Tutorial sulla sicurezza di Joomla!
Questo tutorial riguarda i seguenti argomenti:
Come tutte le altre applicazioni open source, Joomla! è soggetto a diversi tipi di attacchi. Per questo motivo è importante intraprendere tutte le possibili misure per proteggere il tuo sito Joomla! e migliorare la sua sicurezza. Segui le istruzioni di questo tutorial per ridurre le possibilità di subire un attacco sul tuo sito.
Mantieni aggiornati Joomla! e le sue estensioni
Probabilmente la parte più importante per rendere sicuro il tuo sito Joomla! è di mantenerlo sempre aggiornato all’ultima versione. In quasi tutte le nuove versioni ci sono risoluzioni per problemi di sicurezza. Per maggiori informazioni su come aggiornare Joomla! all’ultima versione puoi consultare il nostro Tutorial sull’aggiornamento di Joomla!.
Mantenere le estensioni di Joomla! aggiornate è di uguale importanza per la sicurezza del tuo sito. In realtà, ci sono più attacchi che sfruttano bug di sicurezza nelle estensioni rispetto ai file di core di Joomla!. Per maggiori informazioni, su come mantenere aggiornati i tuoi componenti, i moduli e i plugin di Joomla!, fai riferimento al nostro tutorial su Come aggiornare le estensioni di Joomla!.
Scarica le estensioni e i temi solo da repository ufficiali
È molto importante utilizzare sempre e solo estensioni, temi, componenti, moduli e plugin scaricati da fonti ufficiali. I file che vengono scaricati da fonti non ufficiali spesso vengono modificati inserendo codice aggiuntivo con backdoors per utenti malintenzionati che possono infettare il sito stesso.
Usa dati di accesso sicuri
Prima di tutto, dovresti evitare di utilizzare nomi utente di default come “admin” o “administrator”, in quanto sono i primi tentativi che un ipotetico attacker farebbe.
Poi, è importante avere una password forte per gli utenti amministrativi del sito. Molti utenti malintenzionati eseguono tentativi brute-force per individuare i dati di accesso. Questo significa che utilizzano una lista delle password usate più di frequente per tentare di indovinare la tua. Vi sono molti suggerimenti che possono aiutare a proteggerti contro questi attacchi:
- Non usare parole di senso compiuto per le password come amore, dio, pass, admin, admin123, ecc..
- Evita informazioni personali come il tuo nome o cognome.
- Evita generatori di password. I generatori di password usano algoritmi per generare le password che potrebbero essere compromessi da utenti malintenzionati.
- Usa il più possibile caratteri speciale ( *!@#)$ ), numeri e maiuscole nella tua password.
Usa permessi e proprietari appropriati per i file
Un’altra parte importante di avere un sito Joomla! sicuro, è quello di impostare i permessi corretti per i tuoi file e cartelle di Joomla! Ti raccomandiamo di seguire questi suggerimenti per i tuoi permessi:
- Imposta i permessi per le tue cartelle Joomla! a 755
- Imposta i permessi per i file di Joomla! a 644
- Imposta i permessi del file configuration.php a 444
- Non usare mai permessi 777 (accesso completo)!
Per ulteriori informazioni su come modificare i permessi di file e cartelle, consulta il nostro articolo sui permessi dei file.
Utilizza estensioni di sicurezza di Joomla!
Utilizzare le estensioni di sicurezza di Joomla! è un modo semplice per migliorare la sicurezza del tuo sito Joomla!. Qui sotto troverai una lista delle estensioni di sicurezza per Joomla! più utilizzate:
Fai spesso un backup al tuo sito Joomla!
È essenziale eseguire il backup del sito Joomla! il più spesso possibile. Dovresti sempre tenere una copia di backup dei tuoi file e database Joomla! sul tuo computer locale in caso di emergenza. Per maggiori informazioni sul backup di Joomla!, consulta il nostro tutorial su come eseguire il backup di Joomla!.
Proteggi la tua area amministrativa
Puoi migliorare fortemente la sicurezza del tuo sito Joomla! se limiti l’accesso alla tua area amministrativa. Per prima cosa, puoi proteggere con password la cartella /administrator del tuo sito. Per far ciò seguire le istruzioni in questo tutorial. Una volta inserita la protezione per la cartella /administrator ti verrà richiesta una seconda password prima di poter visualizzare il normale modulo di login.
Poi, puoi limitare l’accesso alla cartella /administrator al tuo solo indirizzo IP. Se non è presente un file chiamato “.htaccess” nella cartella /administrator, creane uno oppure caricalo tramite FTP, altrimenti aggiungi semplicemente queste righe alla fine del file .htaccess:
Deny from ALL
Allow from x.x.x.xDovrai modificare x.x.x.x con il tuo indirizzo IP pubblico. Per individuare l’indirizzo IP, potrai utilizzare ad esempio il sito What Is My IP. Per aggiungere più di un indirizzo IP, sarà sufficiente ripetere il comando Allow from x.x.x.x in una nuova riga sottostante e cambiare l’indirizzo ip.