Supporto volontario e collaborativo per Joomla!® in italiano

Joomla! e' un CMS sicuro?

Valutazione attuale: 5 / 5

Stella attivaStella attivaStella attivaStella attivaStella attiva
 

Un articolo che spiega come comportarsi, dal lato sicurezza, con Joomla!La domanda letale: tanti utenti che generano allarmismo, un web inconsapevole e la mancanza di conoscenze tendono a far precipitare le credenziali di un "prodotto" ottimo quale Joomla!.

Cerchiamo di fare un pò di chiarezza sulla combinazione Joomla! - sicurezza e tracciamo delle linee-guida da adottare nella politica di costruzione ed amministrazione di un sito web.

Negli ultimi tempi abbiamo assistito ad un generale allarmismo generato dagli utilizzatori di Joomla! 1.5, legato soprattutto al rilascio della versione 1.5.6 del CMS, che correggeva una falla critica di quest'ottimo prodotto open source.
Recentemente anche parte del DevTeam ha espresso la sua perplessità ( in un misto di ilarità e indignazione ) sul fatto che vengano aperti costantemente nuovi post sul forum ufficiale senza tenere in considerazione:

Nonostante ciò, il trend  - oramai ben avviato - è quello di lamentarsi al riguardo della presunta alta vulnerabilità del CMS senza chiedersi come mai aziende, anche di grosse dimensioni, privati, associazioni, si affidino a Joomla! temendo ben poco questa presunta vulnerabilità.

Joomla! è di fatto un CMS sicuro: se per esempio prendessimo una installazione vergine, senza estensioni, contenuti, anche solo coi dati di esempio, aggiornata all'ultima versione, troveremmo ben pochi cracker in grado di defacciare il sito o anche solo penetrare all'interno di esso.

La tristemente famosa "falla 1.5.6" che ha creato una sorta di panico generale non ha colpito, per esempio, siti di grande importanza: come si sono tutelati questi webmaster i cui siti sarebbero stati un trofeo impagabile da "hackerare"?

Semplice: con la testa, anzi, meglio usare l'espressione "costruendo un sito in modo consapevole". E noi andiamo ora ad analizzare cosa significhi costruire un sito web, con Joomla!, essendo consapevoli dei rischi i cui incorriamo.

Template

Il layout, la grafica: quello che più piace agli utenti medi di un sito.
Utilizzare un bel template preso "non si sa bene da dove" può farci incorrere in brutte sorprese: codice maligno? ID adsense? Script malevoli?
Certo, non siamo qui a creare ulteriore allarmismo, ma vogliamo solo far capire che, prima di installare un template, i passi che un utente dovrebbe compiere sono: scompattare l'archivio contenente i file di cui è composto, dare un'occhiata al file index.php o magari, se si è alle prime armi, farlo controllare da qualcuno ( anche un semplice amico appassionato ) più esperto  o magari chiedere in forum adatti ( come quello di Joomla.it ) se qualcuno ha già utilizzato quel template.
Nonostante il template sia solitamente l'estensione più "genuina", procedere con molta cautela è sempre consigliato.

Componenti, moduli e plugin

Le altre estensioni sono la bellezza di Joomla! e dell'open source: tante funzionalità di facile implementazione sul sito, ma anche tanto codice scritto non si sa da chi e nemmeno come.
Il problema con le estensioni di terze parti è che andrebbero prima confrontate con l'elenco di quelle ritenute vulnerabili ( il cui link è sopra), poi installate.
A quel punto un utente un attimo più esperto potrebbe verificare che nei files del componente tutti gli script siano genuini, le query a MySQL siano ben protette e i dati passati tramite form siano prima validati, poi utilizzati.
Buona norma è, poi controllare che la stringa:

defined('_JEXEC') or die('Restricted access');

sia presente in ogni file che verrà poi elaborato dal nostro CMS.

Il nostro hosting

Un'estensione potrebbe anche essere scritta molto bene, ma se la nostra casa ha bei mobili ma pareti fragili, come potrà non crollare sotto un torrente in piena?
A parte le battute, ricordatevi sempre che gli hosting condivisi alzano il rischio di essere vittime dei cyber-lestofanti, poichè se da un altro sito qualche malintenzionato riesce a "bucare" il server, anche voi siete in mezzo: i server dedicati, quindi, sono la scelta migliore.

Come poi riporta la presentazione di Joomla! su questo sito, un hosting ottimale deve offrire alcune impostazioni del PHP ( o meglio, php.ini ):

- Register Globals: OFF
- Magic Quotes: ON
- Emulazione RG: ON
- Safe Mode: OFF
- Magic Quotes GPC: ON
- Magic Quotes Runtime: OFF
- Output Buffering: OFF
- Session auto start: OFF

per consentirvi di dormire sonni tranquilli.

La cartella administrator

Agire in modo consapevole? Utilizziamo estensioni quali Jsecure e magari proteggendo ulteriormente l'amministrazione con .htpasswd.

Evitiamo i riferimenti standard

Piccola divagazione, necessaria: per accedere al backend di Joomla! è necessario digitare il nostro dominio seguito da '/administrator'.
L'amministratore standard riceve come username il valore 'admin'.
Lasciare inalterati questi valori è forse parte di un amministrazione consapevole, sicura o no?
Per cambiare lo username standard occorre semplicemente modificare l'utente creato tramite la gestione utenti di Joomla!, mentre per la cartella administrator occorre fare riferimenti a strumenti con il già citato Jsecure, poichè non si può ovviamente cambiare il nome della cartella, solamente rinominandola, sperando che Joomla! non ne risenta: se lo farete, ovviamente il CMS cesserà di funzionare fino a che non ripristinerete il suo nome.

Sareste tranquilli se indicaste ad un ladro l'indirizzo di casa vostra, gli daste un mazzo di milioni di chiavi e ve ne andaste di casa?
Una di quelle chiavi è la password per accedere all'amministrazione del sito, e non si sa mai quanto possa essere fortunato un malintenzionato.

MySQL

Occorre sempre ricordare che il server MySQL in cui risiede il database utilizzato da Joomla! è protetto da uno username e una password soggetti a possibili violazioni: se per esempio ci venissero sottratti tali dati sarebbe facile mettere mano al sito, dando solo alcuni sguardi alle tabelle del database utilizzato.
Se poi venissero anche lanciate delle query con dei fini tristemente noti potremmo dire addio persino all'intero database!

FTP

Per connettersi al sito, uploadare e scaricare files, modificarli, ci serviamo di una connessione FTP allo stesso ( in molti utilizano filezilla, ma esistono anche pannelli dedicati a seconda dell'hosting utilizzato ).
Se qualche malintenzionato scoprisse username e password FTP, ci metterebbe meno di un minuto a defacciare il sito.

Ri-defacciato

Succede poi che molte volte ci si ritrovi, dopo aver sistemato il sito in seguito ad un attacco, di nuovo col lavoro in fumo.
In molti a questo punto dicono "ho aggiornato la versione di Joomla!", "ho tolto le estensioni vulnerabili" e credono di aver fatto tutto quello di cui avevano bisogno.
Ma non considerano un fatto: una volta che il sito è bucato, molto probabilmente il malintenzionato avrà carpito password e username di Joomla!, dell'FTP e di MySQL.
Sito nuovo, vecchie password: un paradiso per chi vi vuole rovinare.

Ma quindi è sempre colpa di Joomla!

Certo che no!
Come abbiamo visto le possibilità di essere "bucati" arrivano da ogni lato, e Joomla! è solo la punta dell'iceberg:teniamo in considerazione questo, prima di prendercela direttamente col CMS.
Joomla! 1.5 ha dimostrato di avere avuto un grave difetto di programmazione, che è stato corretto in 2 ore e 30 minuti: si è forse mai visto un team di sviluppo rilasciare una patch in così poco tempo, all'interno di progetti open source?
Inoltre è bene ricordare come ancora oggi la versione 1.0, con il suo ultimo rilascio ( .15 ), non abbia ancora avuto grossi problemi ( anche piccoli, a dire la verità ) dal lato sicurezza, segno che obiettivamente questo è un software ben congeniato.
La 1.5 ha avuto un problema, che, leggendo un articolo come questo il giorno prima della scoperta del bug, tutti avrebbero potuto evitare: è quindi un software scadente oppure c'è stata tanta mancanza di coscienza da parte di tanti webmaster?

A voi l'ardua scelta.

Considerazioni finali

Vediamo costantemente siti sotto attacco, come dimostra il defacement di un noto produttore di template free e commerciali proprio per Joomla!, e se deste un'occhiata ai log del vostro sito vi imbattereste in moltissime URL "strane": tentativi di inclusione di codice, file di testo, redirect, sono solo una piccola parte degli attacchi che ci vengono lanciati.

Una soluzione finale? Un backup giornaliero: in quel caso la soluzione sarebbe un semplice restore del sito, il cambio di username e password di FTP, MySQL e amministrazione Joomla! e in 5 minuti avrete risolto il panico iniziale.

 

Ternaria Informatica

CommentaCommenta questo articolo sul forum


Ultima versione di Joomla!®

downloadVer. 3.7.0 Stabile Italiana
Data di rilascio: 25 Aprile 2016
(leggi la notizia Demo online

Le migliori estensioni gratuite

Un elenco aggiornato con i link a più di 100 estensioni fra componenti, moduli e plugin gratuiti per Joomla! 3

Manuale in italiano

Manuale in italianoPer conoscere meglio Joomla!, le sue caratteristiche ed il metodo di utilizzo leggi il manuale tradotto in italiano.

Molto utili anche le risposte alle domande più frequenti: FAQ

Sicurezza del proprio sito Joomla!Leggi anche: Nozioni sulla sicurezza del proprio sito

Autori di articoli recenti

Invia un articolo!Scrivi un articolo su Joomla.it e ricevi i ricavi dalle pubblicità di Google Adsense!
Segui queste istruzioni, condividi e collabora con la community. L'elenco degli autori attivi sul sito.

Libri consigliati

Torna su

Joomla.it sui Social Network

JoomlaDay Italia

JoomlaDay

Newsletter

Inserisci qui la tua e.mail: