I 10 principali problemi di sicurezza di Joomla (e come risolverli)

I dieci principali problemi di sicurezza di Joomla ... e come evitarli

I problemi di sicurezza di Joomla sono sempre un problema caldo :) Sfortunatamente, ci sono alcuni errori che si ripetono più e più volte creando problemi di sicurezza che possono essere facilmente evitati. Ecco i problemi: i problemi di sicurezza di Joomla e cosa dovresti fare per evitarli. 

I dieci principali problemi di sicurezza di Joomla e come risolverli

 

10 problemi di sicurezza di Joomla

10. Fornitori di hosting economici

Non scegliere mai il provider di hosting più economico che riesci a trovare.

In genere, i provider di hosting economici utilizzano server condivisi che ospitano centinaia di altri siti, alcuni dei quali sono siti contenenti spam di bassa qualità che possono essere facilmente compromessi. Dal momento che sono tipicamente sullo stesso IP, il tuo sito sarà lento, si troverà in un "brutto quartiere" con una bassa reputazione e potrebbe essere compromesso se altri siti vengono violati.

Controlla l'elenco dei provider di hosting consigliati da questo sito Web e approvati da Joomla per CollectiveRay qui.

9. Nessun backup

Assicurati di avere regolarmente Backup di Joomla. Nel caso in cui il tuo sito venga violato o succeda qualcosa, sarai in grado di ricostruirlo da zero. Consigliamo di scegliere una combinazione di backup basati su hosting come quelli offerti da InMotion (l'host che utilizziamo e di cui ci fidiamo - link nel paragrafo precedente) e quindi di utilizzare un'estensione di terze parti come AkeebaBackup.

8. Saltare l'hardening (modificare le impostazioni per la sicurezza) di PHP e proteggere Joomla! impostazioni

Dimenticare o saltare la regolazione di PHP e Joomla! le impostazioni per una maggiore sicurezza sono un enorme no-no.

Ci sono molte piccole impostazioni e modifiche che puoi fare per rendere il tuo server PHP e Joomla! più sicuro e previene la maggior parte dei problemi di sicurezza di Joomla in primo luogo ed evita tutti i tipi di problemi di sicurezza.

Abbiamo un elenco delle cose che dovresti fare per "rafforzare" la tua installazione più in basso in questo articolo.

7. Utilizzo di password deboli o riutilizzo di password

Utilizzando lo stesso nome utente e password per il tuo conto bancario online, Joomla! account amministratore, account Amazon, account Yahoo, account Gmail e ovunque è un altro errore che dovresti evitare come la peste.

Utilizza sempre password complesse diverse da quelle degli altri account.

Ricorda anche di cambiare sempre il nome dell'account amministratore in qualcosa di diverso da "admin". Inoltre, è altamente consigliabile installare un plugin come Adminexile che protegge il backend dell'amministratore dai tentativi di hacking.

6. Installa e dimentica

Dopo aver installato il tuo nuovissimo e bellissimo sito basato su Joomla !, controllalo regolarmente assicurandoti che nulla sia andato storto.

Molte cose possono andare storte e puoi avere tutti i tipi di problemi di Joomla se non mantieni tutti i componenti delle tue installazioni di Joomla.

Ti aiutiamo a gestire meglio il tuo Joomla

joomla

Pulsante ebook gratuito di suggerimenti Joomla

5. Non avendo server di sviluppo

Tutti gli aggiornamenti e le installazioni di estensioni devono essere prima provati su un server di sviluppo, prima di essere eseguiti sul sito live.

Se qualcosa va storto sul server di sviluppo, puoi evitare di creare lo stesso problema sul server e assicurarti che il tuo sito live rimanga pulito. È possibile utilizzare server semplici che possono essere installati localmente come XAMPP o MAMP.

4. Affidarsi a tutte le estensioni di terze parti

Se desideri una sicurezza ottimale di Joomla, dovresti installare solo le estensioni minime di cui hai bisogno.

Se puoi evitare di installare un modulo di terze parti, evitalo. Non tutte le estensioni di terze parti sono prive di problemi e alcune sono semplicemente orribili, difettose e contengono vulnerabilità.

Ogni estensione di terze parti è un altro componente che potrebbe esporti a vulnerabilità e deve essere mantenuta aggiornata. Diffida delle estensioni di terze parti che installi, preferibilmente scegli i componenti professionali di aziende rispettabili. 

In genere installiamo solo estensioni dei fornitori più grandi come RegularLabs, Tassos Marinos, Akeeba ecc.

3. Dimenticare di mantenere il tuo Joomla! sito aggiornato

Dopo aver installato il tuo nuovo bellissimo sito basato su Joomla !, tieniti aggiornato con tutte le versioni stabili e aggiorna con ogni versione stabile.

La maggior parte delle versioni stabili risolvono problemi e vulnerabilità.

Dimenticare di aggiornare lascerà il tuo sito esposto a tutti i tipi di problemi di Joomla. Questo vale anche per qualsiasi terza parte Estensioni di Joomla si installa. C'è un modo per mantieni il tuo Joomla sempre aggiornato però - potresti dare un'occhiata qui.

Problemi di sicurezza di Joomla: assicurati di mantenere aggiornato Joomla2. Mancanza di informazioni quando si chiede aiuto

Se il tuo sito viene violato / violato, vai ai forum di Joomla e prima di iniziare a postare come un matto, assicurati di avere tutte le informazioni rilevanti disponibili, come la versione di Joomla che hai installato, quale versione di estensioni di terze parti hai installato.

Queste informazioni aiuteranno a identificare cosa potrebbe aver causato il tuo hack e come risolverlo ed evitare che accada di nuovo.

1. Correggi qualsiasi file rotto e dimenticalo

Una volta che il tuo sito è stato violato, riparare il file deturpato non è sufficiente.

Controlla i log del tuo sito, cambia le tue vecchie password, rimuovi l'intera directory e ricostruiscila da backup puliti e prendi tutte le azioni precauzionali!

Seri problemi di sicurezza di Joomla possono ripresentarsi se non ripristini da un backup pulito perché possono essere presenti backdoor nella tua installazione, il che sarà reactivato dagli hacker una volta rimosso quello che ritieni sia l'unico file infetto.

Questa è una versione rivisitata di I dieci migliori amministratori più stupidi Trucchi, senza sarcasmo e con consigli su come risolvere invece i primi dieci problemi di sicurezza di Joomla :)

Tutte le cose da fare per proteggere il tuo sito web Joomla 

Sebbene per impostazione predefinita Joomla! Il team di sviluppo principale adotta grandi misure per garantire che ci siano poche o nessuna vulnerabilità nel codice, ci sono un numero di impostazioni che, se non prestate la dovuta attenzione, possono lasciare il tuo sito web vulnerabile agli attacchi.

Questo articolo fornirà un elenco di misure da adottare per garantire un Joomla! installazione. Questi sono tutti suggerimenti che usiamo sul nostro blog di web design, CollectiveRay, quindi sappiamo che funzionano bene!

1. Rinomina il Joomla! account amministratore

Questo semplice passaggio rafforza notevolmente il tuo sito web. di nuovo se sei paranoico, dovresti usare caratteri casuali sia per il nome utente che per la password dell'amministratore

2. Assicurati che il tuo file configuration.php non sia scrivibile!

Questo passaggio è fondamentale e un file configuration.php scrivibile in tutto il mondo è un invito all'hacking.

Puoi renderlo non scrivibile dall'interno di Joomla. Questo è qualcosa che le nuove versioni di Joomla fanno automaticamente, ma puoi confermare se ci sono problemi con i permessi dei file visitando Sistema> Informazioni di sistema> Autorizzazioni cartella. Il file configuration.php dovrebbe essere contrassegnato come Non scrivibile.

3. Cerca sempre di mantenere la tua installazione di Joomla aggiornata all'ultima versione

Ogni aggiornamento di Joomla o nuove versioni in genere aggiunge sicurezza chiudendo eventuali falle e exploit di sicurezza o altre vulnerabilità scoperte. Se salti qualsiasi aggiornamento, lasci quel "buco" aperto nella sicurezza del tuo sito e rischi di essere violato.

Qualsiasi aggiornamento incentrato sulla sicurezza non dovrebbe MAI essere ignorato. Ogni aggiornamento sarà denominato "Manutenzione" e corregge bug o piccoli problemi e "Sicurezza" che in genere risolve le vulnerabilità della sicurezza. Gli aggiornamenti di sicurezza dovrebbero essere installati immediatamente perché significa che la vulnerabilità è ora nota agli hacker e inizieranno immediatamente a sfruttarla.

4. Esegui l'upgrade all'ultima versione di PHP

Se il tuo host lo consente, passa alle ultime versioni sicure di PHP.

Ogni versione successiva di PHP introduce una sicurezza aggiuntiva (oltre a migliorare le prestazioni). Sfortunatamente, le versioni precedenti di PHP in genere non vengono aggiornate, anche se vengono rilevati problemi di sicurezza.

Ciò significa che qualsiasi problema di sicurezza scoperto NON avrà una soluzione e il tuo sito sarà esposto a tali exploit.

5. Verificare le autorizzazioni corrette per file e cartelle

Una volta che hai un sito stabile, dovresti cambiare tutti i permessi dei file in modo che siano protetti da scrittura usando CHMOD (644 per i file, 755 per le directory).

Qualsiasi buon software FTP dovrebbe consentirti di farlo senza dover utilizzare alcuno script, oppure potresti farlo tramite CPanel o File Explorer.

È inoltre possibile utilizzare la configurazione globale per applicare le autorizzazioni predefinite a tutti i file e le cartelle.

Le versioni precedenti di Joomla consentono la modifica direttamente dall'amministratore secondo le istruzioni seguenti, ma le versioni più recenti di Joomla lo fanno automaticamente. Tuttavia, assicurati di non modificarli da solo per risolvere qualche altro problema.

Vai a Sito> Configurazione globale> scheda Server. Scorri verso il basso fino a trovare Creazione file. Fare clic su CHMOD nuovi file in 0644 e CHMOD nuove directory in 0755 e fare clic sulla casella di controllo Applica a file esistenti per eseguire questa impostazione su tutti i file correnti. Fatto ciò, assicurati che il file configuration.php non sia ancora scrivibile. Se è scrivibile, fare clic su Rendi non scrivibile dopo il salvataggio per renderlo non scrivibile

Applicazione delle autorizzazioni tramite client FTP

È possibile utilizzare un'estensione come eXtplorer che ha un modo semplice per modificare le autorizzazioni. Ti consente di farlo in modo ricorsivo, evitando così di dover passare attraverso ogni directory. Puoi anche utilizzare componenti come gli strumenti di amministrazione per Joomla! da Akeeba che può controllare e risolvere automaticamente tali problemi. 

Gli strumenti di amministrazione eseguono anche una serie di altre correzioni di prestazioni e sicurezza. Dai un'occhiata qui.

6. Controlla il tuo sito per le vulnerabilità

Esistono numerosi strumenti che testano il tuo Joomla per file corrotti e file vulnerabili. Questi sono in genere tester di penetrazione che verificano problemi comuni.

Puoi anche utilizzare l'elenco delle estensioni vulnerabili di Joomla. Questo è un elenco in tempo reale di tutte le estensioni che presentano una vulnerabilità. Ogni tanto (circa ogni mese), dovresti controllare l'elenco più recente per assicurarti che nessuna delle tue estensioni Joomla correnti sia nell'elenco.

Se una delle tue estensioni è presente in questo elenco, assicurati di aggiornarla all'ultima versione protetta (con patch).

7. Non lasciare mai file aggiuntivi in ​​giro

Assicurati che non ci siano file non necessari sul tuo server web.

Elimina tutti i file rimasti dall'installazione. Elimina il tuo installazione cartella e qualsiasi file compresso che potresti aver caricato sul tuo server web per installare Joomla! nucleo. Rimuovi tutti i componenti / moduli / modelli che non stai utilizzando.

Mantieni sempre il tuo sito il più snello possibile. Eventuali file aggiuntivi potrebbero diventare una responsabilità. 

8. Proteggi i tuoi file di configurazione e le directory sensibili

  • Tutti i file di configurazione non devono essere inseriti nella directory HTML pubblica. Alcuni host web (ad esempio GoDaddy) potrebbero non consentirti di farlo, quindi la cosa migliore da fare è creare una directory protetta da password utilizzando un file .htaccess. Se non sei sicuro della funzione del file htaccess, è una buona idea leggerlo prima di continuare. Crea una directory, è una buona idea nominarla in modo casuale, ad es ehxum3jq piuttosto che configurare nel tuo Joomla! directory.
  • Crea un file .htaccess per proteggere la directory. Usa un generatore .htaccess per aiutarti a generare il file. In base all'esempio sopra, dovresti avere un file .htaccess simile a questo. Ricorda che la directory che vuoi proteggereèla directory home (se non sei sicuro di poterla trovare nel percorso assoluto del tuo file configuration.php originale) e aggiungendo il nome della directory inserirai i tuoi file protetti ad es. / Home / content / a / b / c / abccompany / html / ehxum3jq /
  • NB: Questo fornisce solo l'autenticazione di base che non offre una sicurezza rigorosa. Nelle parole di Apache.org:

L'autenticazione di base non dovrebbe essere considerata sicura per nessuna definizione particolarmente rigorosa di sicuro.

Sebbene la password sia archiviata sul server in un formato crittografato, viene trasmessa dal client al server in testo normale attraverso la rete. Chiunque ascolti con qualsiasi varietà di packet sniffer sarà in grado di leggere il nome utente e la password in chiaro man mano che vengono visualizzati.

Parametro per la creazione del file .htaccess

File .htaccess e .htpasswd generati

Per offrire davvero sicurezza, è necessario inviare la password tramite SSL (dove verrebbe crittografata lungo il percorso).

  • Usa password complesse o passphrase o caratteri casuali per il file .htpasswd che dovrebbe essere qualcosa di simile questo. Puoi proteggere ulteriormente la tua directory utilizzando gli IP nel file .htaccess come indicato in questa FAQ
  • Verificare per assicurarsi che la directory sia protetta. Metti un file al suo interno e prova ad accedere ad es. Https://www.yourcompany.com/ehxum3jq/myfile.txt. Dovrebbe essere richiesta una password. Fornire il nome utente e la password specificati durante la generazione dovrebbe consentire l'accesso al file, altrimenti si dovrebbe ottenere un errore 401 (Accesso negato).

Finestra di autenticazione di base

  • Utilizza il seguente Domande frequenti sul forum di Joomla per aiutarti a spostare i file di configurazione dall'HTML pubblico alla directory protetta da password che hai creato. Fai molta attenzione però quando aggiorni il file di configurazione globale, perché questo sovrascriverà il file che hai creato. Proteggi da scrittura il file configuration.php e tutte le modifiche necessarie vengono eseguite manualmente utilizzando un client FTP. E aggiungi la seguente riga in modo che chiunque tenti di accedere al file php riceva un errore "Accesso limitato". Come regola generale, tutti i file PHP sul tuo sito web dovrebbero contenere questa riga. Qualsiasi file PHP che non contiene questa riga è un rischio per la sicurezza.

 

definito ('_ JEXEC') o die;

definito ('_VALID_MOS') o die ('Accesso limitato'); // per le versioni precedenti di Joomla

 

9. Mantieni aggiornate le estensioni di terze parti

Le estensioni di terze parti sono una delle cose migliori di Joomla!

C'è una così ampia varietà di estensioni, che probabilmente puoi trovare qualcosa già scritto per te. Tuttavia, le estensioni per feste 3D sono disponibili in tutte le forme e dimensioni e non sono monitorate dal team principale.

Ciò significa che esiste una vulnerabilità che può compromettere la tua installazione. È necessario essere estremamente attenti all'installazione di eventuali estensioni. Monitorare l'elenco delle estensioni vulnerabili di terze parti / non Joomla. Se installi estensioni, assicurati di monitorare le loro versioni e assicurati di seguire i loro consigli sulla sicurezza.

Per maggiori informazioni vai al Joomla! Domande frequenti sulla sicurezza.

10. Salva! Backup! Backup!

Anche se hai preso TUTTE le misure per assicurarti che il tuo sito web sia sicuro al 100%, le vulnerabilità potrebbero ancora nascondersi, in attesa di essere trovate e sfruttate. Se il tuo sito viene violato, DEVI assicurarti che torni online il prima possibile con la minor perdita di contenuti possibile. Per questo, è necessario assicurarsi di disporre di backup funzionanti (ogni giorno o più frequentemente in base alle necessità).

AkeebaBackup è un componente open source per Joomla! CMS che consente il backup completo del sito (file e database). Ti consente di creare backup completi e ha tutte le funzionalità per ripristinare il tuo sito se le cose vanno male.

Qualche altro consiglio sulla sicurezza di Joomla?

Per adesso. Se hai ulteriori suggerimenti sulla sicurezza di Joomla, ci piacerebbe ascoltarli nei commenti qui sotto.

L'autore
David Attard
Autore: David AttardSito web: https://www.linkedin.com/in/dattard/
David ha lavorato nel o intorno al settore online / digitale negli ultimi 18 anni. Ha una vasta esperienza nei settori del software e del web design utilizzando WordPress, Joomla e le nicchie che li circondano. In qualità di consulente digitale, il suo obiettivo è aiutare le aziende a ottenere un vantaggio competitivo utilizzando una combinazione del loro sito Web e delle piattaforme digitali disponibili oggi.

Un'altra cosa... Sapevi che anche le persone che condividono cose utili come questo post sembrano FANTASTICHE? ;-)
Fatti un favore: lasciare un utile commenta con i tuoi pensieri, quindi condividi questo articolo sui tuoi gruppi di Facebook che lo troverebbero utile e raccogliamo insieme i frutti. Grazie per la condivisione e per essere gentile!

Disclosure: Questa pagina può contenere collegamenti a siti esterni per prodotti che amiamo e consigliamo vivamente. Se acquisti prodotti che ti suggeriamo, potremmo guadagnare una commissione per segnalazione. Tali commissioni non influenzano le nostre raccomandazioni e non accettiamo pagamenti per recensioni positive.
 

 

Miglior plug-in per la memorizzazione nella cache

Rendi il tuo sito web più veloce 

Passo dopo passo - corso gratuito via email, come caricare il tuo sito web less di 1 secondo  

 

chi siamo noi?

CollectiveRay è gestito da David Attard - lavorando dentro e intorno alla nicchia del web design da più di 12 anni, forniamo suggerimenti utili per le persone che lavorano con e sui siti web. Gestiamo anche DronesBuy.net, un sito Web per appassionati di droni.

David attard

 

 

Autore / i in primo piano su:  Inc Magazine Logo   Logo di Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   e molti altri ...