Top

 (+39) 0532 1915969 - (+39) 0434 1855191

29

Nov 2016

Categoria: Blog

Ogni giorno Internet diviene un posto più pericoloso e chi ne fa le spese sono spesso i siti non aggiornati e senza strumenti di sicurezza. In questo articolo vediamo come rendere il CMS Joomla! più sicuro e protetto dagli attacchi.

Sottolineiamo che la sicurezza al 100% non esiste, chiunque ve la proponga (o ve la venda) vi sta dicendo una falsità. Però è possibile rendere le cose più difficili a chi vuole rovinarci la giornata defacciando il nostro sito web, per quanto possiamo pensare che non sia interessante per gli hackers e i crackers in realtà nessuno è al sicuro.

Vediamo allora cosa dobbiamo fare per dormire sonni "un po'" più tranquilli:

  1. Aggiorniamo

    Il primo motivo per cui i CMS in generale sono colpiti è che non vengono aggiornati. Vai nel tuo pannello di controllo e assicurati di avere la versione più recente di Joomla!
    Clicca nel menù Sistema -> Pannello di controllo


    E controllate di avere:

    Se hai l core di Joomla! aggiornato e le estensioni aggiornate tutto bene, altrimenti aggiorna subito!
  2. Pianifica gli aggiornamenti

    Esistono vari componenti che permettono di essere avvisati quando c'è qualcosa da aggiornare, ma se non li usi cerca di pianificare una attività settimanale per verificare gli updates di tutti i tuoi siti, saranno 20 minuti spesi bene!
  3. Rendi la tua password più sicura

    Uno dei metodi più usati per colpire un sito è il "brute force", in pratica l'hacker usa dei software per provare ad entrare nel tuo sito testando infinite combinazioni di password, quindi cerca di non usare nè parole corte, nè semplici. Più la password sarà lunga maggiore sarà la difficoltà per trovarla.
  4. Imposta il backup

    Normalmente l'hosting provider fornisce un servizio di backup, ma perchè non aumentare la nostra sicurezza? Grazie a un tool come Akeeba potrai impostare i tuoi backups automatici e salvarli anche su sistemi come Google Storage o Dropbox ( https://www.akeebabackup.com/documentation/akeeba-solo/how-to-cloud-backup-dropbox.html )
    Ricordati inoltre di testare i tuoi backups ogni 3-6 mesi, un backup non testato non è un backup!
  5. Affidati a un hosting provider affidabile

    In molti siti è possibile avere un confronto fra i vari sevizi di hosting, controllali e capirai a chi affidarti in base al tuo budget e al livello di sicurezza e prestazioni offerti. Ricordati che al mondo nessuno regala niente, quindi se costa poco probabilmente non è un buon servizio!
  6. Controlla la versione di PHP

    PHP è il linguaggio di programmazione in cui è sviluppato Joomla! per verificare la versione basta andare dal menù Sistema ->Informazioni di sistema


    E lì troverai la versione di PHP, vai poi sul sito https://www.cvedetails.com/ e qui inserisci nel form la versione (ad esempio "PHP 5.6.21") se trovi una vulnerabilità apri un ticket con chi ti fornisce il servizio di hosting e richiedi un aggiornamento.
  7. Rimuovi account amministratori vecchi o inutilizzati

    Può succedere di chiedere assistenza al proprio hosting provider o a uno sviluppatore di un componente e per facilitare l'aiuto assegnargli un account amministrativo temporaneo con una password semplice, oltre ad aver sbagliato nel creare una password semplice NON FARLO MAI!, devi ricordarti di rimuovere questi utenti una volta risolto il problema.
    Un account amministrativo può essere create anche per altri motivi, ricordati sempre di cancellare quelli inutilizzati, basta andare nella gestione utenti e usare i filtri per cercare i "Super Users" per poi cancellarli.
    Ricordati che se trovi un account che non ti ricordi di aver creato probabilmente è un hacker che ne ha creato uno per entrare nel tuo sito.
  8. Cambia la login dell'utente amministratore

    Il login di default in Joomla! è Admin, se tu lo stai usando è il caso di cambiarlo, subito! se vengono usati attacchi di brute force sarà più difficile trovare un accesso con un login diverso da "Admin".
  9. Disinstalla le estensioni inutilizzate

    Se hai installato nel tempo dei componenti che si sono rivelati obsoleti o li hai rimpiazzati è il caso di cancellarli, ricordi il motto di Ford "Se non c'è, non si può rompere" nel nostro caso diventa "Se non c'è, non può essere crackato"!
    Una estensione nel tempo probabilmente rivelerà una falla di sicurezza, quindi è meglio togliere il superfluo. Ricordati comunque di fare un backup prima di qualsiasi modifica di questo tipo, qualora ci siano problemi potrai sempre ripristinare la situazione precedente.
  10. Rimuovi file e installazioni vecchie

    Nel tempo i software che si aggiornano lasciano traccia delle vecchie installazioni e i CMS non sono da meno, quindi cerca di cancellare :
    - Tutti i file PHP non necessari
    - I backups che possono avere informazioni vitali come le password, quindi non mettere i file in percorsi facili da trovare
    - Tutte le vecchie versioni nelle sotto directory, se aggiorni il sito e pubblicizzi questo evento probabilmente la prima cosa che un hacker farebbe è cercare nella cartella "old" o "vecchio".
  11. Disabilita il Rapporto Errori

    Un modo facile per avere informazioni per hackerare un sito sono gli errori che vengono pubblicati dal sistema. Vai quindi dal Menù -> Sistema -> Configurazione Globale poi clicca sul tab Server e imposta l'opzione "Rapporto errori" su "nessuno" e salva.
  12. Proteggi l'accesso amministratore

    Per proteggere ulteriormente l'accesso dell'utente amministratore è aggiungere una password di protezione alla directory oppure tramite plugin aggiungere delle stringhe per impostare la pagina di login solo se vengono aggiunte delle variabili al link, esistono vari plugin che lo fanno, cercali e installane uno!
  13. Modifica il file .htaccess

    Il file .htaccess viene usato normalmente per la SEF e per migliorare alcuni aspetti di velocità del sito e prestazioni, ma può essere usato anche per migliorare la sicurezza, sia Admin Tools che RS Firewall vi permettoni di farlo!
  14. Usa SSL

    Tutto il traffico dati fra voi e il sito è tracciabile, quindi anche la login e la password soprattutto se state usando una connessione internet pubblica o non protetta. Quindi richiedi un certificato SSL per il tuo sito e dopo assicurati di impostare nell'amministrazione l'opzione:
    vai su Sistema -> Configurazione Globale attiva il tab Server e l'opzione Forza SSL su "Solo amministrazione" o "Tutto il sito"
  15. Installa un software firewall

    Per noi le opzioni valide sono due "Admin Tools" e "RS Firewall" entrambe le soluzioni sono ottime e forniscono strumenti come blocchi geografici, protezione con password dell'amministrazione, ecc.

 

Fino ad ora ne abbiamo analizzato 15 punti per poter migliroare la sicurezza del tuo sito, vuoi sapere quali sono gli ultimi 5 che serviranno a dare un livello di sicurezza ancora maggiore al tuo sito?

Sono 5 step che servono veramente a mio avviso a darti una mano contro gli hackers!

Compila il form sottostante e iscriviti alla nostra Newsletter Tech e li riceverai in email!

 

 

 

 

 

 

 


Iscriviti!

Buongiorno! Iscrivendoti alla newsletter ti terrò informato su tutti gli eventi, webinar e news legate all'IT in Italia!
Niente SPAM solo aggiornamenti mensili o comunque sporadici :)

* campi obbligatori
Privacy *