Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Joomla a prova di hacker con GuardXT

Grazie a GuardXT è possibile migliorare la sicurezza di Joomla
Grazie a GuardXT è possibile migliorare la sicurezza di Joomla
Link copiato negli appunti

Introduzione

Esistono diversi componenti per aumentare la sicurezza di Joomla, tra di essi trova spazio GuardXT, sviluppato da Oli Merten, giunto alla versione 1.00.01 e distribuito con licenza GPL, un componente utilizzabile in modalità backend (amministratore), che ci aiuta a raggiungere facilmente gli standard di sicurezza essenziali affinché il nostro spazio web non venga attaccato con semplicità da utenti malintenzionati.

Il Componente

GuardXT effettua diverse analisi sul nostro ambiente di lavoro, che spaziano dal classico controllo della versione installata (sia per quanto riguarda il componente che per Joomla), ad analisi più accurate ed importanti, quali il controllo sull'integrità dei file tramite l'utilizzo di una checksum, ad essi associata.

Non può naturalmente mancare un controllo sui permessi assegnati ai vari file e cartelle, soprattutto sul file configuration.php, sul quale inoltre viene eseguito un controllo delle direttive settate al fine di rendere il motore di PHP sicuro e meno vulnerabile agli attacchi.

L'utilizzo del file .htaccess è, certamente uno strumento fondamentale per la messa in sicurezza delle cartelle web, ma non sempre è facile da configurare e gestire da parte di alcune tipologie d'utenti, GuardXT, ci mette a disposizione tramite un comodo wizard la possibilità di impostare in modo semplice una password per la cartella administrator, sicuramente la più importante e delicata dell'intero pacchetto Joomla.

Installazione

Come sempre, dopo una doverosa carrellata delle funzionalità, che il componente ci mette a disposizione, siamo pronti per eseguirne l'installazione, naturalmente occorrerà reperire il modulo che si dovrà installare, operazione resa possibile utilizzando il tasto download contenuto nell'apposito link.

Figura 1. GuardXT
GuardXT

Una volta scaricato il pacchetto d'installazione, siamo pronti ad integrarlo in Joomla, eseguendo la procedura standard per l'installazione dei moduli. Collegandoci come amministratori al backend del nostro sito, ed entrando nella sezione "Gestione estensioni", provvederemo a selezionare per mezzo del tasto "Sfoglia…" il file con estensione zip precedentemente scaricato. A questo punto il nostro componente è installato ed è pronto per l'uso.

Figura 2. Gestione estensioni
Gestione estensioni

Utilizzo del componente

Al fine di sfruttare le potenzialità messeci a disposizione, occorrerà entrare nel pannello di controllo di GuardXT, per far ciò utilizzeremo il menù componente, e selezioneremo la voce GuardXT.

Tutte le informazioni di cui abbiamo bisogno vengono mostrate in un'unica pagina accuratamente suddivise in varie sezioni. Ad ogni singola voce, inoltre viene associata un'icona, di colore rosso, verde o giallo rispettivamente se si evidenziano gravi problemi, se il settaggio è corretto oppure se si verifica un alert.

Figura 3. GuardXT overview
GuardXT overview

Controllo delle versioni

La sezione "Version Checks", permette di allineare sia la versione di Joomla sia la versione del componente alla più recente e stabile in circolazione. Nel caso mostrato in figura 4, possiamo notare come la versione di Joomla da noi installata sia la 1.5.14 e, che l'ultima versione di Joomla reperibile è la 1.5.15, pertanto il componente ci esorta ad effettuarne l'update. È altresì possibile utilizzando il tasto "check now!" verificare se le versioni dei principali componente sono allineate con le ultime presenti sui siti ufficiali. A differenza di Joomla, la versione di GuardXT installata risulta essere allineata all'ultima disponibile, quindi ad essa viene associata un'icona verde.

Figura 4. Controllo versione Joomla
Controllo versione Joomla

File Guard

Il File Guard ci permette di monitorare eventuali modifiche apportate ai file di Joomla, al fine di monitorare tali risorse, occorrerà inizializzare la funzione cliccando sul tasto "Initialize now!" ed attendendo che il componente analizzi ed inizializzi il tutto, una volta eseguita l'operazione sarà possibile visionare il log dei file aggiunti ed al contempo la data di inizializzazione degli stessi, ma non solo si potrà effettuare un controllo tramite il tasto "Check now!" sugli stessi.

File Guard, ci permette anche un'analisi dei permessi sulle cartelle e sui file, e monitorarne eventuali modifiche sugli stessi.

Figura 5. Controllo modifiche file
Controllo modifiche file

Joomla Server Configuration Check

Una buona configurazione dell'ambiente di lavoro, certamente aiuta la stabilità del sistema, ecco perché la sezione "Joomla Server Configuration Check" è da ritenersi fondamentale. Nello specifico verrà analizzato la presenza dello user admin, nel caso tale utente sia presente, per motivi di sicurezza sarà consigliato modificarne lo username, utilizzando l'apposito link "Change now!" posizionato in corrispondenza di tale voce.

Figura 6. Joomla Server Configuration Check
Joomla Server Configuration Check

Il componente, come accennato in precedenza, verifica la presenza nella directory root di Joomla del file .htaccess e nel caso esso non sia presente ci permette di crearne uno, cliccando semplicemente su "Create Now!". Riveste sicuramente un ruolo ancor più importante il file .htaccess della cartella administrator, tanto da spingere gli sviluppatori di GuardXT ad inserire un apposito wizard che ci assiste nella creazione di tale file, cliccando su "Start wizard!" accederemo alla procedura automatica di creazione, tramite il tasto "Create" e seguendo le indicazioni offerteci dal wizard avremo messo al riparo la nostra cartella. La teoria sul file .htaccess esula da questo articoli. Altri controlli eseguiti, riguardano la cartella configuration e le directory temporanee di cui Joomla fa uso.

Figura 7. Creazione .htaccess
Creazione .htaccess

PHP Check

Anche l'ambiente PHP che esegue il nostro Joomla, deve essere correttamente installato e configurato, in particolar modo occorrerà verificare il settaggio delle direttive register_globals e safe_mode, tale operazione viene eseguita per noi dal componente GuardXT, ma non solo, vengono analizzati i settaggi delle funzioni allow_url_fopen, open_basedir ed eventuali funzioni disabilitate. Per trattare l'analisi del funzionamento di queste direttive ed illustrarne i rischi provocati da un errato settaggio, non basterebbe un singolo articolo, ma potrete approfondire l'argomento utilizzando un'ottima guida presente sul nostro portale. GuardXT ci fornisce infine un apposito wizard per mezzo del quale è possibile impostare in maniera corretta le varie opzioni.

Figura 8. Creazione .htaccess
Creazione .htaccess

Conclusioni

Il componente è un ottimo strumento per perseguire gli standard di base relativi alla sicurezza di Joomla, abbinato ad altri strumenti potrà aiutarci a respingere azioni illegittime e di disturbo che eventuali utenti senza scrupoli vogliano intraprendere ai danni del nostro sito web.

Ti consigliamo anche