Supporto volontario e collaborativo per Joomla!® in italiano

Simple Security Guide - Parte 1

securityUna delle cose più deprimenti del mondo di internet è scoprire che il nostro sito è stato violato.
Incertezza e sfiducia possono spaventare gli amministratori, ma ancora peggio potrebbero spaventare i nostri clienti! A tal fine è stata pubblicata questa guida che mira a fornire semplici regole per proteggere il nostro sito web Joomla!

Livello di difficoltà: Semplice

Questa guida è la prima di una serie di guide sulla sicurezza, tradotta dall'ebraico, per aiutare gli utenti avanzati ma soprattutto i principianti del mondo di Joomla! a proteggere i loro siti web dalla paura più grande del web: l'Hacking! Questa serie è stata creata dopo aver analizzato i siti web violati in Israele, e in che modo gli hacker lo hanno fatto!

La serie inizia con dei semplici passi e prosegue con regole più dure nei prossimi capitoli. Le regole rigide sono a volte difficili da attuare, ma ne vale la pena.


Backup

L'assunto di base è che ogni sito web può essere violato, non esiste la totale sicurezza sul web. Pertanto, la cosa più importante è avere un  backup frequente, per farlo è consigliabile avere l'estensione Akeeba Backup, che può fare il backup del sito con un solo clic. È necessario eseguire il backup del sito tutte le volte che il contenuto viene aggiornato, ciò significa che se si aggiungono contenuti su base quotidiana è necessario eseguire il backup tutti i giorni!

Ultima versione di Joomla!

Non importa se siamo esperti webmaster, o se usiamo il sito web Joomla! come hobby, la prima cosa da fare è aggiornare Joomla! alla versione più recente. Dalla versione 1.6 è presente un'icona nel pannello di controllo dell'amministrazione che consente di conoscere tutti gli ultimi aggiornamenti, la maggior parte sono di sicurezza ed è fondamentale aggiornare al più presto, inoltre l'aggiornamento può essere fatto con un solo clic, perciò non esitate a farlo!


Joomla back-end panel



L'utente admin

Una delle manovre più ovvie per violare un sito è cercare di entrare nel pannello di amministrazione di Joomla! perciò, dovremmo cercare di evitarlo! In primo luogo, non usare il nome Super-admin di default (admin, amministratore o root). Scegliamo un altro nome!

Non utilizzare l'utente amministratore di default

L'utente amministratore di default è ben noto e dispone di un ID predefinito (42 per 1.6+ e 62 per 1.5). Solitamente si cerca di violare proprio questo utente, perciò quando installiamo Joomla! basta creare un nuovo utente, renderlo admin (con un altro nome), ed eliminare il vecchio utente.

N.B. Dalla versione 2.5.5 il primo user id viene assegnato casualmente durante l'installazione, quindi se stiamo utilizzando una nuova installazione non dovrebbe essere necessario preoccuparsi di questo problema!

Bloccare il pannello di amministrazione

Ogni utente Joomla sa come accedere al back-end facilmente. Può saperlo chiuque, basta navigare su www.yoursite.com/administrator; per evitare che utenti non autorizzati arrivino al Login del back-end, esiste un'estensione che impedisce tale accesso!

Disclaimer: L'autore di questo articolo ha creato un'estensione GPL non-commerciale che può aiutarci in questo caso: JLSecure My Site disponibile anche nella JED: Home -> Access & Security -> Site Access -> Backend & Full Access Control -> JLSecure My Site


Estensioni


Le estensioni in Joomla! sono il valore aggiunto, il più grande vantaggio di Joomla! rispetto a qualsiasi altro CMS, ne esiste un'ampia gamma (oltre 9000) e proprio questo può rappresentare un problema poiché alcune estensioni sono vulnerabili. È stato creato a tal fine un elenco organizzato di estensioni vulnerabili con informazioni riguardo i loro punti deboli e se sono state rilasciate correzioni. Si consiglia pertanto di controllare l'elenco prima di installare qualsiasi tipo di estensione.

Estensioni non necessarie

Joomla! è un avanzato sistema di gestione dei contenuti. Durante l'installazione, si installano anche un sacco di estensioni di default. Alcune utili (come i contenuti e gli utenti o il percorso), ma altre potrebbero non essere utilizzate (ad esempio, i componenti come banner, contatti, newsfeed, etc). Anche se non ci sono link esistenti nel proprio sito per quei componenti, ci sono link al componente di base, per esempio: index.php?option=com_search

È possibile disattivare le estensioni inutili che nel nostro sito non stiamo utilizzando, direttamente dal pannello di amministrazione Estensioni → Gestione Estensioni → Gestisci; basta disattivare i componenti selezionandoli e cliccando su Disabilita. Si raccomanda di non rimuovere le estensioni, poiché potrebbero essere utili in futuro (a meno che non ci sia il bisogno di liberare spazio sull'hosting).

Fine Prima Parte

Questo è tutto per la prima parte, che è rivolta ai principianti. La parte successiva sarà per utenti medio/avanzati!

CommentaCommenta questo articolo sul forum