Introduzione
Il mondo del web è pieno di insidie relative alla sicurezza, sono sempre maggiori gli attacchi sferrati sia sui grandi portali che sui piccoli siti, e subire un attacco al proprio sito può rilevarsi una sgradevole sorpresa, sia in termini economici che d'immagine: basti pensare ad esempio all'attacco sferrato contro un sito di e-commerce. Sicuramente gli utenti del servizio in futuro saranno restii ad effettuare nuovi acquisti sul sito colpito.
Oltre a poter adottare misure standard per prevenire tali attacchi, come ad esempio l'installazione di un firewall, impostare correttamente le direttive del file php.ini od altro, è utile sapere che la comunità di Joomla ha sviluppato in questi anni diversi plugin, moduli e tool che permettono di innalzare il livello di sicurezza nel nostro sito gestito tramite il CMS Joomla; in quest'articolo presenteremo tre componenti capaci di aiutarci nell'intento di aumentare la sicurezza del nostro sito dalle insidie del web.
MD5 Comparison Tool
MD5 Comparison Tool, giunto alla versione 1.0.1 e sviluppato da JM-Experts, permette tramite l'utilizzo di hash MD5 di effettuare un semplice controllo su tutti i file di Joomla, che saranno scansionati per assicurarci che quest'ultimi non siano stati manomessi. Altra funzionalità importante messa a disposizione dal componente è la segnalazione dell'eventuale assenza dei file di base relativi al core di Joomla.
I passi principali per includere il componente nel nostro CMS sono tre: la prima operazione consiste nell'estrarre il contenuto del file appena scaricato nella root directory del nostro sito; in particolare il nostro file compresso contiene al suo interno due file joomla_15.txt e Joomlacheck.ph. Focalizziamo l'attenzione proprio su quest'ultimo file, ed in particolare richiamiamolo con il nostro browser preferito: per eseguirlo supponiamo di gestire il sito www.miosito.it dovremmo digitare come indirizzo www.miosito.it/Joomlacheck.php.
Se avete eseguito correttamente l'estrazione, vi ritroverete una schermata simile a quella mostrata in figura 1, nella quale viene richiesto di scegliere una password: è buona norma inserire una password diversa da quella che utilizzate per accedere al back-end di Joomla, dato che ha il compito di proteggere l'accesso in futuro al file Joomlacheck.php.
Il terzo ed ultimo step di configurazione, prevedere la creazione da parte del componente di un file denominato md5hashcheckpass.php. Occorre notare che se non si dispone delle necessarie autorizzazioni per la creazione e modifica dei file all'interno della root del nostro sito web, sarà necessario effettuare la creazione di tale file in modo manuale.
Ultimata la fase di configurazione ed integrazione con la nostra installazione di Joomla siamo pronti per poter monitorare i nostri file. A tal fine sarà necessario eseguire il file Joomlacheck.php come visto in precedenza con il nostro browser ed inserire la password precedentemente scelta: il componente analizzerà tutti i file ed in caso di problemi visualizzerà un "WARNING" in corrispondenza del file con eventuali problemi, e contemporaneamente ci notificherà l'errore riscontrato.
Reset Admin Password
Dimenticare la password di amministratore non è sicuramente una delle cose migliori nella gestione di un sito, ma a volte può capitare. Per poter rimediare, oltre ad agire direttamente sul database mysql alla base di Joomla (operazione non del tutto semplice, soprattutto, per chi è alle prime armi) è possibile utilizzare il componente Reset Admin Password giunto alla versione 3.0.0 e sviluppato da Erik. Il tool è compatibile con Joomla 1.5, Joomla 2.5 e 3.x di Joomla; unica condizione d'uso del tool è quella di poter accedere via FTP alla nostra directory web, utilizzando un qualsiasi client FTP come ad esempio FileZilla. Scaricata la versione che ci interessa, si dovrà procedere alla decompressione del pacchetto scaricato ed al conseguente caricamento tramite un client FTP della cartella com_resetadminpassowrd nella directory components del nostro sito amministrato con Joomla.
Se avete eseguito correttamente tutti i passaggi precedenti, occorrerà a questo punto collegarsi all'indirizzo http://www.miosito.it/index.php?option=com_resetadminpassword dove naturalmente www.miosito.it è l'indirizzo del nostro sito amministrato con Joomla, così da poter visualizzare la schermata mostrata in figura 2.
Si dovrà scegliere uno "User Name", il nome dell'utente di cui si vuole eseguire il reset della password, e una "New Password" , ossia la nuova password. E' di fondamentale importanza rimuove immediatamente subito dopo la modifica della password il componente al fine di non avere sgradevoli sorprese in futuro, perchè lo stesso componente potrebbe essere utilizzato da internauti con scopi malevoli.
TZ Guard
Proseguiamo la nostra carrellata di tool relativi alla sicurezza presentando "TZ Guard", un componente giunto alla versione 1.1, e sviluppato da TemPlaza. Il componente in maniera semplice permetterà di definire una blacklist di indirizzi IP dai quali rifiutare i tentativi di connessione al fine di bloccare tentativi di IP spam, oppure bloccare i sistemi di botnet. Il componente è del tutto gratuito, unico obbligo richiesto dallo sviluppatore è quello di registrarsi gratuitamente al sito.
Effettuato il download dovremo scompattare il contenuto del file appena scaricato. Al suo interno noteremo la presenza di due file compressi, "tz_guard_j15.zip" e "tz_guard_j17.zip": in dipendenza della versione di Joomla installata, per la gestione del nostro sito, provvederemo all'integrazione del componente utilizzando l'apposito file, servendoci della procedura standard prevista da Joomla, tramite la sezione "Gestione estensioni Installa" contenuta nel beck-end di Joomla. Ad installazione ultimata il nostro plugin sarà pronto all'utilizzo, ma prima dovrà essere configurato ed attivato, operazioni rese possibili all'interno della sezione "Gestione Plugin:" e selezionando l'apposita voce "System TZ Guard".
Come mostrato in figura 3 possiamo configurare un codice di sicurezza da digitare, per poter accedere alla sezione back-end di Joomla: ad esempio supponendo di scegliere come codice di sicurezza la stringa sicurezzaMaggiore e di dover amministrare il sito www.miosito.it, dovremo digitare per accedere alla sezione riservata l'indirizzo www.miosito.it/adminsitrator/?sicurezzaMaggiore.
All'interno del campo "Blacklist IP" potremo andare a specificare un filtro sugli indirizzi IP da "bannare", cioè specificare gli indirizzi IP ai quali non si vuole permettere alcun tipo di connessione al nostro sito. È possibile specificare uno o più indirizzi IP, oppure prendere in considerazione un'intera classe di indirizzi, utilizzando il carattere jolly * (ad esempio la 127.0.*).
Ultima impostazione possibile sarà quella di limitare l'accesso dei bot al sito web: per raggiungere tale risultato si dovrà selezionare l'opzione No in corrispondenza del campo "Bot Access". Tutti i settaggi dovranno essere resi persistenti utilizzando i tasti "Salva" o "Salva e Chiudi".
