Hardening Joomla con Admin Tools

13 luglio 2011

Sicurezza

La sezione sicurezza visualizzata in figura 3 offre cinque funzionalità: Modalità d’emergenza Off-line, Password Principale, Applicazione password amministrativa, Modifica del prefisso delle tabelle del database e gestion dell’ID Super Administrator.

Figura 3. Admin tools sicurezza

Admin tools sicurezza

Tramite l’ausilio della “Modalità Off-Line di Emergenza” potremo impedire l’accesso al sito a tutti gli utenti, che non provengono dall’indirizzo IP utilizzato per l’attivazione della modalità Off-line di Emergenza, naturalmente se non si ha a disposizione un indirizzo IP statico (come per le connessioni domestiche), tale funzionalità potrà provocare dei problemi di accesso, comunque facilmente risolvibili, di fatto si dovrà avere l’accortezza di andare a modificare manualmente il file “.htaccess” contenuto nella cartella principale di Joomla utilizzando un qualsiasi client FTP.

Per attivare la funzionalità occorrerà selezionare il tasto “Imposta il sito Non in Linea (Offline)” all’interno del menù “Modalità Off-Line di Emergenza”, così come evidenziato dalla figura 4.

Figura 4. Modalità Off-Line di Emergenza

Modalità Off-Line di Emergenza

Password Principale

La seconda funzionalità messa a disposizione dal menu Sicurezza prevede la possibilità di impostare una password per poter proteggere alcune funzionalità come gli strumenti del database, la Modalità Off-line di Emergenza vista precedentemente, la Blacklist e Whitelist per gli IP (funzione prevista nella versione professional del componente) ecc., supponendo di voler abilitare la protezione alla funzionalità vista in precedenza, occorrerà abilitare in corrispondenza della voce “Modalità Off-Line di Emergenza” l’opzione “Yes”, scegliendo una password (se ancora non lo si è fatto) e successivamente confermare il tutto cliccando sul tasto “Salva e Chiudi” così come mostrato in figura 5. È importante precisare che la password impostata è totalmente indipendente dalla password di amministratore del CMS.

Figura 5. Password Principale

Password Principale

Naturalmente da questo momento in poi, si potranno utilizzate le applicazioni protette solo, ed esclusivamente conoscendo la password d’amministrazione di Admin Tools.

Applicazione password amministrativa

Un ulteriore livello di sicurezza per l’amministrazione del sistema ci viene offerto dalla funzionalità “Applicazione password amministrativa“, attraverso la quale possiamo proteggere con una password le diverse sezione dell’amministratore, il vantaggio di questa password è che va a lavorare a livello del file .htaccess, naturalmente occorrerà che il server web ospitante il nostro CMS supporti tale modalità di protezione. Sarà necessario fornire una username ed una password da utilizzare per l’accesso alle varie sezioni.

Prefisso tabelle database

Uno dei primi attacchi che viene eseguito ai danni di Joomla dai cracker consiste nel cercare di alterare il contenuto del database, un metodo per rendere difficile quest’attacco è quello di non utilizzare il prefisso di default “jos_” per le tabelle, ma adoperarne uno diverso, per poter eseguire la modifica in corso d’opera Admin Tools ci mette a disposizione la funzione “Modifica prefisso tabelle Database“, una volta selezionata tale opzione occorrerà scegliere il nuovo prefisso da utilizzare per le tabelle e confermare il tutto tramite il tasto “Modifica il mio Prefisso“, automaticamente il componente provvederà alla ridenominazione del prefisso delle tabelle del nostro database utilizzato per Joomla.

Figura 6. Modifica prefisso tabelle

Modifica prefisso tabelle

ID Super Administrator

Altre tecnica di hacking ai danni del CMS Joomla è quella basata sull’utilizzo dell’ID 42, ovvero l’ID associato all’utente superadministrator, in passato alcune tecniche d’attacco prevedevano di sfruttare tale ID per prendere il pieno controllo dello spazio web amministrato con Joomla. Uno dei possibili rimedi a questo problema è quello di cancellare l’ID 42 e/o 62, occorre puntualizzare che verrà cancellato solo ed esclusivamente l’ID associato all’utente superamministratore, mentre nome utente e password resteranno invariate.

Se vuoi aggiornamenti su Hardening Joomla con Admin Tools inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su Hardening Joomla con Admin Tools

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy