Seguranca joomla.jpeg

O Joomla é um dos CMS mais utilizados no mundo, por vários motivos: é gratuito, flexível, open source e bastante completo.

Por ser bastante adotado, é um alvo muito evidente para ataques e descoberta de vulnerabilidades. É preciso estar atento para evitar problemas, hacking, defaces, etc.

Aqui vão algumas dicas muito úteis para ter uma instalação segura do Joomla em sua conta.

Mantenha seu Joomla sempre atualizado:

Pode parecer redundante, mas a falta de atualização é atualmente uma das formas mais fáceis que os invasores encontram de causar um estrago no seu sistema. Mesmo assim tem muita gente não se atenta a isso. Tudo o que você instalar, seja plugin, tema ou semelhante está sujeito aos mesmos riscos de invasão, portanto esteja sempre atento aos sites dos desenvolvedores, pois seja por códigos mal desenvolvidos ou por brechas descobertas por crackers, rapidamente a comunidade atualiza a versão oficial da plataforma e a disponibiliza para seus usuários. Ficar um dia sequer sem a atualização do seu CMS pode expô-lo a falhas críticas de segurança.

A versão 1.5 do Joomla é totalmente obsoleta, evite essa versão de qualquer forma.

A versão 2.5 foi identificada uma falha onde todo o site é apagado, nenhum registro nos LOGs de FTP são encontrados. Isto nos leva a crer que a existe alguma vulnerabilidade que compromete os sites que utilizam a versão 2.5.X do Joomla.

Diversas vulnerabilidades para o Joomla 2.5.x estão listadas no endereço: http://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/version_id-129407/Joomla-Joomla–2.5.3.html

Nós recomendamos a utilização das novas versões a partir da 3.0.

Por que? Poderíamos elencar aqui facilmente uma lista com 10 motivos, mas primeiro frisamos a questão das atualizações do sistema, que contêm em sua essência correções das vulnerabilidades detectadas, além de eventuais novas funcionalidades. Fora disso, desde a versão 3.0 o Joomla passou a estar muito mais voltado à internet móvel através de seus layouts responsivos e começou a atingir um público-alvo menos experiente através de seu back-end muito mais amigável.

Como saber saber a versão do Joomla utilizada?

Essa informação fica disponível dentro da administração do Joomla.

Também é possível descobrir via SSH utilizando o comando:

grep version language/pt-BR/pt-BR.xml

Fique de olho nas extensões vulneráveis

Não adianta você manter seu Joomla atualizado, se você tem várias extensões instaladas que não estão devidamente atualizadas. A utilização de uma única extensão insegura coloca em perigo todo o seu site.

Para evitar isto você deve tomar as seguintes precauções:

  • Faça uma relação de todas as extensões que você utiliza e procure se informar de novas atualizações para elas;
  • Procure saber se as extensões que estão sendo utilizadas são seguras e se não são vulneráveis a ataques que comprometam o seu site.

Para isto procure sempre estar bem informado sobre possíveis extensões vulneráveis e verifique se há atualizações corrijam estas vulnerabilidades. Caso não tenha atualização, desinstale esta extensão imediatamente para não comprometer seu site.

Utilize o arquivo .htaccess fornecido na instalação

Sempre que você fizer uma instalação do Joomla, procure pelo arquivo htaccess.txt. Essa é a versão original do arquivo responsável pelas regras que ajudam a mitigar os ataques mais comuns. Basta renomeá-lo para “.htaccess”.

Lembrando que o uso do htaccess deve estar habilitado no apache, você pode verificar isso no Painel Hostnet usando o menu: Site >> Configurações extras

Permissão de escrita em diretórios

Geralmente usuários do Joomla acreditam ser mais fácil aplicar permissão de escrita para todos os diretórios de uma única vez ou para a raíz do site, entretanto se esquecem ( ou não sabem ) que essa ação pode abrir vulnerabilidades para a gravação nos diretórios. Por isso, recomendamos que aplique permissão de escrita apenas para diretórios que realmente necessitam.

Limite o acesso à área de administração (back-end)

Adicionar uma camada de segurança para acesso ao back-end é sempre recomendado. Isso pode ser feito limitando os IPs que possuem acesso a essa área. Caso isso não seja possível, a autenticação com um arquivo “.htaccess” já aumenta consideravelmente a segurança.

Digamos que você tenha uma área administrativa dentro da seguinte hierarquia: meusite.com.br/joomla/admin, onde system e admin são diretórios internos e apenas pessoas autorizadas podem acessar. É bem provável – e aconselhável – que você pretenda listar os IPs que estarão autorizados a acessá-los. Antes de tudo, para isso é necessário a utilização de um IP fixo para garantir que você estará fazendo o bloqueio devidamente. De posse de um IP fixo (usando para o exemplo abaixo o IP fictício 200.98.145.153), insira o seguinte conteúdo no arquivo .htaccess nativo da instalação do Joomla:

order deny, allow
deny from all
allow from 200.98.145.153

Cuidado com Plugins

É grande e bastante crescente o número de plugins e templates free com códigos maliciosos. Para se proteger contra esse tipo de ameaça, nada melhor que fazer uma breve pesquisa sobre problemas de vulnerabilidade já conhecidos. Vale muito mais a pena gastar uns dez minutos com esse tipo de cautela do que colocar em risco um projeto inteiro.

Configure as URLs amigáveis nas configurações globais

Diversos ataques a sites Joomla são feitos a partir de uma pesquisa no Google por uma determinada vulnerabilidade, ou seja, o atacante conhece a vulnerabilidade “X” de um plugin e descobriu que a URL para explorá-la é “/com_plugin?nomedapagina.php?id=123&x=456”, ele irá realizar a pesquisa por essa URL. Usando este padrão de URL é bem provável que seu site seja localizado. Utilizar URL amigável faz com que você “oculte” sua vulnerabilidade, caso ela exista. Verifique também o arquivo robots.txt do seu site para certificar-se de que somente as páginas autorizadas estão sendo indexadas pelo motor de buscas do Google.

Instale apenas o necessário

Desinstale todas as extensões que você não irá utilizar em seu projeto. Desde os componentes do núcleo do Joomla até os templates que estão sobrando. Observe, por exemplo, que ao instalar o editor JCE você estará reinstalando o editor WYSIWYG TinyMCE, pois ele funciona encapsulado no JCE. Joomla vem com o editor TinyMCE instalado como editor padrão, então você terá duas instalações TinyMCE.

Desativar o registro / login

Se o seu website não terá conteúdo restrito ou cadastro de usuários, desabilite o módulo Login form .

Usuário para administração

Na maioria dos blogs com WordPress o usuário padrão é o “admin”, o que torna mais fácil a invasão por força bruta. Caso o seu usuário seja esse, recomendamos que altere para outro usuário menos sugestivo.
Para fazer isso crie um novo usuário e dê a ele a permissão de “Administrador”. Em seguida, logue-se com este novo usuário e apague o usuário admin.
Para tornar o blog mais seguro, é recomendável que a senha seja forte, com duas ou mais palavras, números e caracteres especiais. Por exemplo *H0$tN3t*

Anti vírus

Mantenha seu sistema operacional atualizado, passe regulamente antivírus em sua máquina, e não salve sua senha em seu computador.

Páginas Relacionadas: