Supporto volontario e collaborativo per Joomla!® in italiano

La sicurezza in Joomla

La sicurezza in Joomla

Come rendere sicuro Joomla contro attacchi degli hacker

Con questo articolo, voglio approfondire un'argomento trattato al Joomla day 2009, quello della sicurezza e raggrupparne le procedure in un'unico testo scritto. Grazie alla sua semplicità Joomla è diventato uno strumento popolare ed apprezzato da molti, ma questo fa si che anche i malintenzionati si adoperino per riuscire a bucare i siti che si basano su questo cms, aumentarne la sicurezza per prevenire gli attacchi degli hacker è possibile con poche operazioni ma di fondamentale importanza.
Anche se non sarete mai sicuri al 100%, avrete comunque fatto tutto quello che è nelle vostre possibilità per rendere il vostro sito più sicuro possibile.



Joomla è un noto sistema di gestione dei contenuti, abbastanza maturo da essere utilizzato da migliaia di professionisti e dilettanti. La sua installazione è alquanto semplice, tuttavia di default Joomla non è molto sicuro, così vediamo come possiamo proteggere il nostro portale da potenziali aggressori.

Cosa molto importante è la scelta dell'hosting, scegliere sempre un host dedicato a Joomla, così sarete sicuri che il lato server adotti già di suo tutte le precauzioni opportune, dopo aver completato la prima installazione di Joomla è buona norma cancellare la cartella installation.







Prima di iniziare ricordarsi sempre di effettuate un backup completo dei files e del database, per farlo potrete utilizzare questa comoda guida.

Si consiglia vivamente di prestare molta attenzione nello svolgere la procedura, e si sconsiglia di avventurarsi a persone poco esperte.


 

 

 

Gli aggiornamenti come prima cosa

1) La prima regola di sicurezza è aggiornare frequentemente sia Joomla che le estensioni installate, questa procedura si consiglia perché ogni volta che esce una nuova versione, solitamente copre diversi bug e problemi di sicurezza, qualora ci fossero estensioni che non utilizzate più è sempre consigliabile disinstallarle. Se non sapete come fare un'aggiornamento, vi riporto una comoda guida. Se l'host permette, PHP5 usarlo al posto di PHP4, perché è più avanzato e offre una sicurezza maggiore.
Riporto inoltre il collegamento a due liste di estensioni segnalate come non sicure lista1 - lista2 le quali andrebbero rimosse.

 

 

 

Credenziali di amministrazione

2) La seconda cosa da fare, entrare nel backend e creare un nuovo superadministrator e non chiamarlo admin, ma ad esempio NomeFantasia.

Poi impostare una password di almeno otto caratteri, 6 lettere e due cifre alternando le lettere tra maiuscole e minuscole, ad esempio MioNome79.
Di seguito cambiare le credenziali al vecchio superadministrator con ID 62 (trasformandolo in registred) per poterlo cancellare definitivamente.
Questa procedura si consiglia perché l'ID 62 admin è l'utente di default di Joomla, quindi non modificarlo vuol dire comunicare dei dati sicuri all'eventuale hacker che ci vuole attaccare.

 

 

Rinominare i suffissi

3) Infine rinominare i suffissi delle tabelle, da jos_ a new_ ( è consigliabile utilizzare un'estensione di fantasia di tre lettere seguito dal carattere _ come illustrato nell'immagine al lato ) seguendo la seguente procedura:

Per rinominare le tabelle potete utilizzare questo comodo script che ci è arrivato dal forum, io l'ho testato e modificato in alcune parti per renderlo meglio leggibile.
Dopo averlo scaricato, scompattatelo in locale, troverete due file uno readme che vi spiega la procedura e uno rename.php che dovrete caricare nella root del vostro sito solo dopo aver apportato la personalizzazione.

Poi, entrare in ftp e fare il download del file configuration.php, modificare la stringa (dovrebbe essere la riga 38) var $dbprefix = 'jos_'; in var $dbprefix = 'new_'; quindi salvate il vostro file (e solo se avete utilizzato lo script sovrascrivetelo, altrimenti proseguite con la procedura alternativa).

Altrimenti in alternativa allo script potete aprire il vostro php myadmin e fare un export struttura e dati in formato sql del vostro database.
(Per siti particolarmente grandi si consiglia di fare due export separati uno solo struttura e uno solo dati sempre in formato sql e procedere con le operazioni che seguono su entrambe i files. Questo fa si che nel ripristino possiamo prima importare le tabelle e poi i dati anche un po alla volta, per evitare un blocco del trasferimento).
Salvate l'export in un file di testo e con un semplice trova e sostituisci cercate jos_ e sostituitelo con new_
A questo punto svuotate completamente il database e ripopolatelo con i files del documento che avete appena modificato.
Ora se avete utilizzato questa procedura alternativa, rientrate in ftp e sovrascrivete il file configuration.php che avevate modificato in precedenza.
Questa procedura si consiglia perché jos_ è il suffisso di default di Joomla, quindi andremo a facilitare l'eventuale hacker che ci vuole attaccare.
E' sottinteso che noi abbiamo utilizzato new come nostra estensione di fantasia, quindi la dovrete sostituire con un'altra estensione inventata da voi.
NB.
Questa terza procedura è valida per siti già esistenti, se state eseguendo una nuova installazione, è consigliabile assegnare il suffisso in fase d'installazione, quando viene richiesto dalla procedura guidata.

Occorre poi riassegnare l'autore "admin" ai vari articoli.
Se sono pochi il consiglio è di riaprire le pagine e modificarlo manualmente, mentre se sono molti, è stata trovata una procedura descritta nel forum
Per finire, rendete il file configuration.php di sola lettura.


Un ultimo consiglio se siete già soggetti ad attacchi, è quello di fare attenzione anche al vostro computer, perché è proprio da li che partono le informazioni di utente e password che potrebbero essere rintracciate.
Quindi la prima cosa da fare è riformattare il PC e non avere IP fisso, per lo meno da dove vi collegate, installare firewall, antivirus e tutti i sistemi di sicurezza che si possono adottare.
La seconda più drastica cambiate proprio PC perché il mac address (ossia il numero distintivo del computer) può essere sempre tracciabile, e magari anche il provider.
Se anche così avete ancora problemi, come ultima spiaggia provate a trasferire il dominio.


Consigli dal forum:
Come consigliato da K[o]dy proteggere la cartella administrator con una password, naturalmente impostandola dal pannello di controllo del vostro DirectAdmin.

 

Web Solutions Technology