Sappiamo quanto possa essere utile e comodo utilizzare Joomla per sviluppare un sito web per un cliente ( o per la vostra azienda ) quando non avete molto tempo per crearlo da zero . Joomla è uno dei più utilizzati CMS ( Content Managment System ) al mondo, tuttavia come qualsiasi altra applicazione dinamica che potrete installare sul vostro account, tra i suoi punti deboli c’è quello della sicurezza.
Come già saprete per noi di Tantrahost la sicurezza del vostro account è fondamentale, e abbiamo implementato diversi sistemi per proteggere le vostre applicazioni. Non possiamo tuttavia proteggere ogni parte di software che i clienti installano sui loro siti – purtroppo non esiste un modo garantito per proteggere i vostri siti web da exploit o malintenzionati, a causa di vulnerabilità nel codice dovute al non aggiornamento dei vostri script, temi o plugin alle ultime versioni, estensioni mal codificate o codice personalizzato.
Questo tutorial si propone di fornire alcuni consigli e suggerimenti che vi aiuteranno ad aggiungere un ulteriore livello di sicurezza per le installazioni di Joomla.
Cose fondamentali da sapere
- Tenere sempre la vostra installazione di Joomla aggiornata, incluse tutte le eventuali estensioni che avete installato (questo punto è fondamentale!).
- Creare un nuovo utente amministratore con un nome utente personalizzato e quindi eliminare l’utente di default ‘admin’, in quanto molti attacchi si rivolgono a nomi utente standard.
- Cambiare la password dell’account admininistrator regolarmente.
- Installare solo le estensioni che sono ben esaminate dalla comunità di Joomla , e che vengono sviluppate attivamente.
- Durante l’installazione di Joomla, modificare il prefisso predefinito del database . Tutte le installazioni di default di Joomla utilizzano il prefisso del database ” jos_ “, che rende il lavoro di ogni sfruttatore molto più facile . È possibile cambiare questo prefisso in qualcosa di unico in fase di installazione , ma se avete già installato tutto il seguente plugin può facilmente aiutare a cambiare il prefisso del database di Joomla con pochi click : http://extensions.joomla.org/extensions/hosting- a-servers/database-management/14895
Proteggere Joomla
Di seguito è riportato un elenco di modifiche o adattamenti consigliati per le vostre installazioni di Joomla . Leggetelo con attenzione e se avete domande non esitate a mettervi in contatto con il nostro team di supporto prima di procedere.
1 ) Rimuovere i componenti o le estensioni che non utilizzate. Se avete provato ad utilizzare un’estensione o un componente e vi siete resi conto che non era quello che vi aspettavate , non tenerlo disabilitato ma eliminatelo.
2) Utilizzare un componente SEF . Una delle tecniche più comuni da parte di hacker è quello di utilizzare Google inurl per la ricerca di un exploit vulnerabile. Vi consigliamo vivamente l’uso di una estensione SEF per ri-scrivere il vostro URL e impedire che gli hacker trovino gli exploit. Questo dovrebbe anche essere positivo verso i motori di ricerca grazie alla tecnica dei friendly URL. Potete controllare le estensioni di Joomla disponibili presso : http://extensions.joomla.org/index.php?option=com_mtree&task=listcats&cat_id=1803&Itemid=35
3) Aggiungere le seguenti righe al vostro file. htaccess per bloccare alcuni exploit comuni.
########## Begin – Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End – Rewrite rules to block out some common exploits
4) Proteggere la cartella ” tmp” . Aggiungete dei cron per cancellare il contenuto della cartella tmp. La maggior parte dei recenti attacchi che abbiamo visto su Joomla sono stati fatti a causa di file precedentemente caricati nella cartella tmp . Quello che consigliamo è quello di impostare un cron job per cancellare ogni giorno il contenuto di questa cartella, è possibile utilizzare il seguente comando :nice- n 15 / bin / find / home /UTENTE-CPANEL/ public_html / tmp / – type f – mtime 1 – exec rm -rf { } \ ;
Dovreste anche disattivare l’ accesso web alla cartella tmp con l’aggiunta di un file .htaccess all’interno di essa contenente la seguente riga .:
deny from all
5) Installazione di un’estensione di sicurezza . Ci sono un sacco di estensioni di sicurezza offerte gratuitamente al’interno della directory delle estensioni di Joomla . Scegliete quelle che hanno un punteggio più alto o quella che preferite: http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection6) Di recente abbiamo visto diversi attacchi a forza bruta alla cartella amministratore di Joomla . È possibile proteggere la cartella di amministratore con una richiesta di conferma prima della pagina di login standard – basta usare l’opzione “Password Protect Directory” che troverete all’interno del vostro pannello di controllo: aggiungerà un secondo strato di sicurezza per proteggersi da questo attacco.
Documentazione ufficiale
Vi consigliamo anche di leggere i seguenti articoli:
http://docs.joomla.org/Joomla_Administrators_Security_Checklist
http://docs.joomla.org/Htaccess_examples_%28security%29
Ci auguriamo che questo breve tutorial sia stato di vostro gradimento. Se avete domande, il nostro team di supporto è a disposizione per darvi tutta l’assistenza che meritate!
