto lo suficiente: la mayoría de los ataques informáticos explotan vulnerabilidades que ya han sido parcheadas , en servidores que nadie se ha molestado en actualizar. El sistema operativo, el servidor web, PHP, la base de datos: todo debe mantenerse actualizado. En un servidor Linux Debian o Ubuntu, esto se reduce a ejecutar un solo comando regularmente:

Comprueba también que estás utilizando una versión de PHP que aún reciba mantenimiento. Una versión antigua ya no recibe actualizaciones e incluso podría impedirte actualizar Dolibarr; irónico, ¿verdad?

Unos pocos ajustes de PHP que lo cambian todo

Un último punto sobre el lado del servidor: recuerde deshabilitar la visualización de errores en producción. Un error de PHP mostrado en pantalla es una mina de oro de información para un atacante. En su archivo php.ini , la configuración básica se ve así:

Registras los errores para poder diagnosticarlos, pero sin exponerlos públicamente. Y ya que estás, también ocultas la versión de PHP.

Bloqueo de Dolibarr: pasos esenciales que debe recordar

¿El servidor funciona correctamente? Perfecto, pasemos a la aplicación. Unas pocas acciones específicas de Dolibarr marcan la diferencia y solo toman unos minutos.

Proteja el archivo de configuración

El archivo conf.php , ubicado en htdocs/conf/ , contiene las credenciales de inicio de sesión para su base de datos. Es, sin duda, el archivo más confidencial de toda la instalación. Solo debe ser legible por el usuario que ejecuta el servidor web, y por nadie más.

Nunca deje el script de instalación accesible.

Este es un error común. Tras la instalación (o una actualización), la carpeta de instalación debe bloquearse. De lo contrario, cualquiera podría reiniciar el asistente y recuperar el control de tu Dolibarr. Afortunadamente, el software incluye una medida de seguridad: un sencillo archivo de bloqueo.

Mientras este archivo exista, el acceso al instalador estará bloqueado. Acostúmbrese a comprobar su presencia después de cada actualización. Los usuarios más precavidos simplemente eliminarán la carpeta de instalación una vez finalizado el proceso.

Mantenga los documentos fuera de la vista.

Dolibarr almacena los archivos adjuntos y generados en un directorio de datos. Idealmente, esta carpeta debería estar fuera del directorio raíz del sitio web para que no se pueda acceder a ella adivinando una URL en el navegador. Verifique el parámetro `$dolibarr_main_data_root` en su configuración: debe apuntar a una ubicación no pública.

HTTPS: lo mínimo indispensable hoy en día.

Estamos en 2026 y, sencillamente, no hay excusa para transmitir contraseñas en texto plano a través de la red. Sin HTTPS, cualquiera que esté en la misma red Wi-Fi que tu compañero puede interceptar sus credenciales de inicio de sesión. Así de simple, y así de grave.

Instalar un certificado ahora es gratis y casi automático gracias a Let's Encrypt . En la mayoría de los servidores, la herramienta Certbot instala y renueva el certificado automáticamente, sin que tengas que preocuparte por ello.

Pero cuidado: instalar un certificado no es suficiente. También es necesario forzar que todas las conexiones utilicen HTTPS; de lo contrario, parte del tráfico seguirá viajando sin cifrar. Para ello, configure una redirección automática de HTTP a HTTPS. Dolibarr incluso ofrece una configuración interna, MAIN_FORCE_HTTPS , que fuerza el cifrado a nivel de aplicación. Actívela, junto con las cookies seguras.

Contraseñas seguras y autenticación

La página de inicio de sesión es el principal punto de acceso. Es donde se concentra la mayoría de los ataques automatizados. Reforzarla es probablemente la inversión más rentable de todo este artículo.

Olvídate de las contraseñas débiles para siempre.

Dolibarr incluye una política de contraseñas que puedes configurar en el panel de administración: longitud mínima, mayúsculas, números y caracteres especiales. Actívala sin dudarlo. Una buena contraseña tiene al menos doce caracteres y no contiene información fácil de adivinar, como la fecha de nacimiento o el nombre de la empresa.

•      Evite usar contraseñas predeterminadas y aquellas que reutilice en otros servicios.

•      Anima a tus usuarios a adoptar un gestor de contraseñas: es un cambio de hábitos que resuelve el 90% del problema.

•      Cambie la contraseña de administrador inmediatamente después de la instalación, sin excepción.

Cambiar el nombre de la cuenta a "admin".

Los bots que intentan forzar el inicio de sesión priorizan los nombres de usuario más comunes, y "admin" encabeza la lista. Al asignar un nombre único a tu cuenta de administrador, les dificultas considerablemente la tarea. Una medida sencilla pero extraordinariamente eficaz.

Habilitar la autenticación de dos factores

Si tuvieras que recordar una sola medida clave, sería esta. La autenticación de dos factores (2FA) significa que, incluso si se filtra una contraseña, el atacante no podrá acceder: carece del segundo código, generado en tu teléfono. Dolibarr ofrece esta función mediante módulos compatibles con las aplicaciones de autenticación estándar. Habilítala al menos para todas las cuentas de administrador.

Reduzca los ataques de fuerza bruta.

Limita el número de intentos de inicio de sesión fallidos antes de aplicar un bloqueo temporal. A nivel de servidor, una herramienta como Fail2ban monitoriza los registros y bloquea automáticamente las direcciones IP persistentes. Y si tu interfaz de administración solo necesita ser accesible desde unas pocas direcciones conocidas, restringe el acceso a ella: es aún más eficaz.

Dar a cada uno los derechos que le corresponden, ni más ni menos.

Una vez cerrada la puerta principal, el siguiente paso es organizar lo que sucede dentro. El principio es sencillo y se llama: mínimo privilegio . Cada usuario solo debe tener acceso a lo que realmente necesita para su trabajo.

En la práctica, su vendedor no tiene por qué acceder al sistema contable, y su contable no debería modificar la configuración del módulo. Cuanto más privilegios tenga una cuenta, más peligroso será vulnerarla; por eso evitamos conceder permisos de administrador a la ligera.

Para simplificar las cosas, utilice grupos de usuarios . En lugar de configurar permisos para cada persona individualmente, defina roles (ventas, contabilidad, soporte, etc.) y asigne a cada usuario al grupo correspondiente. Esto resulta más consistente y reduce significativamente la probabilidad de errores.

Protección del núcleo del reactor: la base de datos

Todo en Dolibarr reside en su base de datos. Si la base de datos falla, todo falla. Sin embargo, unas pocas precauciones son suficientes para mantenerla en gran medida segura:

•      Utilice una cuenta de base de datos dedicada exclusivamente a Dolibarr, con derechos limitados únicamente a su base de datos. Nunca utilice la cuenta "root" bajo ninguna circunstancia.

•      Elige una contraseña larga y aleatoria para esta cuenta, diferente a todas las demás.

•      Si la base de datos y la aplicación se encuentran en la misma máquina, permita únicamente conexiones locales.

•      Si la base de datos es remota, cifre la conexión y restrinja las direcciones IP autorizadas para conectarse a ella.

Al aislar el acceso de esta manera, se garantiza que una posible vulneración de la aplicación no se convierta en un desastre generalizado. El atacante permanece confinado a una sola sala.

Mantén a Dolibarr al día, sin postergarlo.

Esta es, sin duda, la medida más importante de todas… y la que con mayor frecuencia se pasa por alto. Cada nueva versión de Dolibarr corrige las vulnerabilidades descubiertas en versiones anteriores. Mantenerse en una versión antigua implica dejar esas vulnerabilidades completamente expuestas.

Suscríbase a los comunicados de seguridad oficiales del proyecto. Cuando se hace pública una vulnerabilidad, se explota a gran escala en cuestión de días: la rapidez de respuesta es crucial.

Una recomendación: antes de aplicar una actualización importante en producción, pruébela en una copia de su instalación. Esto le ayudará a evitar sorpresas desagradables relacionadas con un módulo incompatible. Y, por supuesto, haga una copia de seguridad completa justo antes, lo que nos lleva al siguiente punto.

Por último, ten en cuenta los módulos adicionales. Si bien amplían las capacidades de Dolibarr, cada módulo añadido supone una vulnerabilidad adicional. Instala únicamente módulos de fuentes confiables, manténlos actualizados y desinstala los que ya no uses. Un módulo abandonado por su desarrollador se convierte en un riesgo silencioso.

Copias de seguridad: tu seguro de vida digital

Seamos claros: ningún sistema de seguridad es perfecto. Tarde o temprano, algo puede fallar: una brecha de seguridad, un ataque de ransomware, un fallo en el disco duro o simplemente un error. En ese caso, tu única salvación es una copia de seguridad fiable.

Cuidado con la trampa: una copia de seguridad de Dolibarr auténtica consta de dos elementos inseparables : el contenido de la base de datos Y el directorio de documentos. Si se realiza una copia de seguridad de uno sin el otro, la restauración resultará defectuosa. Exportar la base de datos mediante la línea de comandos es tan sencillo como:

Recuerda la famosa regla 3-2-1 : tres copias de tus datos en dos soportes diferentes, una de las cuales debe estar almacenada fuera de tus instalaciones. De esta forma, incluso un incendio o un ataque de ransomware que cifre tu servidor no te hará perderlo todo.

Mantente atento a lo que está sucediendo.

La capa final, a menudo olvidada: la monitorización. Porque una intrusión puede pasar desapercibida durante semanas si nadie presta atención a las señales adecuadas. Sin registro de actividad, estás a ciegas.

•      Habilitar el registro de conexiones y acciones sensibles en Dolibarr.

•      Supervise los registros del servidor web y de la base de datos para detectar intentos de acceso sospechosos.

•      Configura alertas en caso de picos en las conexiones fallidas o accesos desde direcciones inusuales.

•      Conserve estos registros el tiempo suficiente para poder investigar en caso de incidente, cumpliendo al mismo tiempo con el RGPD.

Las herramientas de monitorización pueden automatizar todo esto y avisarte en tiempo real. No tienes que pasarte el día revisando registros: configuras el sistema una sola vez y te avisa cuando algo falla.

Su lista de verificación de seguridad de Dolibarr de un vistazo

Hemos avanzado mucho. Aquí tienes algo que te ayudará a no desviarte del camino: imprime esta lista, tenla a mano y marca las casillas a medida que vayas completando.

✓    Sistema, PHP, servidor web y base de datos actualizados.

✓    La visualización de errores está desactivada y las versiones del software están ocultas.

✓    Carpeta de instalación bloqueada ( archivo install.lock ).

✓    archivo conf.php está protegido y el directorio de documentos se encuentra fuera del directorio raíz del sitio web.

✓    Certificado SSL instalado y HTTPS activado en todas partes.

✓    Contraseñas seguras, cuenta de administrador renombrada y autenticación de dos factores (2FA) habilitada.

✓    Protección contra ataques de fuerza bruta (limitación de intentos, Fail2ban).

✓    Se han aplicado privilegios reducidos y se han desactivado las cuentas innecesarias.

✓    Cuenta de base de datos dedicada con derechos limitados.

✓    Copias de seguridad periódicas (base de datos + documentos), probadas y siguiendo la regla 3-2-1.

✓    El sistema de registro y las alertas están configurados.

Preguntas que me hacen con frecuencia

¿Dolibarr es seguro por defecto?

Sí y no. Dolibarr se desarrolla siguiendo las mejores prácticas y recibe actualizaciones periódicas, por lo que su base es sólida. Sin embargo, una instalación predeterminada no ofrece la protección óptima: es responsabilidad del usuario proteger el script de instalación, habilitar HTTPS, configurar los permisos y gestionar el acceso. La seguridad depende principalmente de cómo configure su entorno.

¿Con qué frecuencia se debe actualizar Dolibarr?

Aplique los parches de seguridad en cuanto se publiquen y programe actualizaciones menores periódicamente. Para las versiones principales, realice pruebas primero en una copia de seguridad. Lo fundamental es seguir los comunicados oficiales para reaccionar con rapidez ante vulnerabilidades críticas.

¿Servidor compartido o dedicado para alojar Dolibarr?

El alojamiento compartido es adecuado para pequeñas empresas y delega parte del mantenimiento, pero limita el control. Un VPS o un servidor dedicado ofrece control total a costa de una mayor responsabilidad. Todo depende de tus conocimientos técnicos y necesidades. Si estás empezando, un buen proveedor de alojamiento compartido especializado sigue siendo una opción sensata.

¿Qué debo hacer si mi Dolibarr es hackeado?

Desconecte inmediatamente el acceso a la red del servidor, cambie todas las contraseñas, analice los registros para comprender la ruta del ataque y restaure una copia de seguridad limpia anterior a la intrusión. A continuación, aplique todos los parches y refuerce las vulnerabilidades identificadas. Recuerde sus obligaciones legales de notificar a las autoridades en caso de una violación de seguridad de datos personales.

En conclusión: la seguridad es un hábito.

Si solo pudieras recordar una cosa, que sea esta: proteger Dolibarr no es una tarea que se realiza una sola vez, sino un hábito que se debe mantener . Servidores reforzados, HTTPS obligatorio, autenticación de dos factores (2FA) habilitada, derechos de acceso bien distribuidos, copias de seguridad probadas y actualizaciones aplicadas: cada capa que añadas dificulta la labor de los atacantes y te da la oportunidad de reaccionar.

¿La mejor estrategia? No intentes hacerlo todo en un solo día. Revisa la lista de verificación anterior, comienza con las dos o tres medidas más importantes (actualizaciones, HTTPS y autenticación de dos factores) y luego avanza a tu propio ritmo. Si empiezas hoy, protegerás tu negocio, tus datos y la confianza que tus clientes depositan en ti.

¿Y tú, en qué punto te encuentras? Este fin de semana, revisa tu configuración con la lista de verificación en mano. Te sorprenderá lo mucho que has avanzado en tan solo una sesión, y te sentirás aliviado de haber solucionado los problemas antes de que alguien más los descubra.