Aug 072010
- corretto ambiente di hosting
Un server configurato correttamente è altamente raccomandato per il tuo sito Joomla. Fate ospitare il vostro sito su un server che gira PHP in modalità CGI con su_php. Questo significa che PHP viene eseguito con il tuo account utente, invece di Apache globale dell’utente e non è necessario impostare le autorizzazioni di <in>sicurezza globale come quella di CHMOD 777.
a. Impostare register_globals OFF
b. Disabilitare allow_url_fopen
c. Regolare la direttiva magic_quotes_gpc come necessari per il vostro sito. L’impostazione consigliata per Joomla! 1.0.x è acceso per la protezione contro le estensioni mal scritta. Joomla! 1,5 ignora questa impostazione e funziona bene in entrambi i modi.
d. Non utilizzare PHP safe_mode - modificare il valore predefinito Database Prefix (jos_)
Durante l’installazione, modificare il prefisso database predefinito a qualcosa di casuale. Questo consentirà di evitare la maggior parte degli attacchi di iniezione SQL ad esempio gli hacker cercano di recuperare dettagli superadmin dalla tabella jos_users. - Disattiva FTP Layer
Durante l’installazione, non attivare il layer FTP perchè apre un buco potenziale di sicurezza in quanto i dati sono memorizzati in un file di configurazione in formato testo. Il layer FTP non è richiesto se il vostro hosting è configurato correttamente per Joomla. - Cambia superadministrator
Dopo l’installazione, modificare il nome utente per il super-amministratore. Per impostazione predefinita, è admin. Cambiarlo in qualcosa di strano come sito.amministra in modo che la coppia username / password diventi difficile da indovinare o crackare. - password forti
Utilizzare sempre password complesse per gli account amministratore. Un esempio di password forte è E@^M!<$9@k. È possibile utilizzare siti come www.strongpasswordgenerator.com per generare una password forte. E’ buona norma quella di proteggere con password la cartella di amministratore. Nel server Web Apache, è possibile effettuare questo con un file htaccess o in cPanel è possibile utilizzare l’opzione di direttorio protetto da password per impostare una password. Questo aggiungerà un ulteriore livello di username / password prima che qualcuno raggiunga i vostri dati admin Joomla. Inutile dire che bisogna avere questa password diversa dalla password di amministrazione di Joomla. - Abilita le URL SEF
La maggior parte degli hacker utilizza Google inurl: comando per cercare un exploit vulnerabile. Quindi abilitate gli URL SEF dalla configurazione del sito se si utilizza Joomla 1.5 per evitare questi attacchi. È inoltre possibile utilizzare delle estensioni come sh404sef o JoomSEF Free sia per Joomla 1.0 e Joomla 1.5. Questo impedirà agli hacker di trovare l’exploit ed in più avrai tutti i benefici di un sito ottimizzato SEO - Upgrade ad ultima versione di Joomla
Aggiornate sempre all’ultima versione di Joomla ed il più presto possibile. La versione corrente è 1.5.20. E? possibile iscriversi a http://feeds.joomla.org/JoomlaSecurityNews o http://feeds2.feedburner.com/joomlainblog feed per ricevere gli aggiornamenti sulle releases. Scaricare Joomla sempre dai siti ufficiali e verificare l’hash MD5 - Estensioni di terze parti
Ci sono più di 4000 estensioni disponibili per Joomla molte delle quali non commerciali. Ma non prendetela come una opportunità di installare estensioni non necessarie sul vostro sito. Ricordate che la maggior parte dei tentativi di hacking si verifica a causa di vulnerabilità in queste estensioni. Quindi, usare sempre le estensioni che sono popolari, che hanno un forte sostegno della comunità ed un certificato processo di sviluppo. - Permessi corretti per File/Cartelle
I permessi corretti per i vostri file/cartelle per il vostro sito joomla è:
* File PHP: 644
* I file di configurazione: 666
* Altre cartelle: è possibile 755
Cambiate i permessi dei i file e le cartelle utilizzando il vostro client FTP (opzione CHMOD). - Fare backup e prepararsi al peggio
Non è solo un attacco che rischia di compromettere il sito web, ma altri fattori come un aggiornamento difettoso o nuove estensione installate, guasti hardware, problemi di hosting provider. È quindi importante avere un backup aggiornato del vostro sito e provare a fare il restore per verificare il suo funzionamento ogni tanto, è possibile utilizzare Akeeba backup per queste esigenze una tra le migliori estensioni che fanno questo lavoro.
Article Source:
http://www.articlesbase.com/programming-articles/10-tips-to-secure-your-joomla-site-987902.html
Popular Posts:
- None Found