Aggiornamenti
Controllare regolarmente la versione di Joomla installata per evitare l’utilizzo di una versione vecchia e non aggiornata è la più importante delle azioni da effettuare per garantire la sicurezza al proprio sito web.
Per verificare l’eventuale presenza di aggiornamenti è sufficiente accedere al Pannello di controllo e visualizzare i messaggi di disponibilità di nuovi aggiornamenti sia delle estensioni sia del core di Joomla.
Verifica delle vulnerabilità note
Joomla utilizza delle mailing list per tenere aggiornati gli utenti in caso di vulnerabilità di sicurezza presenti nel core o nelle estensioni. Iscriversi a queste liste per ricevere le notifiche può essere un buon modo di tenere sotto controllo i rilasci delle correzioni di sicurezza.
Password amministrativa sicura
La best practice più efficace per creare una password sicura è quella della lunghezza: utilizzate una password lunga con tante variazioni di caratteri per evitare i cosidetti attacchi “brute-force” (ovvero l’utilizzo di script da parte degli hacker per indovinare le combinazioni di caratteri più utilizzate nelle password).
Backup
Tutti i profili di hosting di Host forniscono un servizio di backup automatico giornaliero con una retention fino a 90 giorni. Questo è già un ottimo modo per mantenere al sicuro i dati dei propri siti web.
Se volete aggiungere una maggiore sicurezza al servizio di backup incluso nel vostro profilo di hosting, vi consigliamo di utilizzare dei backup personali con l’estensione più utilizzata per i siti Joomla, ovvero Akeeba Backup.
Permessi su file e Cartelle
In tutti i CMS, Joomla compreso, è possibile impostare diversi livelli di accesso a file e cartelle. I permessi di accesso impediscono modifiche non autorizzate ed è quindi molto importante impostarli correttamente. Un sito Joomla online con dei permessi inaproppriati è facilmente attaccabile.
Esiste un’estensione per Joomla, Admin Tools, che vi permette di controllare e correggere i permessi dei file in modo da garantire un livello di sicurezza maggiore al vostro sito web.
Versioni PHP
Il discorso delle versioni aggiornate vale non solo per il core di Joomla, ma anche e soprattutto per il linguaggio in cui è scritto questo CMS (così come molti altri software e app sul web), ovvero PHP.
Verificate la versione di PHP che state utilizzando con Joomla andando su “Sistema > Informazioni di sistema” e controllate che questa sia l’ultima disponibile in termini anche di vulnerabilità.
Il ciclo di rilascio delle versioni di PHP è disponibile online.
Controllo e rimozione degli utenti inattivi
Se il vostro sito Joomla è attivo da diverso tempo, quasi sicuramente avrete accumulato una serie di Super User (utenti con i massimi privilegi di amministrazione del sito). Se questi utenti non vengono più utilizzati è bene fare una bella pulizia, proprio per evitare che gli account vengano utilizzati dagli hacker per prendere possesso della gestione del vostro sito.
Per verificare la presenza di Super User inattivi potete andare su “Gestione utenti”, filtrare per Gruppi di utenti e verificare quanti e quali utenti Administrators e Super Users sono presenti, eliminando quelli che non vengono più utilizzati o non sono più necessari.
Altra pratica molto importante è quella di rinominare l’utente “admin” con uno username più personalizzato. Cambiando questo nome utente con qualcosa di diverso da “admin” sarà sicuramente più difficile per un hacker tentare di indovinare questo dato per un eventuale attacco brute-force al vostro sito Joomla.
Estensioni non utilizzate
Controllate sempre tutte le estensioni che nel tempo avete installato sul vostro sito Joomla. Le utilizzate ancora tutte? Se la risposta è no, procedete alla disinstallazione di quelle che non usate più, soprattutto perché queste estensioni potrebbero contenere delle falle di sicurezza che meterebbero a rischio il vostro intero sito web.
Ricordatevi solo di procedere in questo modo:
- Disabilitate prima l’estensione che volete disinstallare per verificare l’impatto che questa potrebbe avere sul sito;
- Eseguite una copia di backup PRIMA della disinstallazione;
- Disabilitate i meccanismi di caching dal sito;
- e infine, disinstallate l’estensione.
Rimozione vecchi file e installazioni
All’interno della vostra installazione Joomla controllate di non avere file aggiuntivi non più necessari come:
- file PHP non essenziali;
- file di backup del sito disponibili pubblicamente;
- vecchie versioni del sito in alcune sottocartelle.
Se sono presenti questi tipi di file procedete alla loro eliminazione.
Protezione del backend
Vi elenchiamo i due modi più comuni per impedire l’accesso al backend agli utenti:
- proteggere la cartella “administrator” con una password;
- aggiungere un parametro segreto all’URL del backend.
Autenticazione a 2 fattori
Con l’utilizzo di un sistema di autenticazione a 2 fattori (ad esempio con l’inserimento di un token numerico ad ogni accesso) si riduce la possibilità per gli hacker di individuare la password di accesso al vostro sito Joomla.
Hosting Ottimizzato per Joomla
La maggior parte dei consigli elencati qui in questo articolo sono azioni che dovete fare direttamente voi utilizzatori di Joomla per il vostro sito web. Noi di Host ci occupiamo di verificare che i vostri siti siano sicuri e aggiornati per evitare potenziali attacchi. Il nostro Servizio Clienti vi avvisa in caso di sito hackerato e cerca di individuare, insieme a voi, le best practice da eseguire per migliorare la sicurezza della vostra installazione Joomla.
