Joomla! e' un CMS sicuro?

La domanda letale: tanti utenti che generano allarmismo, un web inconsapevole e la mancanza di conoscenze tendono a far precipitare le credenziali di un "prodotto" ottimo quale Joomla!.

Cerchiamo di fare un pò di chiarezza sulla combinazione Joomla! - sicurezza e tracciamo delle linee-guida da adottare nella politica di costruzione ed amministrazione di un sito web.

• - le FAQ di sicurezza
• - i post di riferimento per chi è stato attaccato
• - la security checklist
• - la lista delle estensioni vulnerabili 

Nonostante ciò, il trend  - oramai ben avviato - è quello di lamentarsi al riguardo della presunta alta vulnerabilità del CMS senza chiedersi come mai aziende, anche di grosse dimensioni, privati, associazioni, si affidino a Joomla! temendo ben poco questa presunta vulnerabilità.

Joomla! è di fatto un CMS sicuro: se per esempio prendessimo una installazione vergine, senza estensioni, contenuti, anche solo coi dati di esempio, aggiornata all'ultima versione, troveremmo ben pochi cracker in grado di defacciare il sito o anche solo penetrare all'interno di esso.

La tristemente famosa "falla 1.5.6" che ha creato una sorta di panico generale non ha colpito, per esempio, siti di grande importanza: come si sono tutelati questi webmaster i cui siti sarebbero stati un trofeo impagabile da "hackerare"?

Semplice: con la testa, anzi, meglio usare l'espressione "costruendo un sito in modo consapevole". E noi andiamo ora ad analizzare cosa significhi costruire un sito web, con Joomla!, essendo consapevoli dei rischi i cui incorriamo.

Template

Il layout, la grafica: quello che più piace agli utenti medi di un sito.
Utilizzare un bel template preso "non si sa bene da dove" può farci incorrere in brutte sorprese: codice maligno? ID adsense? Script malevoli?
Certo, non siamo qui a creare ulteriore allarmismo, ma vogliamo solo far capire che, prima di installare un template, i passi che un utente dovrebbe compiere sono: scompattare l'archivio contenente i file di cui è composto, dare un'occhiata al file index.php o magari, se si è alle prime armi, farlo controllare da qualcuno ( anche un semplice amico appassionato ) più esperto  o magari chiedere in forum adatti ( come quello di Joomla.it ) se qualcuno ha già utilizzato quel template.
Nonostante il template sia solitamente l'estensione più "genuina", procedere con molta cautela è sempre consigliato.

Componenti, moduli e plugin

Le altre estensioni sono la bellezza di Joomla! e dell'open source: tante funzionalità di facile implementazione sul sito, ma anche tanto codice scritto non si sa da chi e nemmeno come.
Il problema con le estensioni di terze parti è che andrebbero prima confrontate con l'elenco di quelle ritenute vulnerabili ( il cui link è sopra), poi installate.
A quel punto un utente un attimo più esperto potrebbe verificare che nei files del componente tutti gli script siano genuini, le query a MySQL siano ben protette e i dati passati tramite form siano prima validati, poi utilizzati.
Buona norma è, poi controllare che la stringa:

defined('_JEXEC') or die('Restricted access');

sia presente in ogni file che verrà poi elaborato dal nostro CMS.

Il nostro hosting

Un'estensione potrebbe anche essere scritta molto bene, ma se la nostra casa ha bei mobili ma pareti fragili, come potrà non crollare sotto un torrente in piena?
A parte le battute, ricordatevi sempre che gli hosting condivisi alzano il rischio di essere vittime dei cyber-lestofanti, poichè se da un altro sito qualche malintenzionato riesce a "bucare" il server, anche voi siete in mezzo: i server dedicati, quindi, sono la scelta migliore.

Come poi riporta la presentazione di Joomla! su questo sito, un hosting ottimale deve offrire alcune impostazioni del PHP ( o meglio, php.ini ):

- Register Globals: OFF
- Magic Quotes: ON
- Emulazione RG: ON
- Safe Mode: OFF
- Magic Quotes GPC: ON
- Magic Quotes Runtime: OFF
- Output Buffering: OFF
- Session auto start: OFF

per consentirvi di dormire sonni tranquilli.

La cartella administrator

Agire in modo consapevole? Utilizziamo estensioni quali Jsecure e magari proteggendo ulteriormente l'amministrazione con .htpasswd.

Evitiamo i riferimenti standard

Piccola divagazione, necessaria: per accedere al backend di Joomla! è necessario digitare il nostro dominio seguito da '/administrator'.
L'amministratore standard riceve come username il valore 'admin'.
Lasciare inalterati questi valori è forse parte di un amministrazione consapevole, sicura o no?
Per cambiare lo username standard occorre semplicemente modificare l'utente creato tramite la gestione utenti di Joomla!, mentre per la cartella administrator occorre fare riferimenti a strumenti con il già citato Jsecure, poichè non si può ovviamente cambiare il nome della cartella, solamente rinominandola, sperando che Joomla! non ne risenta: se lo farete, ovviamente il CMS cesserà di funzionare fino a che non ripristinerete il suo nome.

Sareste tranquilli se indicaste ad un ladro l'indirizzo di casa vostra, gli daste un mazzo di milioni di chiavi e ve ne andaste di casa?
Una di quelle chiavi è la password per accedere all'amministrazione del sito, e non si sa mai quanto possa essere fortunato un malintenzionato.

MySQL

Occorre sempre ricordare che il server MySQL in cui risiede il database utilizzato da Joomla! è protetto da uno username e una password soggetti a possibili violazioni: se per esempio ci venissero sottratti tali dati sarebbe facile mettere mano al sito, dando solo alcuni sguardi alle tabelle del database utilizzato.
Se poi venissero anche lanciate delle query con dei fini tristemente noti potremmo dire addio persino all'intero database!

FTP

Per connettersi al sito, uploadare e scaricare files, modificarli, ci serviamo di una connessione FTP allo stesso ( in molti utilizano filezilla, ma esistono anche pannelli dedicati a seconda dell'hosting utilizzato ).
Se qualche malintenzionato scoprisse username e password FTP, ci metterebbe meno di un minuto a defacciare il sito.

Ri-defacciato

Succede poi che molte volte ci si ritrovi, dopo aver sistemato il sito in seguito ad un attacco, di nuovo col lavoro in fumo.
In molti a questo punto dicono "ho aggiornato la versione di Joomla!", "ho tolto le estensioni vulnerabili" e credono di aver fatto tutto quello di cui avevano bisogno.
Ma non considerano un fatto: una volta che il sito è bucato, molto probabilmente il malintenzionato avrà carpito password e username di Joomla!, dell'FTP e di MySQL.
Sito nuovo, vecchie password: un paradiso per chi vi vuole rovinare.

Ma quindi è sempre colpa di Joomla!

Certo che no!
Come abbiamo visto le possibilità di essere "bucati" arrivano da ogni lato, e Joomla! è solo la punta dell'iceberg:teniamo in considerazione questo, prima di prendercela direttamente col CMS.
Joomla! 1.5 ha dimostrato di avere avuto un grave difetto di programmazione, che è stato corretto in 2 ore e 30 minuti: si è forse mai visto un team di sviluppo rilasciare una patch in così poco tempo, all'interno di progetti open source?
Inoltre è bene ricordare come ancora oggi la versione 1.0, con il suo ultimo rilascio ( .15 ), non abbia ancora avuto grossi problemi ( anche piccoli, a dire la verità ) dal lato sicurezza, segno che obiettivamente questo è un software ben congeniato.
La 1.5 ha avuto un problema, che, leggendo un articolo come questo il giorno prima della scoperta del bug, tutti avrebbero potuto evitare: è quindi un software scadente oppure c'è stata tanta mancanza di coscienza da parte di tanti webmaster?

A voi l'ardua scelta.

Considerazioni finali

Vediamo costantemente siti sotto attacco, come dimostra il defacement di un noto produttore di template free e commerciali proprio per Joomla!, e se deste un'occhiata ai log del vostro sito vi imbattereste in moltissime URL "strane": tentativi di inclusione di codice, file di testo, redirect, sono solo una piccola parte degli attacchi che ci vengono lanciati.

Una soluzione finale? Un backup giornaliero: in quel caso la soluzione sarebbe un semplice restore del sito, il cambio di username e password di FTP, MySQL e amministrazione Joomla! e in 5 minuti avrete risolto il panico iniziale.

Ternaria Informatica

Commenta questo articolo sul forum

---

Joomla! e' un CMS sicuro?

Vedi anche:

• 14/08/2012 06:00 - Simple Security Guide - Parte 2
• 11/08/2012 12:01 - Simple Security Guide - Parte 1
• 12/02/2011 18:54 - Quanto è – realmente - off-line la modalità off-line di Joomla!?
• 22/09/2010 12:29 - Cose da fare per prevenire che il tuo sito venga hackerato.
• 16/03/2010 11:33 - Maggiore Sicurezza per siti Joomla!!
• 27/04/2009 10:59 - Joomla! : il CMS "povero" ma vincente
• 30/01/2009 00:00 - Editor's pick parte seconda : altre estensioni consigliate per Joomla! 1.5
• 28/11/2008 20:27 - Joomla verso l'accessibilità e l'usabilità
• 28/11/2008 12:00 - La JED, dove trovare le estensioni per Joomla!
• 25/11/2008 00:00 - Alcuni passi da conoscere per amministrare un sito con Joomla!

Articoli più recenti:

• 06/12/2008 15:28 - Ottimizzare Joomla 1.5 per i motori di ricerca
• 05/12/2008 10:44 - Riferimenti utili per analizzare il proprio Joomla!
• 03/12/2008 17:30 - Velocizzare il nostro sito Joomla! - Guida
• 03/12/2008 16:30 - La migrazione di Joomla!, uno spauracchio da non temere
• 02/12/2008 18:34 - Come Togliere “Benvenuto in ….” dal sito Joomla! 1.5
• 30/11/2008 12:31 - La newsletter: come renderla efficace e i componenti newsletter per Joomla
• 30/11/2008 11:19 - Improved GAS - Ricerche Google Adsense nel nostro Joomla! 1.5
• 29/11/2008 00:00 - Editor's Pick, le estensioni consigliate per Joomla!
• 24/11/2008 15:00 - Cosa devo sapere per costruire un sito con Joomla! ?
• 23/11/2008 14:52 - Joomla! 1.0, 1.5 o 1.6?

<< Articolo precedente

---