Profile image
Nicola Camedda

Manutenzione e sicurezza

  • Web Designer
  • +39 (338) 138-4195
  • contact@newweblab.net
  • newweblab
  • Italy
Security eye - Newweblab.net
Proteggere il proprio sito dalle varie insidie presenti nel Web è un aspetto importante, talvolta sottovalutato.
Nella directory ufficiale delle estensioni Joomla!, lo "JED" (ovvero "Joomla! Extensions Directory") troviamo estensioni utili a rafforzare il livello di sicurezza del proprio sito.
Queste estensioni possono aumentare il livello di difesa, ma teniamo presente che non esistono rimedi capaci di proteggerci in assoluto da qualsiasi tipo di minaccia. 

La sicurezza di un sito o un applicazione online si basa su un mix di diversi aspetti, tra cui anche l'attegiamento di chi lo gestisce e amministra. 
Vediamo alcuni aspetti in riferimento ai siti realizzati con Joomla!:

  • Mantieni sempre aggiornato il CMS e tutte le estensioni;
  • Se sei al corrente di avere estensioni vulnerabili, installa subito le "patch" o rimuovi le estensioni vulnerabili;
  • Scegli password "robuste" e difficili da forzare (almeno 8 caratteri alfanumerici, maiuscoli e minuscoli con tanto di caratteri speciali, senza nessun senso compiuto);
  • Evita di inviare le password per email (puoi disattivare l'opzione automatica dalla configurazione di Joomla!), tanto meno renderle note pubblicamente;
  • Appoggiati a un buon servizio di hosting, con firewall, antivirus e sistemi di sicurezza professionali;
  • Se il sito consente agli utenti operazioni di login, oppure ci sono attività di ecommerce è meglio dotarti di un protocollo SSL;
  • Installa solo estensioni approvate dallo "JED", ovvero che abbiano passato tutti i requisiti di controllo;
  • Carica nel sito solo immagini (specialmente in formato .svg) e file multimediali di chiara e sicura provenienza;
  • Non conferire alti privilegi ad utenti di cui non conosci identità o credenziali;
  • Se ci sono altri amministratori, assicurati che anche loro rispettino le pratiche di sicurezza;
  • Mantieni i tuoi computer e supporti di memoria puliti da virus e malware di ogni genere;
  • Utilizza un sistema di "Verifica in due passaggi". Joomla! offre il suo sistema nativo tramite il plugin "Two Factor Authentication" (Trovi maggiori informazioni in questo articolo in Joomla.it);
  • Utilizza estensioni utili ad aumentare la sicurezza del sito;

Vediamo alcune di queste estensioni. Mi limito ad elencarne solo poche fra le tante presenti nella directory.
L'ideale sarebbe provarne un buon numero e scegliere quelle che fanno al caso proprio.
Ti consiglio di evitare di installare estensioni doppie, ovvero che svolgono lo stesso compito, per evitare conflitti e un rallentamento di prestazioni del sito.

Inoltre, alcune estensioni possono avere opzioni abbastanza ostiche da comprendere per un utente non esperto, escludi le opzioni che non capisci o di cui non sei sicuro, oppure chiedi supporto nei Forum di Joomla.it o nel Forum di Joomla.org (in lingua Inglese), o rivolgiti a un consulente.
Tieni anche conto che molte di queste estensioni non sono dotate di traduzione in lingua locale.

Infine, qualora non ti risultasse chiaro qualche termine, potrebbe esserti utile questo glossario sulla sicurezza informatica, in Italiano:
http://www.notrace.it/glossario/ 

AdmineExile

Questo plugin è da sempre uno dei più usati.
Lo scopo principale di questo plugin è quello di nascondere al pubblico il classico indirizzo di login dell'area di amministrazione del sito, ovvero:
"/administrator"
puoi trasformarlo in qualcosa di simile a:
"/administrator?chiave=valore"
dove ovviamente al posto di "chiave" e "valore" metterai qualcosa di più "robusto", puoi anche usare password complesse.
Il plugin ti offre anche diverse funzionalità avanzate che ti consentono di gestire le "blacklist" e "whitelist" degli indirizzi Ip dei potenziali attacchi e riguardo il rilevamento degli attacchi "brute force".

Perché "nascondere" l'indirizzo di amministrazione? Si tratta di un procedimento assolutamente "preventivo", dato che uno degli obbiettivi principali di attacco è proprio il form di login in amministrazione.

Nota:
Se per qualsiasi motivo non riuscissi più ad accedere al tuo indirizzo di amministrazione, ecco una soluzione pratica.
(Questo può avvenire perché hai smarrito i dati chiave e valore, oppure hai dimenticato la tua password e dopo un certo numero di login falliti, il tuo indirizzo Ip è entrato in blacklist)

Devi accedere alle tabelle del database tramite PhpMyadmin, il celebre tool che gli hosting ti mettono a disposizione per gestire il database Mysql.
Dovrai cercare la tabella "_extensions" e scorrere i record fino a trovare "plg_sys_adminexile".
Cliccaci sopra per settare "enabled" al valore "0". Hai semplicemente sospeso il plugin. 
Puoi salvare e rientrare nel tuo pannello di amministrazione.

Trovi l'estensione qui: AdminExile
Documentazione ufficiale: http://www.richeyweb.com/dev... 

Brute Force Stop!

È un altro plugin dedicato alla prevenzione di attacchi "brute force". Il suo lavoro consiste nell'analizzare i tentativi falliti di login.
In caso di involontario blocco del tuo indirizzo Ip, puoi sospendere il plugin (come spiegato in AdminExile), oppure seguire le istruzioni che trovi nelle FAQ (https://github.com/codeling/ ...).

Trovi l'estensione qui: Brute Force Stop!
Documentazione ufficiale: https://github.com/codeling ...

Marco's SQL Injections - LFI Interceptor

Ecco un altro plugin molto efficace, utile a a fornire una protezione contro tecniche di attacco molto diffuse come "Mysql Injection" e "LFI" (Local File Inclusion). 
Funziona egregiamente mantenendo i valori di default, a meno che tu non abbia particolari esigenze più avanzate. 

Trovi l'estensione qui: Marco's SQL Injections - LFI Interceptor
Documentazione ufficiale: http://www.mmleoni.net/ ...

Akeeba Backup

Non è un estensione dedicata alla protezione del sito, ma è ugualmente importante, dato che in caso di sito compromesso è chiaramente meglio possedere una copia di backup sana e funzionante.
Akeeba Backup è probabilmente l'estensione esterna quasi onnipresente in ogni installazione di Joomla! che si rispetti.
È realizzata dallo stesso sviluppatore del sistema di aggiornamento del "core" di Joomla!
Ti offre un sistema di backup di file e database, rapido ed efficace e possiede un sistema di ripristino del sito altrettanto efficace.
Con Akeeba Backup puoi effettuare backup periodici in automatico, sfruttando lo spazio del tuo hosting.
Nella versione "professionale" (a pagamento) ti consente di salvare in automatico il tuo backup su uno spazio in remoto, usando servizi cloud come Dropbox.

Non è un semplice plugin, ma un componente (con alcuni plugin) che offre diverse opzioni, ma generalmente funziona molto bene con le impostazioni che trovi di default.
Akeeba ha una funzionalità chiamata "Configuration Wizard" che in automatico rileva le informazioni dal tuo server e vi si adatta, con lo scopo di funzionare senza bisogno di grossi sforzi.
Questo avviene con la maggioranza dei servizi di hosting di buon livello.
Ma come può accadere, da un server all'altro, possono variare parametri e configurazioni, in tal caso, dovrai agire sulle impostazioni di configurazione o sulle opzioni.
A tal proposito è consigliabile leggere la documentazione, trattandosi di un estensione complessa, tale documentazione non è certo breve.

Trovi l'estensione qui: Akeeba Backup
Documentazione ufficiale: https://www.akeebabackup.com/ ...
Traduzioni: Traduzioni in varie lingue

SpamBotCheck

Questo plugin è utile per proteggere il sito dagli "spambot". 
Fornisce una protezione contro le attività degli spambot nelle attività di login e registrazione. Può inviarti notifiche al tuo indirizzo email. 
La protezione in tempo reale che ti offre si basa su blacklist costantemente aggiornate da organizzazioni no profit internazionali, che operano nella lotta contro lo spam.

Trovi l'estensione qui: SpamBotCheck
Documentazione ufficiale: non disponibile

OSpam-a-not

Un altro semplice plugin di protezione contro lo spam.
Se un form è compilato da esseri umani, sarà necessario un minimo intervallo di tempo necessario alla compilazione, al di sotto del quale si tratta di spampot. È possibile modificare questo parametro.

Trovi questa estensione qui: OSpam-a-not
Documentazione ufficiale: https://www.alledia.com/ ...

JHackguard

Questo componente è prodotto da Siteguard (l'hosting provider ufficiale di Joomla.org) ed è l'estensione che loro stessi usano per proteggere i loro siti dai comuni attacchi di "Sql Injections", "XSS scripting", "Remote URL/file Inclusions", "Remote Code Executions" e attacchi basati su "Cross Site Scripting".
Inoltre offre anche un opzione simile ad AdminExile per proteggere l'indirizzo di amministrazione.

Trovi l'estensione qui: JHackguard
Documentazione ufficiale: https://www.siteground.com/j ...

Admin Tools Core

Chiudo l'elenco con un componente che racchiude varie funzionalità già viste nei singoli plugin precedenti.
Gran parte delle funzionalità riguardanti la protezione ricadono sotto il "Web Application Firewall" a cui vi si può accedere nella versione premium.
Una comoda soluzione per un sistema difensivo abbastanza completo. A garanzia dell'estensione, il fatto che è realizzata dallo stesso team di Akeeba
Nella versione "core", gratuita, trovi diverse funzionalità utili all'amministrazione, i permessi di files e cartelle, la protezione della cartella "/administrator", utility per il file ".htaccess" ecc.

Trovi l'estensione qui: Admin Tools Core
Documentazione ufficiale: https://www.akeebabackup.com/ ...

Sucuri Site Check

Non è una estensione Joomla! ma un tool online gratuito, utile a effettuare una scansione del tuo sito, alla ricerca di Malware. Efficace, veloce e affidabile.
Link: https://sitecheck.sucuri.net//

Considerazioni.

Ci sono veramente tante estensioni dedicate alla sicurezza e alle fasi di gestione dell'amministrazione, ovviamente le trovi tutte nella directory delle estensioni di Joomla!
Puoi anche contare su soluzioni premium che ti garantiscono supporto e assistenza da parte di personale esperto.

Vota e sostieni gli sviluppatori

Non dimenticare di dare un voto e feedback positivo alle estensioni che preferisci e, se puoi, una donazione agli sviluppatori che rilasciano estensioni gratuite.
In questo modo li aiutiamo a continuare a sviluppare e mantenere aggiornate le estensioni.
Con lo scopo di offrirti una sempre migliore esperienza di navigazione, questo sito usa i cookies 'tecnici' e di 'terze parti'. Clicca 'Accetto i cookies' per chiudere questo banner e accettare i cookies. Per sapere come disattivarli dal browser e avere più informazioni clicca 'Informativa'. Proseguendo la navigazione acconsenti all'utilizzo dei cookies.