Più popolarità guadagna il tuo sito Web realizzato con Joomla, più problemi di sicurezza incontrerai. Hacker, malintenzionati o semplici bimbiminkia sono sempre alla ricerca di nuovi modi per buttare giù, defacciare o hackerare il tuo sito Web per poi magari utilizzarlo per qualche malefico scopo.
Parliamo di sicurenza in siti web realizzati con Joomla, regole che comunque possono essere applicate a tanti altri CMS
Principalmente questi signori (si fa per dire) attaccano i nostri siti con attacchi DDoS utilizzando tecniche che non tutti i servizi di hosting riescono a mitigare.
Joomla! è un CMS molto potente e sicuro, ma spesso è reso vulnerabile da una cattiva pratica: quella di non aggiornare il CMS e le estensioni installate.
Oltre il 2,5% dei siti Web è realizzato con Joomla, è l'ultima ricerca di SUCURI rivela che Joomla è il secondo CMS più importante, scaricato oltre 68 milioni di volte, e anche la seconda piattaforma di siti Web infetti. La prima è quella di Wordpress, CMS (quella che usano gli utenti diversamente dotati).
Gli hacker provano innumerevoli metodi di hacking per attaccare il tuo sito e farlo così crollare. Questi metodi vanno dall'inclusione di file remoti allo cross-site scripting fino alla sempre popolare SQL injection.
Tu In qualità di amministratore, hai la responsabilità di garantire che il tuo sito Joomla sia perfettamente funzionante, aggiornato e sicuro.
Un'istanza correttamente configurata del nostro CMS preferito, ovvero Joomla, se ospitata su un server correttamente configurato è sicura quanto qualsiasi altra soluzione standard. Quindi sto dicendo che anche la configurazione del server ha la sua importanza!
Nel post di oggi, scriverò delle migliori pratiche per proteggere un sito Web realizzato con Joomla, vediamole:
Queste le migliori pratiche per proteggere il tuo sito web
Usa l'ultima versione di Joomla e tieni aggiornate anche le estensioni
Molto spesso, molto più di quanto possiate credere, gli amministratori ed i proprietari di siti Web realizzati con Joomla (e anche con altri CMS) non aggiornano il CMS e le sue estensioni, senza contare tutti quelli che fanno uso di VPS (Virtual Private Server) di non aggiornare il software per mettere in sicurezza il server, rendendo significativamente basso il livello di sicurezza.
Quasi in ogni nuova versione di Joomla porta significativi accorgimenti per la sua sicurezza o la soluzione di bug.
Se non eseguirai l'aggiornamento all'ultima versione di Joomla manterrai una certa vulnerabilità sul tuo sito web.
Usa una password complessa per l'accesso sicuro lato back-end
Nella maggior parte dei casi, le persone lasciano l'account amministratore predefinito con nome utente su “admin” abbinandola ad una debole password. Sarai d’accordo con me che queste credenziali devono essere “forti” in modo eccezionale al fine di contrastare le più raffinate tecniche di hacking. Non prendere in seria considerazione questo fattore avrà un solo epilogo: sito compromesso e defacciato.
Elimina le estensioni che non usi e che non hanno aggiornamenti da mesi
Joomla è un CMS open source e come amministratore puoi testare infinite estensioni per provare nuove funzionalità nel tuo sito. È positivo migliorare la funzionalità, ma se poi non usi questa estensione, disinstallala. Questa potrebbe diventare solo veicolo di attacchi. Utilizza solo quelle estensioni che hanno incorporato il sistema di aggiornamento di default di joomla; molte estensioni scaricabili dalla JED non hanno questo sistema, abbassando così il livello di sicurezza! Fortunatamente nella JED tutte le estensioni che non fanno uso del sistema di aggiornamento integrato su Joomla sono segnalate, quindi attenzione a cosa scaricate.
Fai il backup regolarmente di tutti i tuoi siti
Il backup è il processo necessario salva-sito. In caso di problemi, il backup del sito, sia di file che del database è l’unico modo per ripristinare un sito hackerato e/o defacciato.
Utilizza servizi di hosting che offrono un piano di backup automatizzato. Insieme al backup dell'hosting, puoi utilizzare un'estensione come Akeeba backup.
Salva i tuoi file di backup in un luogo sicuro come il tuo PC, la tua NAS o dentro una chiavetta USB. Non lasciare mai i file di backup sul sito, rischieresti di farteli hackerare con la possibilità che vi siano state fatte delle modifiche come l’aggiunta di una backdoor per entrare ed uscire dal tuo sito lontano da sguardi indiscreti.
Monitora il tuo sito, vediamo quali strumenti posso aiutarci a tenere in sicurezza un sito web
Se il tuo sito web non funziona o è danneggiato, come fai a saperlo? Utilizza lo strumento StatusCake che monitora il tuo sito Web e ti avvisa tramite e-mail o SMS quando il sito Web non è raggiungibile, informandoti sul tipo di errore. Questo è uno strumento gratuito (per le più che sufficienti funzioni di base) e molto utile per intraprendere rapidamente le azioni necessarie alla rimessa on-line del sito.
Usa potenti estensioni di sicurezza
Nella JED troverai molte estensioni in grado di aiutarti a combattere vulnerabilità note e non, come attacchi di brute force e SQL Injections.Tra questi puoi provare, R Antispam, Incapsula, e Security Check.
Implementare l'autenticazione a due fattori
L'autenticazione a due fattori è un livello di sicurezza aggiuntivo che richiede non solo un nome utente e una password dall'utente, ma richiede anche un ulteriore informazione che solo quell'utente possiede.
Sarà un'informazione che solo l'utente dovrebbe conoscere o avere immediatamente a portata di mano come un token fisico o una OTP (One Time Password) generata casualmente.
OTP è un codice numerico a sei cifre che viene generato da funzioni crittografiche, valido solo pochi minuti. Anche se l'hacker ottenesse il nome utente e la password dell'amministratore di Joomla, avrebbe bisogno del codice OTP per accedere al sistema.
Lautenticazione a due fattori è disponibile in Joomla dalla versione 3.2.0.
Questi i passaggi per abilitare l'autenticazione a due fattori su un sito web realizzato con Joomla
- accedere al pannello di amministrazione
- Fare clic su Componenti >> Messaggi post-installazione
- Fare clic su Abilita autenticazione a due fattori
- Installa un client compatibile con Google Authenticator per il tuo dispositivo Android o iOS
Usa la certificazione SSL, il tuo sito sarà più sicuro con i dati crittografati
Usa il certificato SSL sul tuo sito e forza Joomla in modalità SSL sia lato sito che lato back-end.
Prima di abilitare la modalità SSL assicurati di aver configurato il certificato SSL per il dominio del tuo sito, altrimenti non sarai in grado di abilitare questa funzione.
Quando utilizzi un certificato SSL sul tuo sito Web, questo crittograferà il nome utente e la password dell'utente prima di inviarli al tuo server su Internet, impedendo così la codifica da parte di eventuali intercettatori.
Leggi il nostro post sul blog per sapere Come abilitare SSL sul sito Web Joomla?
Ultime considerazioni
Se segui questi semplici passaggi, le possibilità che il tuo sito realizzato con joomla sia violato diminuiscono e il tuo sito sarà più sicuro di prima che applicassi questi accorgimenti.
Sarai inoltre in grado di recuperare il tuo sito in modo rapido se questo venisse violato.