Continui attacchi hacker: Joomla 1.5 problemi seri!

[Lucacanto]

Salve a tutti,
è la prima volta che ho a che fare con una problematica del genere: i miei siti subiscono attacchi hacker molto spesso e sono continuamente costretto a cambiare password del server aruba e la password admin di Joomla.

Attualmente sto finendo la progettazione di un sito molto complesso che dovrà contenere anche dati sensibili (tipo numeri di cellulari) degli utenti iscritti e proprio pochi minuti fa il sito è stato attaccato da un hacker che mi ha messo fuori uso il sito. Tuttavia però non mi ha cambiato le password admin, cosa che ho fatto io tempestivamente.
Ho provveduto immediatamente, nel giro di 2 minuti dal momento dell'attacco, a cambiare le password dell'hosting e del pannello admin.

Anche 1 mese fa su un altro sito è successa la stessa cosa e ho dovuto cambiare password di aruba.

La mia attuale versione di Joomla è la 1.5.20, so che dovrei aggiornarla, ma obiettivamente non credo dipenda da questo l'attacco visto che un mese fa avevo una versione di Joomla più recente e sono stato attaccato lo stesso.

Su questo sito ho componenti compatibili e aggiornati. Tra l'altro ho solo 3 componenti oltre a quelli di default di Joomla.

La mia paura è quella di mettere in piedi un sito con Joomla il quale, una volta che conterrà centinaia di utenti, può essere così facilmente attaccato e rischio di andare nei guai per perdita di dati sensibili.

A nessuno di voi è mai capitato? Possibile che non c'è nessun modo per proteggersi da questi attacchi?
Mi sembra una cosa molto grave e molto seria per chi utilizza Joomla professionalmente. O forse dipende dall'Hosting poco sicuro? Se così fosse sarei disposto a cambiare immediatamente.

Attendo vostri consigli...

[giusebos]

La mia attuale versione di Joomla è la 1.5.20, so che dovrei aggiornarla, ma obiettivamente non credo dipenda da questo l'attacco visto che un mese fa avevo una versione di Joomla più recente e sono stato attaccato lo stesso.

Niente di più falso!
Gli aggiornamenti non sono uno sport......

[Npaquito]

Hola

Te credi che sono per colpa di Joomla? e perche no del server, o del tuo Pc, tieni conto che  "i miei siti subiscono attacchi hacker molto spesso"

[Lucacanto]

Ok provvederò ad aggiornare la versione di Joomla e a far un controllo malware sul mio pc!

Ma voi che aggiornamento mi consigliate? Ho appena eseguito quello dalla 1.5.20 alla 1.5.23 che è l'ultima versione stabile.
Ma mi consigliate di aggiornare a 1.6???
Qual'è attualmente la versione più sicura?

[jeckodevelopment]

la più sicura del ramo 1.5.x è sempre l'ultima disponibile quindi in questo caso la 1.5.23 (per ora)
Per passare alla 1.6 non si tratta di aggiornamento, ma di migrazione e dopo questo passo dovresti subito passare alla 1.7.0 (ultima stabile per ora).

La 1.5.x è sicura, ovviamente ci sono una serie di best practices da adottare:

• ridurre al minimo la superficie d'attacco, cioè disinstallare (non disattivare) tutte le estensioni di terze parti che non sono utilizzate nel sito
• aggiornare sempre il core di Joomla e tutte le estensioni (ma proprio tutte: componenti, moduli, plugin) all'ultima versione disponibile.
• preferire estensioni correntemente sviluppate e supportate ad estensioni il cui ciclo di sviluppo sia stato sospeso.
• utilizzare un plugin che intercetti e limiti gli attacchi SQL Injection e LFI, un ottimo plugin è stato sviluppato dal mod. mmleoni ed è disponibile qui http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/47-protezione-del-sito-da-sql-injection-e-local-file-inclusion
• ovviamente sostituire tutte le credenziali d'accesso di amministrazione, hosting, database e quant'altro successivamente ad un attacco (anche se sarebbe utile farlo di tanto in tanto).
• utilizzare password robuste, ma è necessario tenere presente che gli attacchi avvengono per la maggior parte tramite vulnerabilità in estensioni di terze parti.
• fare backup, sempre, se possibile giornalmente, di sito (quindi tramite ftp) e del database, così da disporre sempre di una copia sufficientemente aggiornata per riparare eventuali attacchi.

[Lucacanto]

la più sicura del ramo 1.5.x è sempre l'ultima disponibile quindi in questo caso la 1.5.23 (per ora)
Per passare alla 1.6 non si tratta di aggiornamento, ma di migrazione e dopo questo passo dovresti subito passare alla 1.7.0 (ultima stabile per ora).

La 1.5.x è sicura, ovviamente ci sono una serie di best practices da adottare:

• ridurre al minimo la superficie d'attacco, cioè disinstallare (non disattivare) tutte le estensioni di terze parti che non sono utilizzate nel sito
• aggiornare sempre il core di Joomla e tutte le estensioni (ma proprio tutte: componenti, moduli, plugin) all'ultima versione disponibile.
• preferire estensioni correntemente sviluppate e supportate ad estensioni il cui ciclo di sviluppo sia stato sospeso.
• utilizzare un plugin che intercetti e limiti gli attacchi SQL Injection e LFI, un ottimo plugin è stato sviluppato dal mod. mmleoni ed è disponibile qui http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/47-protezione-del-sito-da-sql-injection-e-local-file-inclusion
• ovviamente sostituire tutte le credenziali d'accesso di amministrazione, hosting, database e quant'altro successivamente ad un attacco (anche se sarebbe utile farlo di tanto in tanto).
• utilizzare password robuste, ma è necessario tenere presente che gli attacchi avvengono per la maggior parte tramite vulnerabilità in estensioni di terze parti.
• fare backup, sempre, se possibile giornalmente, di sito (quindi tramite ftp) e del database, così da disporre sempre di una copia sufficientemente aggiornata per riparare eventuali attacchi.

Grazie mille per i consigli preziosi. Provvederò a seguirli alla lettera.
Una mail inviatami poco fa da aruba mi dice che l'attacco hacker è stato possibile per vulnerabilità note di Joomla e i suoi componenti...

[jeckodevelopment]

quei consigli ovviamente valgono anche per le nuove versioni di Joomla 1.6 / 1.7 e future.
Joomla 1.5.20 è ormai una versione obsoleta e poco sicura visto che ci sono state 3 nuovi rilasci alcuni dei quali marchiati come "Security Release".
Aggiorna subito alla 1.5.23 e cerca di stare al passo con gli aggiornamenti!

P.S. Cerca di non quotare tutto il testo di un messaggio, un quoting corretto sul forum preserva il database

[Lucacanto]

Grazie jeckodevelopment,
però ho una domanda da fare: sto cercando di aggiornare la 1.5.23 alla 1.6 ma sto scoprendo che è una migrazione tutt'altro che semplice.

Ho seguito la guida ufficiale ma a me, come a tanti altri, jupgrade non funziona.
Dunque mi sembra di aver capito che non posso aggiornare la 1.5 alle 1.6!!!
Non c'è la possibilità di effettuare l'aggiornamento senza Jupgrade? In maniera manuale?

Come posso aggiornare il tutto senza dover cancellare e ricreare il sito?
Ho già appurato che tutte le estensioni e i moduli che uso sono compatibili con Joomla 1.6 quindi quello non sarebbe il problema!

Qualcuno mi da qualche dritta?
grazie

[jeckodevelopment]

migrare dalla 1.5.x alla 1.6.x non è strettamente necessario.
la riuscita o meno dell'operazione di migrazione utilizzando gli strumenti quale jUpgrade dipende molto dall'ambiente dove si lavora.
Ti consiglierei di effettuare delle prove d'aggiornamento su una copia del sito, in un ambiente locale.

Per quanto riguarda estensioni e template devi aggiornare alle nuove versioni per Joomla 1.6.
Attenzione anche al fatto che molti template per Joomla 1.6 hanno problemi con Joomla 1.7.

Quindi ripeto, test in locale e riesportazione in remoto.
Non eseguire la procedura in remoto perché se qualcosa andasse storto avresti un po' di problemi.

[giusebos]

L'operazione di migrazione su un sito productive on-line la eviterei.
Per risolvere il tuo problema basta solo aggiornare alla 1.5.23.

Se invece desideri aggiornare all'ultima versione considera che anche il template dovrà essere aggiornato oltre che le estensioni, ma farei tutto in locale per prevenire eventuali problemi che potrebbero portarti a chiudere il sito per l'impraticabilità alla navigazione.

[Lucacanto]

Quindi mi consigliate di copiare tutto il sito che è attualmente in remoto in locale e di fare dei test di migrazione in locale?
E in locale posso farli usando jupgrade?
Scusate se sto andando offtopic... ma sono info per me importanti!

[jeckodevelopment]

in locale, utilizzando un software come xampp, avresti un ambiente (più o meno) simile a quello remoto dove potresti fare le prove di migrazione con jUpgrade ed ancora la migrazione alla 1.7

ti consiglio queste letture:

• http://wiki.joomla.it/index.php?title=Migrare_da_Joomla_1.5_a_Joomla_1.6
• http://wiki.joomla.it/index.php?title=Aggiornare_da_1.6.5_a_1.7
• http://wiki.joomla.it/index.php?title=Trasferimento_siti_web_Joomla_da_locale_a_remoto_e_viceversa

[56francesco]

un sito molto complesso che dovrà contenere anche dati sensibili (tipo numeri di cellulari) degli utenti iscritti

i dati sensibili sono solo 4
a- credo politico
b- credo religioso
c- stato di salute
d- dati giudiziari

i numeri di telefono non sono dati sensibili ma personali.
Se davvero il sito che devi pubblicare dovesse contenere dati sensibili sarebbe opportuno che il committente si rivolgesse prima e non dopo ad un consulente privacy per commissionare un DPS  che conterrà in se tutte le misure di sicurezza minime (attento al significato dell'aggettivo minime)
in seguito il costruttore del sito, in proprio a web agency che sia  non dovrà far altro che leggere e applicare quanto previsto nel DPS
farlo dopo nella migliore delle ipotesi comporta costi maggiori a volte anche tripli ed espone a rischi di sanzioni da decine di migliaia di euro..
sempre che di dati sensibili si tratti.

[Lucacanto]

@56 Francesco: dunque evitiamo di fare confusione. Forse mi sono espresso male.
Il sito contiene:
- nomi di negozi;
- numeri di telefono di negozi;
- indirizzi di negozi;
- mail di negozi;
- foto di negozi;
STOP!

La registrazione degli utenti prevede l'inserimento dei classici dati:
Nome, E-mail, Username, Password.

Il sito non mi è stato commissionato da nessuno, è una mia produzione. E' un progetto mio e ho provveduto personalmente a redigere due regolamenti: uno per gli utenti e uno per i negozi che andranno ad inserire le schede.

Intendevo dire che, se ad esempio ci fosse un attacco hacker che diffondesse tutte le email dei negozi e le usasse per fare spam, sarebbe un bel guaio.
Le email non saranno dati sensibili ma se vengono "rubate" per fare spam sarebbe sempre un grande guaio per me.
Io questo vorrei evitare.
IDEM per i numeri di telefono! Questo intendevo dire con il post sopra!