Dopo il nostro speciale dedicato alla sicurezza di WordPress passiamo ora al nostro caro Joomla, questi trucchi sono applicabili alle ultime versione 2.x e 3.x del cms.
1) Aggiorna sempre
Non smetterò mai di ripeterlo, aggiornate sempre le vostre installazioni di Joomla perché sono il primo e più rapido modo per risolvere eventuali bug o vulnerabilità dell’applicazione.
Sul sito ufficiale Joomla sono presenti alcune guide per la migrazione da vecchie versioni:
Migrare da Joomla 1.7 oppure 2.5.x a 3.x.x
2) Gestisci e cura le estensioni
Le estensioni realizzate da terzi rappresentano una importante risorsa per gli utilizzatori di Joomla ma allo stesso tempo rappresentano spesso un pericolo sul fronte della sicurezza. Teniamo sempre aggiornate le nostre estensioni, così da limitare al minimo la presenza di bug o vulnerabilità, inoltre optiamo sempre per estensioni popolari ed evitiamo quelle poco conosciute o utilizzate e carenti di un sito per il supporto.
3) Rimuovi le estensioni che non utilizzi
Altra regola per tenere pulita la tua installazione di Joomla è quella di rimuovere sempre le estensioni che non utilizzi, se non servono rimuovile, se ti servirà in futuro potrai sempre installarle nuovamente
4) Usa password complesse
La prima buon abitudine per mantenere al sicuro il proprio sito web Joomla è quella di utilizzare username e password complesse, ricorda sempre di:
– La password deve essere di almeno 8 caratteri
– Non inserire nella password l’username, un nome o in ogni caso una porzione di essi
– Non inserire nella password parole intere (mela, luca, amore, sole, admin, computer …)
– Inserisci nella password un mix di caratteri: lettere minuscole, maiuscole, numeri e caratteri speciali
5) Utilizza il file .htaccess
All’interno del file .htaccess fornito da Joomla ci sono alcune regole e direttive studiate per rendere più sicuro l’utilizzo dell’applicazione, studia il file e abilita le direttive che ritieni possano essere utili a questo scopo
6) Fai un uso corretto dei permessi sui file e le cartelle
Se il tuo hosting esegue le applicazioni PHP con l’ausilio di su_PHP assicurati che tutti i file abbiano i permessi impostati a 644 e le cartelle abbiano i permessi impostati a 755, inoltre il file configuration.php deve essere impostato ai permessi 640. Puoi applicare facilmente questi permessi tramite il software client FTP Filezilla
7) Modifica l’username dell’utente super user
Joomla per impostazione predefinita utilizza l’utente denominato “admin” come super user, durante attacchi di tipo brute force il primo tentativo è quello di cercare questo utente, per ridurre questo rischio cambia l’username del super user con un nome diverso, ecco come puoi fare:
– Accedi con l’utente admin al pannello Joomla
– Vai su Utenti -> Gestione utenti -> Aggiungi nuovo utente
– Assegna al nuovo utente i permessi super user
– Esci dall’utente admin
– Effettua il login con il nuovo utente super user
– Dalla gestione utenti modifica il vecchio utente “admin” e cambiagli nome, disabilitalo oppure rimuovi i permessi super user
8) Disabilita la registrazione utente
Se il tuo sito non prevede le funzionalità di community e quindi non è richiesta registrazione e login da parte degli utenti disattiva questa possibilità, perché spesso gli hacker ricorrono agli spider per creare registrazioni massive e intercettare bug su questo fronte.
9) Proteggi il backend (amministrazione) del sito
Una soluzione molto efficace per limitare i problemi di sicurezza è quella di bloccare con una ulteriore password l’accesso al pannello di controllo con l’ausilio di .htaccess, oppure se accedi a internet con un indirizzo IP statico puoi limitare l’accesso dallo stesso file .htaccess inibendo il caricamento del backend a tutti gli altri IP escluso il tuo.
Basterà creare un file .htaccess dentro la cartella /administrator e inserire queste righe al suo interno
[php]Deny from ALL
Allow from x.x.x.x[/php]
al posto di x.x.x.x inserisci il tuo IP
10) Implementa l’autenticazione Two-Factor
L’autenticazione Two-Factor permette di accedere al pannello di controllo con l’utilizzo di un ulteriore codice di verifica oltre all’inserimento dell’username e della password, il terzo codice viene spedito via SMS ad un numero personale. Naturalmente dopo il primo accesso è possibile salvare l’accesso dal computer e non dover generare un nuovo codice ogni volta che si ripete il login
11) Abilita il supporto URL simpatici
Abilitare la funzione degli url in modalità Search Engine Friendly è molto utile per proteggere alcune informazioni, come ad esempio il nome delle variabili che solitamente verrebbero appesi agli url tradizionali
12) Utilizza un certificato SSL
I certificati SSL attualmente hanno prezzi molto accessibili, con una spesa media di 10 euro all’anno possiamo proteggere le informazioni scambiate con il nostro sito web
13) Disattiva l’accesso a livello FTP
Dal pannello di controllo puoi disabilitare l’accesso a livello FTP se non viene utilizzato
14) Installa estensioni per migliorare la sicurezza
Uno dei più popolari e gratuito è sicuramente Admin Tools di Akeeba, questa estensione fornisce diverse funzionalità molto utili:
– Controlla e avvisa quando vengono rilasciate nuove versioni
– Controlla e ripara problemi sui permessi di file e cartelle
– Protegge la cartella administrator
– Modifica il prefisso delle tabelle sul database
Altre caratteristiche le trovi a questa pagina -> https://www.akeebabackup.com/products/admin-tools.html
15) Assicurati sempre un backup dei dati
Molti hosting provider offrono il backup programmato del proprio sito web, quando acquisti un servizio hosting assicurati che questo servizio sia incluso e che caratteristiche ha (cadenza del backup, costi aggiuntivi, dimensioni del backup)