Stampa

Estensioni Vulnerabili e Sicurezza di Joomla

Postato in Tips & Tricks

Vi è mai capitato di vedere la Gestione redirect e trovarvi degli Url strani?

Ebbene qualcuno sta cercando di attaccare il vostro sito web!

La cosa non è da sottovalutare, ma nemmeno da disperarsi esageratamente.

Basta prendere qualche accortezza:

  • Buon senso
  • Password difficili e cambiate con frequenza
  • Tenete aggiornato Joomla all'ultima versione stabile
  • Controllate se esistono aggiornamenti delle estensioni che avete installato
  • Controllate le estensioni vulnerabili

Partiamo da Buon senso...
Sembra ormai scontato dirlo ma ci sono ancora tante persone che non fanno caso a semplici accorgimenti:
- Non scrivete le password del vostro computer/mail/sitoweb su post-it o fogli volanti
- Non salvate le password su computer non vostri
- Se dovete far entrare qualche amico con il vostro account cambiate la password temporaneamente e dategli quella, dopodiché ricambiatela
- Se malauguratamente vi rubano un computer cambiate tutte la password

La password e la sua complessità:
Una password complessa è composta da lettere maiuscole e minuscole, numeri e caratteri speciali, ma sopratutto deve essere lunga almeno 6, meglio 8, caratteri.
Sembra sempre un odissea creare una nuova password, ma sono minuti ben spesi.
Se inoltre volete avere un idea di quanto è sicura la vostra password vi consigliamo di visitare howsecureismypassword.net
Non usate password uguali ad username, sito web per il quale servono, vostra data di nascita, nome della vostra fidanzata/fidanzato/cane/gatto. Trovare informazioni su di voi è facile ormai, basta pensare a quanta gente avete come amici su facebook e quanti sono gli amici dei vostri amici...

E' inoltre importante cambiare password con una frequenza periodica in modo che chiunque l'abbia scoperta e attenda il momento opportuno per fare danni rimanga con un pugno di mosche.

Un esempio di come varia la complessità di una password:

PasswordTempo di scoperta
razzoorg 13 minuti
razzo.org 35 giorni
Razzo.Org 5 anni
R4zzo.Org 19 anni
-R4zzo.0rg- 809 mila anni

Tenere aggiornato Joomla! all'ultima versione è importante per evitare che eventuali falle nel CMS vengano sfruttate contro il vostro sito web. L'operazione di aggiornamento è semplice da utilizzare e nelle ultime versioni può anche essere fatta direttamente dal pannello di amministrazione senza bisogni do dover scaricare nulla.

cosa ancora più importante è aggiornare le estensioni che avete installato. Non solo quelle che usate, ma tutte quelle che avete installato anche solo per fare dei test. Ciò per evitare che vengano sfruttati i problemi di sicurezza di queste ultime.

E ora passiamo alla cosa più importante e meno scontata: le estensioni vulnerabili!!!
Nella documentazione di joomla è presente un elenco aggiornato delle estensioni vulnerabili, lo troviamo al seguente link: http://docs.joomla.org/Vulnerable_Extensions_List
Questo elenco ci permette di sapere quale vulnerabilità sono state scoperte ed eventualmente come correggerle. Controllarlo con una buona frequenza è una cosa importante per valutare se eliminare un componente dal nostro sito web.

E' inoltre possibile tenersi aggiornati sulle estensioni vulnerabili attraverso il feed RSS

 

Infine ecco una piccola guida su come riconoscere un url che corrisponde a un tentativo di attacco:
- si presentano come url diretti a un componente/plughin
- è palese che l'utente non ha sbagliato a digitare una parola nell'url
- sono spesso url molto lunghi
- contengono ".php?...&..." nonostante avete abilitato la riscrittura degli url attraverso htaccess
- contengono parole come "select" e "union", magari scritte con maiuscole e minuscole
- contengono "../../../"
- contengono link ad "administrator" o a file "conf" oppure "config"

L'idea alla base di questi attacchi è quella di fare una richiesta illecita insieme ad un altra consentita da una delle estensioni.
Se per esempio un estensione permette di fare interrogazioni dirette sul database e ne restituisce il risultato basterà mettere come campo di ricerca un altra interrogazione che punta a dei dati sensibili sul database. Discorso simile vale per l'accesso ai file di configurazione presenti sul server (conf e config).

Artisteer - Web Design Generator