Segurança Joomla – Tornando o Joomla mais Seguro

Muitas pessoas perguntam se o Joomla é seguro e como podem tornar os seus websites em Joomla mais seguros? Com certeza o Joomla é seguro, porém, existem vários fatores que podem contribuir sensivelmente para uma possível brecha na segurança.

Abaixo encontra-se listado alguns pontos fundamentais e outros desejáveis à melhor performance do Joomla, em relação a segurança.

  • Troque o usuário padrão do Joomla (admin), por outro qualquer e atribua-lhe uma senha forte;
  • Evite instalar extensões pouco conhecidas e utilizadas;
  • Diretórios devem possuir permissão (0755) e arquivos (0644).
  • Use o plugin JSecure para encapsular o /administrator do seu website;
  • Desabilite o relatório de erros pois eles pesam o seu website e mostram aos possíveis invasores, as falhas de segurança do seu website. Para desabilitar o relatório basta seguir a seguinte sequência: Configurações Globais – Sistema – Relatório de Erros -> nenhum;
  • Renomeie e mova o arquivo configuration.php para um novo diretório.

Exemplo:

  • Renomeie o arquivo configuration.php que está na raiz do website, para config.conf
  • Crie um diretório config e mova o arquivo para este diretório
  • Com o bloco de notas aberto, digite o script abaixo e salve, na raiz do seu website, como configuration.php
<?php
require( dirname( __FILE__ ) . '/config/config.conf' );
?>

Ficar de olho nas extensões vulneráveis

Não adianta você manter seu Joomla atualizado, se você tem várias extensões instaladas que não estão devidamente atualizadas. A utilização de uma única extensão insegura coloca em perigo todo o seu site.

Para evitar isto você deve tomar as seguintes precauções:

– Faça uma relação de todas as extensões que você utiliza e procure se informar de novas atualizações para elas;

– Procure saber se as extensões que estão sendo utilizadas são seguras e se não são vulneráveis a ataques que comprometam o seu site.

Para isto procure sempre estar bem informado sobre possíveis extensões vulneráveis e verifique se há atualizações corrijam estas vulnerabilidades. Caso não tenha atualização, desinstale esta extensão imediatamente para não comprometer seu site.
Existe uma lista de extensões vulneráveis, a qual está sendo constantemente atualizada, no site oficial do Joomla e no Fórum, as quais podem ser acessadas nos links abaixo:

Mudar o Prefixo da base de dados

Por padrão, ao se instalar o Joomla, o prefixo da base de dados será jos_. A maioria dos arquivos “hackers” escritos para comprometer um site Joomla, tentam adquirir informações da tabela jos_users. E, desta maneira, podem adquirir a password (senha) e username (nome de usuário) do administrador do website. Mudar o nome do prefixo para algo aleatório ajudará a impedir a maioria dos ataques “hackers”.

O prefixo pode ser escolhido no momento da instalação de um site Joomla mudando o prefixo padrão de jos_ para um que lhe for mais conveniente.

Se você já instalou seu site Joomla e não atentou para a mudança deste prefixo, recomendo que faça esta mudança para aumentar a segurança do seu Joomla.

Utilizar um componente SEF

De que forma os “hackers” decidem atacar o seu site? O método habitual é simples de explicar. Eles descobrem, por exemplo, que uma determinada versão de uma extensão está vulnerável, bem como a forma de explorar essa mesma vulnerabilidade. Depois procuram no Google por meio do comando inurl, a assinatura dessa extensão. O resultado é uma lista de sites vulneráveis, e se o seu site estiver nessa lista, adivinhe o que vai acontecer ?

Utilize um componente SEF (Eearch Engine Friendly) de modo a reescrever a sua url. Assim, o seu site não aparecerá mais naquelas listas e você terá mais sucesso nas pesquisas que lhe interessam dado que o seu site ficará mais otimizado para o Google

Abaixo você vai encontrar uma lista de plugins úteis que irá ajudá-lo a proteger seu site Joomla de invasões externas Claro que estes plugins não vão garantir 100% de proteção e talvez você nunca tenha esses problemas , mas melhor prevenir do que remediar.

1. jHackGuard – Joomla Security Plugin

jHackGuard é desenvolvido pela SiteGround para proteger seu site contra ataques hacker. Fique também prevenido contra a maioria de ataques de injeção SQL, Inclusão Remota de URL/Arquivo, Execução de Código Remoto e ataques de XSS!

2. Akeeba Backup

O sucessor do famoso componente JoomlaPack . Em poucas palavras, Akeeba Core Backup é um componente de backup de código aberto para o Joomla , um pouco diferente do que seus concorrentes. Sua missão é simples : criar um backup do site que pode ser restaurado em qualquer servidor com capacidade Joomla ! . Suas possibilidades : infinitas . Ele cria um backup completo do seu site em um único arquivo .

3. EGuard

Esta é uma simples extensão que te ajudara a ter mais segurança em seu site . O login de administrador será protegido por um código de segurança. Caso contrário, você pode definir uma lista negra para o seu site e bloquear o sistema de BOT para acessar seu site .

4. Admin Tools

Admin Tools é um verdadeiro canivete suíço para o seu site . Corrigir seus arquivos e diretórios com as devidas’ permissões , proteger seu diretório de administrador com uma senha, alterar o seu prefixo de banco de dados, definir um seguro Super Administrador ID , migrar links apontando para seu antigo domínio on-the – fly e executar manutenção de banco de dados , todos com um único clique .

5. CD Login Confirmation

Um componente simples e eficaz , que acrescenta uma camada adicional de segurança para o back-end . Este componente envia para o seu endereço de e-mail ( após o login com sucesso ) uma mensagem de confirmação com o código de segurança. A administração está bloqueado até que você digite o código.

6. Anti-Hacker

É um componente de segurança que ajuda a reduzir o risco de seu site que está sendo hackeado , segurança de dados privados , proteção de seus arquivos de sistema contra códigos maliciosos e ataques , e principalmente aumentar a segurança do site .

7. EasyCalcCheck PLUS

Poteja seu site e extensões. Integração com as seguintes extensões: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts und Virtuemart

8. Security Images

9. Backend Token

Esse plugin protege o diretório /administrator/ folder for convidados indesejados. Faz também verificação de token através das solicitações http. Se o token não condiz com o cadastro, o acesso não é permitido.

10. EasyCalcCheck PLUS

Protega seus diretorios de instalação contra acesso não autorizado, formulários de contato contra spam e aumente a segurança de suas extensões: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts und Virtuemart

11. Security Images

Se livre de spams colocando CAPTCHA em seus formulários de contato.

12. kSecure

Plugin que adiciona uma camada extra de proteção para o seu site . Por qualquer padrão pode acessar a pasta / administrator e ver que você está executando o Joomla . Com esse plugin, ele protege essa pasta de acesso não autorizado.

13. jomDefender

Protege seu site contra invasões diversas.

O CMS Joomla é um aplicativo seguro, porém, dentro do escopo de Webdesign ele é apenas a ponta de um iceberg composto de Sistema Operacional (GNU/LINUX), Servidor Web (APACHE), Gerenciador de Banco de Dados (MYSQL) e Linguagem de Programação (PHP). Resumindo, o provedor de hospedagem e o profissional que irá desenvolver o projeto, são fatores externos que podem contribuir com o comprometimento ou melhoria da sua segurança.

Hospedagem Joomla e Hospedagem de Sites Joomla é com a FRHOST.

Fonte: phpmania.org