• Homepage
  • Articoli
  • SEO
  • 20 consigli sulla sicurezza di Joomla per una sicurezza solida contro gli hacker: una guida completa

20 consigli sulla sicurezza di Joomla per una sicurezza solida contro gli hacker: una guida completa

Pubblicato: 2021-09-25

Stai cercando alcuni suggerimenti per la sicurezza di Joomla? Se è così, questo articolo è per te. Copriremo 20 modi diversi che ti aiuteranno a proteggere il tuo sito Joomla dagli hacker. Questi sono metodi collaudati che hanno dimostrato di funzionare nel corso degli anni. Pertanto, è fondamentale eseguire questi passaggi se si desidera evitare a tutti i costi di essere hackerati!

20 consigli per la sicurezza di Joomla

1) Eseguire backup regolari

I backup sono un passaggio molto importante che ogni utente Joomla dovrebbe compiere. Senza backup, non saprai cosa è successo al tuo sito se viene violato o se si verificano danni dopo un aggiornamento.

È anche il modo migliore per riprendersi da un hack, poiché puoi semplicemente tornare a una versione precedente e riprovare senza perdere alcun contenuto prezioso.

Backup del disco rigido su una scrivania

2) Prefisso delle tabelle del database Joomla

Si consiglia vivamente di modificare sempre il prefisso della tabella del database Joomla predefinito. Modificando questo, puoi impedire agli hacker di identificare facilmente le tabelle del tuo sito e quindi impedire loro di hackerare il tuo database.

Per fare ciò, in cPanel vai nella sezione Database MySQL> scheda MyISAM> fai clic su Mostra tutto, quindi modifica il prefisso (puoi impostarne uno casuale che ti piace) e fai clic su Salva.

Si consiglia inoltre di apportare queste modifiche anche nella sezione PHPMyAdmin se la si utilizza per la gestione dei database Joomla.

Dovresti sempre controllare che tutto funzioni correttamente dopo aver apportato questo tipo di modifiche eseguendo una query MySQL.

Correlati: 25 suggerimenti per migliorare la sicurezza di cPanel/WHM.

3) Mantieni aggiornato il tuo sito web Joomla

Mantenendo aggiornato il tuo sito Joomla, riduci al minimo le possibilità di essere violato poiché nuove falle di sicurezza vengono chiuse con ogni aggiornamento. Dovresti sempre assicurarti che tutto sia aggiornato controllando regolarmente la disponibilità di aggiornamenti tramite Estensioni > Gestione estensioni.

Se sono disponibili aggiornamenti, installali immediatamente e, se richiedono la sovrascrittura di file o modifiche al database, assicurati di eseguirli.

È anche importante utilizzare solo fonti attendibili durante il download delle estensioni. In caso contrario, stai mettendo a rischio l'intero sito Web installando componenti/modelli commerciali sconosciuti o non attendibili.

Aggiornamento digitato su un pezzo di carta utilizzando un type writer

4) Nascondi la tua versione di Joomla

È sempre una buona idea nascondere il numero di versione di Joomla in modo che gli hacker non possano scoprire quali vulnerabilità sono state risolte. Ad esempio, se stai utilizzando la versione Joomla xyz e l'ultima rilasciata è ABC, nascondere queste informazioni impedirà ai potenziali aggressori di sapere quali exploit possono essere utilizzati contro il tuo sito.

5) Usa .htaccess per distribuire le impostazioni di configurazione di base

Puoi distribuire alcune delle tue impostazioni di configurazione di Joomla utilizzando il file .htaccess. Questo è un semplice file di testo che viene posizionato al livello principale del tuo sito Web e ti consente di configurare le opzioni del server Apache per l'intero sito o anche per directory specifiche.

Alcuni esempi utili sono:

  • Prevenzione dell'elenco delle directory (che visualizza tutti i file e le cartelle sul sito Web
  • Blocco dell'accesso diretto a vari tipi di file come php, xml ecc.
  • Directory di protezione con password tramite .htpasswd (questo è un buon modo per limitare l'accesso alle aree sensibili)
Persona nascosta in una scatola che sbircia da un piccolo foro

6) Usa il plugin di autenticazione a due fattori di Joomla

Sono disponibili molti plug-in di Joomla Two Factor Authentication che puoi installare rapidamente e sfruttare questo ulteriore livello di sicurezza. Se un hacker riesce a impossessarsi del tuo nome utente/password, non può comunque accedere al sito a meno che non disponga anche del tuo dispositivo o codice secondario, come una OTP (password monouso) generata da Google Authenticator.

Questi plugin renderanno il tuo sito più sicuro, motivo per cui si consiglia vivamente di aggiungere l'autenticazione a due fattori ove possibile!

La stessa cosa vale per il tuo account di hosting, assicurati di utilizzare l'autenticazione a due fattori tramite SSH, se possibile (o qualsiasi altro metodo che preferisci) per proteggere l'accesso completo e limitare le possibilità di essere violato.

mini home page di autenticazione a due fattori arancione

7) Limita l'accesso all'area di amministrazione di Joomla

È una buona idea limitare l'accesso alla tua area amministrativa di Joomla consentendo solo indirizzi IP affidabili. Questo viene fatto tramite il file .htaccess e puoi aggiungere più voci, come segue:

Ordine Nega, Consenti
Rifiutato da tutti
Consenti da xx.xx.xx.xx

La prima riga dice al server di consentire l'accesso e quindi le righe successive definiscono quali IP o sottoreti sono consentiti (iniziando con "allow").

Cancello parcheggio accesso ricorso

8) Limitare i tentativi di accesso in Joomla

Dovresti limitare il numero di tentativi di accesso falliti in quanto ciò può aiutare a prevenire attacchi di forza bruta. Puoi farlo impostando un parametro di configurazione specifico nel tuo sito Joomla (es. numero massimo di accessi falliti prima di bloccare un indirizzo IP).

Questo viene fatto tramite Sistema> Configurazione globale> Sicurezza e quindi scegliendo quante volte gli utenti possono fallire gli accessi prima di essere bloccati.

9) Usa password complesse

Come con qualsiasi sito Web che contiene informazioni sensibili, come i dettagli di accesso e i dati della carta di pagamento, è di vitale importanza utilizzare password complesse.

Le password complesse devono essere composte da almeno 12 caratteri e includere un misto di lettere maiuscole/minuscole, numeri e simboli speciali (ad es. !”£$%^&*). Evita anche di utilizzare la stessa password per servizi diversi poiché ciò li renderebbe tutti insicuri se un account viene violato.

È anche importante non utilizzare la stessa password per il tuo sito Joomla e la posta elettronica perché è noto che gli hacker provano combinazioni comuni di nomi utente/password, che in alcuni casi possono portare al completo acquisizione dell'account. È consigliabile che ogni servizio/sito abbia la propria password univoca.

Ci sono molti modi per gestire e ricordare i pass. È anche importante non annotare le tue password ovunque possano essere accessibili da altri (compresi i post-it attaccati al monitor o sotto le tastiere).

Se lo desideri, ci sono molti modi per archiviare le password in modo sicuro, incluso l'utilizzo di un gestore di password, come il noto LastPass. Questo è gratuito per uso personale, ma è disponibile anche un servizio premium se hai bisogno di funzionalità aggiuntive.

una catena bloccata su alcuni telefoni, computer e libri

10) Imposta le autorizzazioni consigliate per i file Joomla

Quando installi Joomla si consiglia di impostare correttamente i permessi dei file nelle directory e nei file del tuo sito web. Non farlo consentirà agli hacker di ottenere l'accesso completo e provocare il caos, come l'inserimento di codice dannoso nel tuo sito o l'accesso a informazioni sensibili, inclusi dettagli del database, nomi utente e password, ecc.

Tuttavia, se le autorizzazioni sono troppo restrittive, potresti riscontrare problemi durante il tentativo di caricare, modificare o eliminare file/cartelle.

11) Aggiorna la versione PHP del tuo sito web Joomla

Joomla può essere eseguito su più versioni di PHP inclusa l'ultima versione di PHP (ovvero la versione v.52), nota come Zend Guard Loader. Fornisce miglioramenti delle prestazioni, funzionalità di sicurezza aggiuntive e correzioni di bug rispetto alle versioni precedenti, come la v.44.

È anche possibile eseguire Joomla su versioni legacy precedenti, sebbene ciò non sia raccomandato in quanto contengono vulnerabilità e bug di sicurezza noti, che possono portare a un completo compromesso.

Inoltre, vale anche la pena notare che PHP v.52 è l'unica versione supportata dall'ultima versione di Joomla (ovvero la versione v.57). Tutte le altre versioni sono considerate non supportate a causa dei potenziali rischi per la sicurezza coinvolti nel loro utilizzo.

Se stai ospitando il tuo sito web Joomla su un server Linux, assicurati che stia eseguendo uno stack LEMP aggiornato, che includa Nginx, MariaDB e PHP.

12) Usa hosting sicuro

Utilizzo di un hosting sicuro che fornisce un certificato SSL gratuito e una sicurezza avanzata a livello di server, come protezione firewall automatica, backup offsite giornalieri e molto altro.

Scegli semplicemente il piano che funziona meglio per te e installa Joomla o WordPress seguendo le nostre semplici guide di installazione per iniziare subito!

un telefono su sfondo giallo con un lucchetto sullo schermo

13) Disabilita le funzioni PHP pericolose

PHP ha una varietà di funzioni integrate come eval() che ti consentono di eseguire codice PHP arbitrario. Questo è comunemente usato dagli hacker per eseguire script dannosi o accedere ai file/database del tuo sito web.

Pertanto si consiglia di disabilitare le funzioni PHP pericolose (se non lo sono già) per impedire agli aggressori di ottenere l'accesso e potenzialmente compromettere il tuo sito Web/server, ecc.

14) Disabilitare le iniezioni di script

Le iniezioni di script consentono agli hacker di iniettare codice dannoso nel tuo sito Web, il che può portarli a manipolare l'aspetto delle pagine Web, reindirizzare i visitatori altrove, rubare informazioni sensibili ecc.

Molti attacchi di script injection possono essere prevenuti impostando variabili PHP lato server (ad esempio tramite file .htaccess) che impediscono l'esecuzione diretta di qualsiasi file nella radice dei documenti del server.

15) Guarda per file/attività sospetti

Dovresti monitorare regolarmente il tuo sito web per attività sospette (ad es. creazione di nuovi file, richieste di accesso insolite, ecc.). Ciò consente di rilevare le violazioni in anticipo prima che possano essere arrecati danni e offre anche la possibilità di provare a rimuovere gli hacker dal sistema il più rapidamente possibile.

una persona che hackera un computer al buio

16) Filtra i commenti spam in Joomla

Vale la pena ricordare che i bot dannosi possono essere piuttosto fastidiosi e lasciare commenti spam sul tuo sito web.

Questo perché molti di loro scansionano il web per scopi SEO e pubblicheranno commenti/contenuti al fine di ottenere preziosi backlink che aiutano a migliorare il loro posizionamento nei motori di ricerca (SEO).

Pertanto si consiglia di installare un plug-in, come bb-botmanager, per filtrare i commenti spam e impedire che appaiano sul tuo sito.

qualcuno che filtra il caffè con un filtro da caffè

17) Usa SSL per aumentare la sicurezza di Joomla

SSL è raccomandato per ogni sito web in questi giorni e dovrebbe essere considerato come un requisito di base.

I certificati SSL forniscono una connessione crittografata tra il tuo server e l'utente finale che aiuta a impedire agli hacker di intercettare informazioni sensibili come credenziali di accesso, ecc.

18) Controllo della sicurezza di Joomla

Vale anche la pena ricordare che è possibile eseguire un audit di sicurezza di Joomla per identificare potenziali problemi/difetti che potrebbero essere sfruttati dagli hacker.

Ciò ti consente di correggere eventuali errori prima che vengano utilizzati contro il tuo sito e ti aiuterà a proteggere il tuo sito Web da attacchi futuri.

Se desideri eseguire il tuo controllo di sicurezza, dai un'occhiata al nostro articolo sul blog Esecuzione di un controllo di sicurezza per il tuo codice: le basi.

19) Usa un firewall

Una delle cose più importanti che puoi fare per proteggere il tuo sito web Joomla è utilizzare un firewall.

Un firewall blocca sostanzialmente tutto il traffico non autorizzato e impedisce agli hacker di accedere al tuo server (ad es. tramite script dannosi, ecc.).

Sono disponibili molti firewall, come ModSecurity, Naxsi, Suhosin ecc.

un muro di mattoni

20) Rimuovi plugin/temi non necessari

Si consiglia inoltre di rimuovere tutti i plugin e i temi non necessari da Joomla in quanto potrebbero essere utilizzati per scopi dannosi dagli hacker per ottenere accessi non autorizzati, inserire script nelle pagine Web, ecc.

FAQ

Perché SSL è importante quando si tratta di proteggere un sito Joomla?

I certificati SSL forniscono una connessione crittografata tra il tuo server e l'utente finale, che aiuta a impedire agli hacker di intercettare informazioni sensibili, come credenziali di accesso, ecc.

Con quale frequenza devo monitorare i miei siti Web per rilevare attività sospette?

Si consiglia di monitorare regolarmente i propri siti/sistemi in modo che eventuali violazioni o vulnerabilità possano essere rilevate in anticipo prima che possano essere arrecati danni, ad esempio tramite commenti spam, attacchi di iniezione, exploit di accesso, ecc. Ciò consente di adottare misure per risolvere i problemi rapidamente piuttosto che piuttosto che aspettare che gli hacker li sfruttino e ottengano l'accesso, ecc.

Che cos'è un firewall e perché dovrei usarne uno?

Un firewall blocca sostanzialmente tutto il traffico non autorizzato e impedisce agli hacker di accedere al tuo server (ad es. tramite script dannosi, ecc.). Sono disponibili molti firewall come ModSecurity, Naxsi, Suhosin, ecc.

Come puoi rimuovere plugin/temi non necessari in Joomla?

Si consiglia di rimuovere tutti i plug-in e i temi non necessari dai siti Web in quanto potrebbero essere utilizzati per scopi dannosi dagli hacker per ottenere accessi non autorizzati e inserire script nelle pagine Web.

Joomla è sicuro da usare?

Joomla è un ottimo sistema di gestione dei contenuti che offre il meglio di entrambi i mondi in termini di facilità d'uso e flessibilità. Tuttavia, proprio come qualsiasi altro CMS là fuori, non è mai sicuro al 100%, quindi dovresti sempre prendere provvedimenti per rafforzare il tuo sito contro potenziali vulnerabilità degli hacker, ecc.

Cos'è RSFirewall?

RSFirewall è un potente plug-in Joomla che ti offre la possibilità di controllare e monitorare completamente l'accesso al tuo sito tramite un'interfaccia facile da usare. Puoi usarlo per bloccare gli indirizzi IP, limitare l'accesso in base all'ora del giorno, ecc.

Cos'è ModSecurity?

ModSecurity è un firewall per applicazioni web (WAF) open source che ti offre la possibilità di controllare e monitorare il traffico in entrata/uscita dai tuoi server. È un potente strumento per impedire agli hacker di accedere al tuo sito.

Che cos'è un controllo di sicurezza e perché dovrei considerare di eseguirne uno sui miei siti?

Un audit di sicurezza identifica fondamentalmente vulnerabilità/problemi che potrebbero essere sfruttati dagli hacker. Ti consente di correggere eventuali errori prima che vengano utilizzati contro il tuo sito e ti aiuterà a proteggere il tuo sito Web da attacchi futuri.

Conclusione

In conclusione, Joomla è un CMS molto popolare che contiene molte vulnerabilità di sicurezza. Pertanto, è importante seguire i passaggi pratici in questo articolo per proteggere il tuo sito web.

Anche se Joomla è in circolazione da un po' di tempo, ci sono ancora utenti/sviluppatori che non prendono abbastanza sul serio la sicurezza. Ciò consente agli hacker di avere pieno accesso ai propri server senza alcuna resistenza da parte dei proprietari

Quindi assicurati di fare tutto ciò che devi fare quando si tratta di sicurezza di Joomla!