Ultimamente gli hacker (o cracker… che non si mangiano) sono sempre più spietati e ovviamente più il vostro sito (o quello dei vostri clienti) è “famoso” più sarà oggetto ad attacchi. É importante perciò rendergli la vita almeno più difficile e quindi mettere in sicurezza il vostro sito il più possibile.
Se si usano dei CMS la prima cosa da fare è ovviamente tenerli sempre aggiornati (stiamo parlando Joomla o Wordpress o altri) all’ultima versione, per quanto riguarda Wordpress è semplice, bisogna essere aggiornati sempre all’ultima versione per Joomla le cose si complicano un po’ perchè ci sono diverse versioni da tenere in considerazione.
La 1.0 non è più da tenere in considerazione perchè estremamente vecchia e non più supportata tecnicamente, quindi è necessario almeno aggiornarla alla sua ultima versione 1.0.15
Stesso discorso per la 1.5, è necessario aggiornarla all’ultima versione 1.5.26. Per entrambe queste versione però Joomla stesso suggerisce di fare un upgrade all’ultima versione 2.5
La versione 1.6 e 1.7 sono versioni più vulnerabili e quindi Joomla suggerisce di non utilizzarle più e di passare anche in questo caso alla 2.5
L’ultima versione 2.5 ovviamente deve essere sempre tenuta in aggiornamento all’ultima versione, almeno ogni 2/3 mesi perchè ogni aggiornamento contiene delle risoluzioni su bug che gli hacker cercano e usano per introdursi nel vostro sito.
La versione 3.0 è in via di sviluppo e quindi poco sicura, Joomla non consiglia ancora di usarla, anche perchè (come la versione 1.6 e 1.7) è una versione con supporto a breve termine e quindi è meglio continuare ad aggiornare e usare la versione 2.5
Ormai è semplice tenere aggiornati i vostri CMS, i sistemi stanno diventando sempre più semplici. Per le versioni più vecchie di Joomla, invece, le cose si complicano, esiste infatti una guida di Joomla per l’aggiornamento della versione 1.0 e 1.5
Altra cosa da non fare è quella di mantenere online delle vecchie versioni installate per prove o per sicurezza. Non è sicuro per niente e sono la porta d’ingresso per un attacco in piena regola, quindi cancellare tutte le vecchie cartelle o versioni (magari salvarle sul vostro computer).
Ovviamente l’aggiornamento riguarda anche i plugin, moduli, componenti e temi dei nostri CMS e quelli che non vengono utilizzati vanno cancellati immediatamente perchè disabilitarli non basta e anche questo può essere un buon accesso per attaccare un sito. Joomla ha un lista delle estensioni vulnerabili e che ovviamente vanno tenute sempre aggiornate.
Cos’altro possiamo fare?
modificare il nome della cartella di amministrazione (administrator per joomla e wp_admin per wordpress) con Joomla abbiamo due modi: uno è quello di cambiare il file .htaccess come spiegato in un articolo di mmleoni.com oppure tramite un plugin che ci permette di creare una chiave da aggiungere alla cartella administrator, per Wordpress invece c’è questo articolo che ci aiuta a tenere in sicurezza il nostro sito
eliminare o modificare il nome utente admin che viene dato di default e quindi facilmente riconoscibile
Rendere il più difficile possibile la password di amministratore e dare agli altri utenti privilegi minori
cambiare il prefisso delle tabelle del database e non usare sempre lo stesso o quello di default. Anche in questo caso mmleoni.com ha una guida per noi
Creare dei backup almeno settimanali del db (Wordpress installa una versione di default nella XXL in italiano e di Joomla vi consiglio lazy backup che invia un backup per email, è infatti importante avere sul computer un backup perchè spesso gli hacker si occupano anche di bucare i backup online che molti hosting offrono)
Fare un backup delle cartelle che contengono immagini caricate sul vostro sito Joomla o Wordpress o tenerne sempre una copia sul vostro computer prima di caricarle perchè il resto si può recuperare (temi, plugin e versioni del cms), la cartella immagini invece non è salvata su un db e quindi andrebbero perse.
Utilizzare dati SFTP invece che FTP, perchè i primi sono molto più sicuri e difficili da decifrare, basta chiederli al vostro hosting e Filezilla per esempio li supporta facilmente
Con questi accorgimenti, le operazioni saranno più lunghe, ci vorrà più tempo per mettere su il vostro sito, ma starà a voi far capire al vostro cliente che è un’operazione necessaria, che potrebbe costargli qualche euro in più, ma potrebbe evitare dei danni irreparabili, soprattutto se si tratta di portali o e-commerce.
A cura di
