20 dicas de segurança do Joomla para segurança sólida contra hackers - um guia completo

Publicados: 2021-09-25

Você está procurando algumas dicas de segurança do Joomla? Nesse caso, este artigo é para você. Vamos cobrir 20 maneiras diferentes que ajudarão a proteger seu site Joomla contra hackers. Esses são métodos experimentados e testados que comprovadamente funcionam ao longo dos anos. Sendo assim, é vital seguir essas etapas se você quiser evitar ser hackeado a todo custo!

20 dicas de segurança do Joomla

1) Faça backups regulares

Os backups são uma etapa muito importante que todo usuário Joomla deve realizar. Sem backups, você não saberá o que aconteceu ao seu site se ele for hackeado ou se houver algum dano após uma atualização.

É também a melhor maneira de se recuperar de um hack, já que você pode simplesmente reverter para uma versão anterior e tentar novamente sem perder nenhum conteúdo valioso.

Backup do disco rígido em uma mesa

2) Prefixo das tabelas do banco de dados Joomla

É altamente recomendável sempre alterar o prefixo da tabela de banco de dados Joomla padrão. Ao alterar isso, você pode impedir que os hackers identifiquem facilmente as tabelas do seu site e, assim, impossibilite a invasão do seu banco de dados.

Para fazer isso, no cPanel, vá para a seção Bancos de dados MySQL> guia MyISAM> clique em Mostrar tudo, altere o prefixo (você pode configurar qualquer um que desejar) e clique em Salvar.

Também é recomendado fazer essas alterações na seção PHPMyAdmin se você estiver usando-o para gerenciar seus bancos de dados Joomla.

Você deve sempre verificar se tudo está funcionando corretamente após fazer esses tipos de alterações, executando uma consulta MySQL.

Relacionado: 25 dicas para melhorar a segurança do seu cPanel / WHM.

3) Mantenha seu site Joomla atualizado

Ao manter seu site Joomla atualizado, você está minimizando as chances de ser hackeado à medida que novas brechas de segurança são fechadas a cada atualização. Você deve sempre se certificar de que tudo está atualizado, verificando se há atualizações regularmente em Extensões> Gerenciador de extensão.

Se houver atualizações disponíveis, instale-as imediatamente e, se elas exigirem que você sobrescreva arquivos ou alterações no banco de dados, certifique-se de fazê-las.

Também é importante usar apenas fontes confiáveis ​​ao baixar extensões. Do contrário, você está colocando todo o seu site em risco ao instalar componentes / modelos comerciais desconhecidos ou não confiáveis.

Atualização datilografada em um pedaço de papel usando um escritor de datilografia

4) Ocultar sua versão do Joomla

É sempre uma boa ideia ocultar o número da versão do Joomla para que os hackers não possam descobrir quais vulnerabilidades foram corrigidas. Por exemplo, se você estiver executando o Joomla versão xyz e o último lançado for ABC, ocultar essas informações impedirá que invasores em potencial saibam quais exploits podem ser usados ​​contra o seu site.

5) Use .htaccess para implantar as configurações básicas

Você pode implantar algumas das configurações do Joomla usando o arquivo .htaccess. Este é um arquivo de texto simples que é colocado no nível da raiz do seu site e permite que você configure as opções do servidor apache para todo o site ou até mesmo diretórios específicos.

Alguns exemplos úteis são:

  • Prevenir a listagem de diretórios (que exibe todos os arquivos e pastas do site
  • Bloqueando o acesso direto a vários tipos de arquivo, como php, xml etc.
  • Proteger diretórios com senha via .htpasswd (esta é uma boa maneira de restringir o acesso a áreas confidenciais)
Pessoa escondida em uma caixa espreitando por um pequeno orifício

6) Use o plugin de autenticação de dois fatores do Joomla

Existem muitos plugins Joomla Two Factor Authentication disponíveis que você pode instalar rapidamente e aproveitar este nível adicional de segurança. Se um hacker conseguir obter seu nome de usuário / senha, ele ainda não poderá acessar o site, a menos que também tenha seu dispositivo ou código secundário, como um OTP (senha descartável) gerado pelo Google Authenticator.

Esses plug-ins tornarão seu site mais seguro, por isso é altamente recomendável adicionar a autenticação de dois fatores sempre que possível!

O mesmo vale para sua conta de hospedagem, certifique-se de usar autenticação de dois fatores via SSH se possível (ou qualquer outro método de sua preferência) para proteger o acesso completo e limitar as chances de ser hackeado.

página inicial de autenticação de dois fatores mini laranja

7) Restringir o acesso à área administrativa do Joomla

É uma boa idéia restringir o acesso à sua área administrativa do Joomla, permitindo apenas endereços IP confiáveis. Isso é feito por meio do arquivo .htaccess e você pode adicionar várias entradas, como a seguir:

Negar ordem, permitir
Negar de todos
Permitir de xx.xx.xx.xx

A primeira linha diz ao servidor para permitir o acesso e as linhas subsequentes definem quais IPs ou sub-redes são permitidos (começando com “permitir”).

Portão de estacionamento com acesso para recurso

8) Limite as tentativas de login no Joomla

Você deve limitar o número de tentativas de login com falha, pois isso pode ajudar a prevenir ataques de força bruta. Você pode fazer isso definindo um parâmetro de configuração específico em seu site Joomla (ou seja, máximo de logins com falha antes de bloquear um endereço IP).

Isso é feito em Sistema> Configuração global> Segurança e, em seguida, escolhendo quantas vezes os usuários podem falhar no login antes de serem bloqueados.

9) Use senhas fortes

Como acontece com qualquer site que contém informações confidenciais, como detalhes de login e dados de cartão de pagamento, é de vital importância usar senhas fortes.

As senhas fortes devem ter pelo menos 12 caracteres e incluir uma mistura de letras maiúsculas / minúsculas, números e símbolos especiais (por exemplo, ”£ $% ^ & *). Além disso, evite usar a mesma senha para serviços diferentes, pois isso tornará todos eles inseguros se uma conta for hackeada.

Também é importante que você não use a mesma senha para o seu site Joomla e e-mail porque os hackers são conhecidos por tentar combinações de nomes de usuário / senhas comuns, o que pode levar ao controle total da conta em alguns casos. Recomenda-se que cada serviço / site tenha sua própria senha exclusiva.

Existem muitas maneiras de gerenciar e lembrar a senha. Também é importante não anotar suas senhas em qualquer lugar que possa ser acessado por outras pessoas (incluindo em post-its colados no monitor ou sob os teclados).

Se desejar, existem muitas maneiras de armazenar senhas com segurança, o que inclui o uso de um Gerenciador de Senhas, como o conhecido LastPass. Isso é gratuito para uso pessoal, mas também há um serviço premium disponível se você precisar de recursos adicionais.

uma corrente travada em alguns telefones, computadores e livros

10) Defina as permissões de arquivo Joomla recomendadas

Quando você instala o Joomla, é recomendado definir as permissões de arquivo nos diretórios e arquivos do seu site corretamente. Não fazer isso permitirá que os hackers obtenham acesso completo e causem estragos, como inserir código malicioso em seu site ou acessar informações confidenciais, incluindo detalhes do banco de dados, nomes de usuário e senhas, etc.

No entanto, se as permissões forem muito restritivas, você poderá ter problemas ao tentar enviar, editar ou excluir arquivos / pastas.

11) Atualize a versão PHP do seu site Joomla

Joomla pode ser executado em várias versões do PHP, incluindo a última versão do PHP (ou seja, versão v.52), que é conhecido como Zend Guard Loader. Ele fornece aumentos de desempenho, recursos de segurança adicionais e correções de bugs em relação a versões mais antigas, como v.44.

Também é possível executar o Joomla em versões legadas anteriores, embora isso não seja recomendado, pois eles contêm vulnerabilidades de segurança e bugs conhecidos, que podem levar a um comprometimento total.

Além disso, também é importante notar que PHP v.52 é a única versão compatível com o lançamento mais recente do Joomla (ou seja, versão v.57). Todas as outras versões são consideradas sem suporte devido aos riscos de segurança potenciais envolvidos em seu uso.

Se você estiver hospedando seu site Joomla em um servidor Linux, certifique-se de que ele está executando uma pilha LEMP atualizada, que inclui Nginx, MariaDB e PHP.

12) Use hospedagem segura

Usando uma hospedagem segura que fornece um certificado SSL gratuito, bem como segurança avançada em nível de servidor, como proteção automática por firewall, backups diários externos e muito mais.

Basta escolher o plano que funciona melhor para você e instalar o Joomla ou WordPress seguindo nossos guias de instalação simples para começar imediatamente!

um telefone em um fundo amarelo com um cadeado na tela

13) Desabilite funções PHP perigosas

PHP possui uma variedade de funções integradas, como eval (), que permitem a você executar código PHP arbitrário. Isso é comumente usado por hackers para executar scripts maliciosos ou obter acesso aos arquivos / banco de dados do seu site.

Portanto, é recomendado que você desabilite funções PHP perigosas (se ainda não o fizeram) para evitar que invasores obtenham acesso e potencialmente comprometam seu site / servidor, etc.

14) Desativar injeções de script

As injeções de script permitem que os hackers injetem código malicioso no seu site, o que pode fazer com que eles manipulem a aparência das páginas da web, redirecionando os visitantes para outro lugar, roubando informações confidenciais, etc.

Muitos ataques de injeção de script podem ser evitados definindo variáveis ​​PHP do lado do servidor (por exemplo, através do arquivo .htaccess) que impedem a execução direta de qualquer arquivo na raiz do documento do servidor.

15) Fique atento a arquivos / atividades suspeitas

Você deve monitorar regularmente seu site em busca de atividades suspeitas (por exemplo, criação de novos arquivos, solicitações de acesso incomuns, etc.). Isso permite que você detecte violações antes que qualquer dano possa ser causado e também dá a você a chance de tentar remover hackers do sistema o mais rápido possível.

uma pessoa hackeando um computador no escuro

16) Filtrar comentários de spam no Joomla

Vale a pena mencionar que bots ruins podem ser muito irritantes e deixar comentários de spam no seu site.

Isso ocorre porque muitos deles rastreiam a web para fins de SEO e postam comentários / conteúdo para obter backlinks valiosos que ajudam a melhorar seus rankings em mecanismos de pesquisa (SEO).

Portanto, é recomendável instalar um plugin, como bb-botmanager, para filtrar comentários de spam e evitar que apareçam em seu site.

alguém filtrando café com um filtro de café

17) Use SSL para aumentar a segurança do Joomla

O SSL é recomendado para todos os sites atualmente e deve ser considerado um requisito básico.

Os certificados SSL fornecem uma conexão criptografada entre o seu servidor e o usuário final, o que ajuda a evitar que hackers interceptem informações confidenciais, como credenciais de login, etc.

18) Auditoria de segurança Joomla

Também vale a pena mencionar que você pode realizar uma auditoria de segurança do Joomla para identificar possíveis problemas / falhas que podem ser explorados por hackers.

Isso permite que você corrija quaisquer erros antes que eles sejam usados ​​no seu site e ajudará a manter o seu site seguro contra ataques futuros.

Se você gostaria de realizar sua própria auditoria de segurança, consulte nosso artigo de blog Executando uma auditoria de segurança para seu código: o básico.

19) Use um firewall

Uma das coisas mais importantes que você pode fazer para proteger o seu site Joomla é usar um firewall.

Um firewall basicamente bloqueia todo o tráfego não autorizado e impede que hackers tenham acesso ao seu servidor (por exemplo, por meio de scripts maliciosos, etc.).

Existem muitos firewalls disponíveis, como ModSecurity, Naxsi, Suhosin etc.

uma parede de tijolos

20) Remova plug-ins / temas desnecessários

Também é recomendado que você remova todos os plug-ins e temas desnecessários do Joomla, pois eles podem ser usados ​​para fins maliciosos por hackers para obter acesso não autorizado, injetar scripts em páginas da web, etc.

Perguntas frequentes

Por que o SSL é importante quando se trata de proteger um site Joomla?

Os certificados SSL fornecem uma conexão criptografada entre o seu servidor e o usuário final, o que ajuda a evitar que hackers interceptem informações confidenciais, como credenciais de login, etc.

Com que frequência devo monitorar meu (s) site (s) em busca de atividades suspeitas?

É recomendado que você monitore regularmente seus sites / sistemas para que quaisquer violações ou vulnerabilidades possam ser detectadas antes que qualquer dano possa ser feito, por exemplo, através de comentários de spam, ataques de injeção, explorações de acesso, etc. Isso permite que você tome medidas para corrigir os problemas rapidamente, em vez de do que esperar que os hackers os explorem e obtenham acesso, etc.

O que é um firewall e por que devo usá-lo?

Um firewall basicamente bloqueia todo o tráfego não autorizado e impede que hackers tenham acesso ao seu servidor (por exemplo, por meio de scripts maliciosos, etc.). Existem muitos firewalls disponíveis, como ModSecurity, Naxsi, Suhosin, etc.

Como você pode remover plugins / temas desnecessários no Joomla?

É recomendado que você remova todos os plug-ins e temas desnecessários de seu (s) site (s), pois eles podem ser usados ​​para fins maliciosos por hackers para obter acesso não autorizado, injetar scripts em páginas da web.

O Joomla é seguro para uso?

Joomla é um ótimo sistema de gerenciamento de conteúdo que oferece o melhor dos dois mundos em termos de facilidade de uso e flexibilidade. No entanto, como qualquer outro CMS por aí, nunca é 100% seguro, então você deve sempre tomar medidas para proteger seu site contra vulnerabilidades em potencial de hackers, etc.

O que é RSFirewall?

RSFirewall é um plug-in Joomla poderoso que fornece a capacidade de controlar e monitorar totalmente o acesso ao seu site por meio de uma interface fácil de usar. Você pode usá-lo para bloquear endereços IP, limitar o acesso por hora do dia, etc.

O que é ModSecurity?

O ModSecurity é um firewall de aplicativo da web de código aberto (WAF) que fornece a capacidade de controlar e monitorar o tráfego que entra / sai do (s) seu (s) servidor (es). É uma ferramenta poderosa para impedir que hackers tenham acesso ao seu site.

O que é uma auditoria de segurança e por que devo considerar a realização de uma em meu (s) site (s)?

Uma auditoria de segurança basicamente identifica vulnerabilidades / problemas que podem ser explorados por hackers. Ele permite que você corrija quaisquer erros antes que eles sejam usados ​​contra o seu site e ajudará a manter o seu site seguro contra ataques futuros.

Conclusão

Em conclusão, Joomla é um CMS muito popular que contém muitas vulnerabilidades de segurança. Como tal, é importante seguir as etapas práticas neste artigo para manter seu site seguro.

Mesmo que o Joomla já exista há algum tempo, ainda existem usuários / desenvolvedores que não levam a segurança a sério. Isso dá aos hackers acesso total aos seus servidores, sem qualquer resistência dos proprietários

Portanto, certifique-se de fazer tudo o que você precisa quando se trata de segurança do Joomla!