La sicurezza di un sito joomla secondo me - carlodamo ;)

[carlodamo]

Il mio consiglio, sono poche cose ma devi farle con molta dedizione ed attenzione:

1. Scegli un hosting con il quale non devi gestire i permessi (li gestisce il server), così ti faciliti di MOOOLTO la vita.
2. Scegli utenti e password MOOOOLTO lunghe tipo: ciaoamico8000COMESTAI66 (ripeto: utente e password ed aggiungo per joomla, ft, database, etc...)
3. Aggiorna SEMPRE joomla e le estensioni
4. Fa backup periodici, e controlla che siano funzionanti

"Tutto il resto è noia"

COn questi accorgimenti riesci ad evitare un bel po' di problemi. E questo si riferisce a siti medio - piccoli. Chiaramente se il sito è di una grossa azienda..... tutto cambia!

Ciao e buon lavoro.

[Carlo]

Il mio consiglio, sono poche cose ma devi farle con molta dedizione ed attenzione:

1. Scegli un hosting con il quale non devi gestire i permessi (li gestisce il server), così ti faciliti di MOOOLTO la vita.
2. Scegli utenti e password MOOOOLTO lunghe tipo: ciaoamico8000COMESTAI66 (ripeto: utente e password ed aggiungo per joomla, ft, database, etc...)
3. Aggiorna SEMPRE joomla e le estensioni
4. Fa backup periodici, e controlla che siano funzionanti

"Tutto il resto è noia"

COn questi accorgimenti riesci ad evitare un bel po' di problemi. E questo si riferisce a siti medio - piccoli. Chiaramente se il sito è di una grossa azienda..... tutto cambia!

Ciao e buon lavoro.

Scusa l'ignoranza, a cosa serve tutto questo, perché vuoi dirmi che gli attacchi vengono tramite gli utenti? Già che mettiamo i disturbi in fase di registrazione, sono terminate le iscrizioni di burlatori folli, mi riferisco al forum SMF, ora quello che dici mi sembrerebbe una corbelleria, scusami ma fa semplicemente ridere, vuoi un esempio? Nei miei siti in off-line non vi era un iscritto manco a pagarlo d'oro, non un sito, ma ben tre siti, www.vocarnet.it  -  www.vocarnet.com  - www.controra.it  - Ora ti scioccherò un po' , a ragion veduta, non vedo altro motivo, i tre siti sono stati attaccati perché in tutti e tre i siti c'è joomla, gli attacchi non sono ai siti ma a joomla e proprio ieri c'è stato un attacco ad un utente di joomla, un sito meraviglioso che non si vede più, come già detto in altra parte del forum, perché non inserire gli stessi accorgimenti che questo sito adotta per proprio conto? La cosa più logica che ho potuto fare in questi giorni, impedire la scrittura ma credo non sia sufficiente per difenderci da questi mentecatti, altra considerazione, non è una sviolinata o piangeria che dir si voglia, dei CMS che ci sono in giro, dire che joomla è il migliore ed è l'unico rimasto in rete con assistenza e varie altre cose non sono il solo a dirlo, mi permettete di essere un po' maligno o machiavellico? Chi mi dice che questi attacchi mirati a siti joomla sono il frutto dell'avvento di siti che permettono di fare web in pochissimo tempo pochissimi soldi server compreso, dico una sciocchezza, non credo proprio, ecco perché direi questo prima di dire che la sicurezza dipende dal nome utente se è lungo o corto se la pass è complessa o facile, c'è molto da fare all'uopo ma inizierei dalla testa non dalla coda, siamo in linea?
Cordialità.
Carlo.
 

[j3n4]

Per come la vedo io, qualsiasi cosa messa su internet anche se costantemente aggiornata, prima o poi viene bucata.
Come giustamente dice carlodamo ci vuole sempre e comunque un backup aggiornato, ma io dico che ci vuole sopratutto un buon firewall, non si scappa.
Anche mettere un alarm quando parte un email in automatico dal nostro sito non sarebbe male, in modo che se dovesse venire bucato possiamo quanto meno bloccare il flusso di spam che ne deriva.
Un altra cosa da evitare come la peste sono le distribuzioni "nulled" che spesso celano buchi neri...
Insomma, in parole povere i cms ci semplificano la vita sotto molti aspetti, ma richiedono comunque un impegno e un minimo di studio altrimenti si viene bucati è inevitabile.

[mau_develop]

Io non capisco cosa centri smf con joomla...

[giovi]

Per come la vedo io, qualsiasi cosa messa su internet anche se costantemente aggiornata, prima o poi viene bucata.

Chiaramente c'è sempre un capro espiatorio per ogni baco Ma se la prima vittima è tanto furba da avvertire subito gli sviluppatori, risparmierà un sacco di rogne a tutto il resto degli utilizzatori Joomla, per cui aggiornando costantemente hai il 99% di probabilità di ripararti dagli attacchi.
Ado ogni modo dire che ogni cosa messa su internet prima o poi viene attaccata mi sembra non corretto per due motivi:

• pagine sicure non possono essere attaccate, e più sono semplici o più sono testate e più diminuisce la possibilità di bachi. Aggiornando aumenti il livello di sicurezza delle tue pagine
• per esperienza posso dirti che tutti i siti che no realizzato fino ad ora non sono mai stati attaccati, nonostante qualche volta abbia tardato un po con l'aggiornamento.

In conclusione è questione un po di atteggiamento, un po di fortuna: quindi non si può dire che qualunque cosa messa online è bucabile

[j3n4]

giovi,
ci sarebbe da parlare giorni... a me la sicurezza informatica è una materia che mi ha sempre appassionato molto, quando ho iniziato ad utilizzare joomla pensai di utilizzarlo in via temporanea finchè non avessi avuto il tempo di scrivere un cms mio, in jsp.
Ormai è parecchio tempo che lo uso, il mio firewall mi tiene informato su tutto quello che succede sul mio server e ti posso garantire che mettere su un bot che cerca siti bucabili è un gioco da ragazzi.
Ho notato nel tempo che i siti più "palpeggiati" sono quelli che hanno maggiori visite, vuoi perchè compaiono nei motori di ricerca e quindi sono facili da trovare anche da parte dei bot, ma anche perchè un sito una volta infettato se ha un traffico di suo torna comodo...
Probabilmente anche tu subisci palpeggiamenti e tentativi di brute, magari non lo sai perchè non hai gli strumenti che ti avvisano... Poi oggettivamente non ti conosco, sicuramente sei bravo e ad esempio spostare la directory admin è un bel trucchetto che tiene a bada l'80% dei kiddie che girano, ma se un sito diventa un berasglio interessante, prima o poi la strada per passare la trovano sempre.
Dalle mie piccole statistiche, gestendo un 100naio di siti ho potuto notare che i siti più gettonati sono comunque quelli fatti in php.
Poi certo, se fai un sito "statico" tutto in html puoi stare relativamente sicuro... eppure in passato hanno defacciato anche quelli.
Basta anche un giorno che sei al mare con tua moglie e l'exploit dell'utlima ora viene usato sul tuo sito, te ne accorgeresti solo verso sera quando ormai sono partite almeno 15mila email spammose.
Personalmente sono stato hackerato 1 sola volta e 2 su siti che non gestivo direttamente io ma che erano sul mio server... anche io aggiornavo, stavo attento a tutto eppure... basta una estensione popolare che ti fa stare relativamente sicuro e mentre sei al mare... sbam.
Ci vuole culo si, ma anche prepararsi al peggio e proteggersi... come nella vita reale a meno che non sei fort knox cercherano una preda più facile.

P.S. Volevo sottolineare che l'applicazione popolare era una applicazione a pagamento e pagata profumatamente per farci un social network. Non dico il nome, ma avrei voluto ucciderli. Un sito da circa 300/400 visite al giorno, morto in due settimane perchè bannato da gmail e virgilio senza possibilità di recupero. Tanto che alla fine ho dovuto cambiare IP, spostare quasi 100 siti e rinominare il server per ricominciare a campare.

[mau_develop]

io direi che per la "dimensione" terrena che hanno la maggior parte se non tutti i siti fatti in joomla possa bastare una password sicura e il sito aggiornato.
Per il resto vale quanto sempre detto:
- se modifichi o aggiungi parti oltre ciò che J ti da nella sua release non è un problema di joomla
- Joomla sta su un server e soffre delle vulnerabilità che può avere la malconfigurazione della macchina
- joomla è scritto in php e soffre le vulnerabilità di php
- joomla usa mysql e altri db e soffre delle vulnerabilità di mysql e del server su cui gira
- normalmente con il db usi un interfaccia es phpmyadmin che può tranquillamente avere problemi

Ora se nessuna di queste cose è causa di vulnerabilità potrebbe semplicemente esserne vettore...

 Probabilmente anche tu subisci palpeggiamenti e tentativi di brute
-----------------------------------------------------------------------------------------
...proprio questo mi fa sentire tranquillo... sicuramente è uno scemo
...ma ho ugualmente il problema dello scemo che si è attaccato al citofono rallentando sicuramente la navigazione ad altri e mai e poi mai (in qs caso) userei un fw che ulteriormente mi causerebbe rallentamenti, penserei a qualcosa che gli impedisa il flood o semplicemente dopo tre tentativi ti banno l'ip per un oretta...

[j3n4]

Concordo con quasi tutto quello che hai detto M_W_C, tranne che per il firewall.
Oggettivamente con un joomla senza nessuna estensione montata sopra non ci fai moltissimo.
E a suo tempo, quando era ancora acerbo, anche la versione 1.5 ha portato problemi.
Attualmente lo reputo uno tra i più sicuri in circolazione (e parlo della 2.5), ma rimane comunque un grosso rischio utilizzare le estensioni, perchè non ti puoi fidare nemmeno di quelle a pagamento.
Quindi un buon firewall che banna in automatico i BOT secondo me è un MUST.

[mau_develop]

un firewall non serve a nulla (per ciò di cui stiamo parlando) semplicemente perchè la maggior parte degli exploit non sono pacchetti di dati contenenti chissà cosa... sono semplici e lecite request manipolate che portano a risultati imprevisti.
Perchè un fw dovrebbe intervenire se uppo un files da autenticato con un cookie grabbato? ... sto facendo una cosa lecita.
Spesso il fw è solamente l'illusione della protezione.

Purtroppo parlare così di sicurezza, senza approfondire specifiche problematiche, porta a idee abbastanza erronee.
Non esiste lo strumento o il sw che "fa sicurezza" in generale anche se fa molto comodo farlo credere e vendere qualcosa... tanto.. male non fa (..altro pensiero errato).

Se ogni sera che torno a casa compro dal ferramenta un lucchetto da mettere alla mia porta ogni notte dormo più tranquillo perchè sono sempre più sicuro, solo che dopo un mese mi accorgo che:
- ci metto un oretta per aprire la porta
- ci metto un oretta + un tot del nuovo lucchetto per chiuderla
- nessuno da li entra me nemmeno io esco per cui se scoppia un incendio sono fottuto
- quel maledetto ladro è passato dalla finestra o magari si è spacciato da postino e gli ho aperto io

... si lo so è delirante... ma mai troppo

[j3n4]

@M_W_C
Perdonami, probabilmente mi sbaglio, ma da quanto leggo mi viene da pensare che non sei molto informato su cosa può o cosa non può fare un firewall.
Ora, senza fare pubblicità a prodotti (a pagamento), che dovrebbero essere già ben noti a tutti i webmaster, ci sono dei sistemi in grado di filtrare tutte le richieste del php, in modo da bloccare url tese a inserire codice malizioso, exploit del database e addirittura, spam tra i commenti.
Se poi invece la conosci e reputi inutile una tecnologia del genere, allora probabilmente apparteniamo a due scuole di pensiero diverse. Ma dire che non funziona no. Funziona e anche bene.

Poi, se hai piacere a divertirti a giocare un pò con me, posso tirare su un sito di test con versioni ben buggate e vediamo se riesci prima tu a passare per il bug o il firewall a sbatterti fuori
Bene inteso che non è una sfida o una offesa, a me piace giocare e fare test, quindi quando trovo qualcuno che sa il fatto suo, fare esperimenti è sempre una cosa molto istruttiva per me.

[mau_develop]

ci sono dei sistemi in grado di filtrare tutte le richieste del php, in modo da bloccare url tese a inserire codice malizioso, exploit del database e addirittura, spam tra i commenti.
------------------------------------------------------------------
non risponde a quello che ho detto io.

Se poi invece la conosci e reputi inutile una tecnologia del genere,
------------------------------------------------------------------------------------------
non è quello che ho affermato

Ma dire che non funziona no.
------------------------------------------
...è la prima parentesi della prima riga che ho scritto

 Funziona e anche bene.
-----------------------------------
...dipende, su un https dubito

Poi, se hai piacere a divertirti a giocare un pò con me, posso tirare su un sito di test con versioni ben buggate e vediamo se riesci prima tu a passare per il bug o il firewall a sbatterti fuori
----------------------------------------------------------
su owasp già trovi cose simili

Bene inteso che non è una sfida
---------------------------------------------
...ma lo diventerebbe

 quindi quando trovo qualcuno che sa il fatto suo
--------------------------------------------------------------------
ma se hai appena affermato che probabilmente non so cosa è un firewall!

 o una offesa
--------------------------
... per cosa? solitamente mi offendono gli insulti e la maleducazione poi lascio e pretendo che mi si lasci un po' di "elasticità di espressione" che può contenere modi e termini non proprio conferenziali

[j3n4]

Io non ho affermato che tu non sai cosa è un firewall, ho detto che mi viene da pensare che non lo sai.
Affermare è ben altra cosa, con ben altri toni.
Tornando al discorso, i bug più comuni, quelli che appunto riguardano le estensioni, vengono bucati in automatico dai bot.
Quindi, se gestisci parecchi siti che fanno un uso esteso di queste applicazioni, diventa umanamente impossibile seguire gli aggiornamenti con le tempistiche necessarie.
Inoltre anche solo fare da cavia in modo da avvisare gli sviluppatori per la patch successiva è un tipo di ragionamento che il cliente finale non riesce a capire. Dal suo punto di vista è colpa tua e se capita un disastro ti insegue con il machete.
Probabilmente non sono il webmaster più bravo del mondo, ma da quando utilizzo un firewall del genere, ho una blacklist internazionale che pare le pagine gialle.
Senza quel firewall ogni giorno avrei subito scansioni e attacchi di tutti i tipi, questo oltre a rallentare il mio server avrebbe dato (anche se scarsa) una possibilità di riuscita all'attaker di turno.
Questo non vuol dire che da quando ho il firewall me ne frego dei bug e ho smesso di aggiornare tutto, questo è solo un layer in più di sicurezza, che mi aiuta a svolgere il mio lavoro in maniera più rilassata.

Concludo dicendo che molto spesso "sfide" come quella proposta, sono solo un modo per confrontarsi e condividere la propria esperienza con gli altri. Se tu ci saresti riuscito, oltre lo smacco subito (di buon grado in questo caso), avrei capito che probabilmente quel coso non vale una cippa... se invece tu non ci saresti riuscito avresti valutato la possibilità di utilizzarne uno anche tu.

[mau_develop]

Concludo dicendo che molto spesso "sfide" come quella proposta, sono solo un modo per confrontarsi e condividere la propria esperienza con gli altri.
----------------------------------------------
..non le snobbo, mi divertivo molto a giocare e imparare... ora purtroppo solo se remunerato e sotto contratto, altrimenti ho molte altre cose da fare.

avresti valutato la possibilità di utilizzarne uno anche tu.
--------------------------------------------------------------------------------
utilizzo un ids ...ma in realtà ha altri scopi. lo vedi sul mio blog... che non è quello in firma.
Volevo portare su joomla l'evilsentinel di Simone (per wp) poi alla fine ho fatto una cosa un po' diversa anche se più o meno usiamo le stesse regex... che sono poi quelle di phpids.
Anche se il lavoro di evil è come sempre eccellente e valido (e usato anche da siti governativi) non mi sembra abbia risolto tutti i problemi di wp (credo che addirittura ormai sia parte integrante di wp..ma non vorrei dire scemenze)

Quindi, se gestisci parecchi siti che fanno un uso esteso di queste applicazioni, diventa umanamente impossibile seguire gli aggiornamenti con le tempistiche necessarie.
----------------------------------------------------------------------------
... e i tuoi "clienti" lo sanno?

[j3n4]

Oh certo che lo sanno, purtroppo con i siti esiste l'effetto valanga, il rischio è che se smetto di farne poi non ne faccio più.
Per quanto riguarda l'ids mi pare una buona idea, dipende se però è attivo o passivo.
In entrambe i casi non è il tipo di tecnologia che si adatta alle mie esigenze, per i siti mi basta un buon firewall. Gli IDS e HoneyPot, fanno parte di altri lavori che ormai non seguo più da diverso tempo.

[mau_develop]

intendevo dire che se offri un servizio che puoi si è no garantire cosa lo offri a fare?
Piuttosto fatti pagare o fatti pagare di più e fallo nei tempi e modi dovuti.
Se poi è frutto di compromessi dovuti al mantenimento di clienti... beh questo con discorsi di sicurezza non centra nulla, non possono coesistere.

[j3n4]

Quando gestisci molti siti i parametri di giudizio che usi tu devono essere riveduti.
Lo dico perchè anche io la pensavo come te quando ne avevo poco più di una decina e riuscivo a stare dietro a tutto.
Più che altro dovrò cercare qualcuno che mi aiuta, in passato l'ho fatto ma è davvero difficile trovare professionisti affidabili... sono tutti un pò artisti, ritardatari, irreperibili e spesso fanfaroni.
Non che da solo non ce la faccio ma la manutenzione mi porta via tempo che mi serve per fare altro.
Strumenti come installatron tornano utili... ma ci vuole sempre un occhio di supervisione, ad esempio le estensioni vanno controllate.
Non lo so nemmeno io come mai è andata così, io non vendo siti e non offro hosting, mi occupo di elettronica, meccanica, robotica, sicurezza e forense... ma poi ti arriva l'amico, poi l'amico dell'amico... e fargli il prezzo per mandarli via non serve a molto.
Quindi tranquillo, non lo faccio gratis, inoltre dei tre hack subiti solo due rigurdavano joomla, uno era prestashop, che non ho nemmeno fatto io, lo stava provando un mio amico.
E poi 3 hack in 12 anni che sto in linea non mi sembra male... certo i 3 subiti riguardano php e riguardano un periodo molto recente... ma come ti dicevo con un buon firewall si riesce a parare le varie bordate.
Se poi tieni tutto aggiornato è ancora meglio... ma ripeto, le estensioni fatte male sono un pò il cruccio di tutti. Tant'è vero che vi ho postato un plugin e nel complesso è stato scaricato solo 23 volte e nessuno ha dato suggerimenti o feedback... perciò... i fatti sono questi.
Avere un buon firewall è meglio che non averlo, sopratutto con il php.

P.S. Tra le altre cose ho visto che il tuo "sentinel" è molto simile al "firewall" che uso io. Solo che il mio fa parecchie altre cosette... dunque parlavamo delle stesse cose ma con nomi diversi. Alla fine della fiera tu proponi sul tuo sito una applicazione molto simile a quella che uso io. In effetti il confine tra un IDS e un Firewall di questi tempi ha un confine molto sottile.

[mau_develop]

 Tant'è vero che vi ho postato un plugin e nel complesso è stato scaricato solo 23 volte e nessuno ha dato suggerimenti o feedback... perciò... i fatti sono questi.
------------------------------------------------------------
quello del ping?

Immagino che sia utile a chi come te gestisce tanti siti.... però non mi sembra ti sia tornato molto utile se poi lo sai ma non riesci ad aggiornarli... forse per gli altri è un po' lo stesso.
Comunque conta sempre che stai proteggendo l'ultimo anello di una fragile catena lungo la quale quotidianamente vengono trovati bug senza contare le possibili "deficenze" di chi amministra il tutto...
credo ci sia una buona possibilità che se ne freghino del tuo firewall (come dell'ids) e se vogliono te lo cancellano pure.

poi, come ho ripetuto più di una volta...

Uno intelligente trova il problema e lo segnala prima di pubblicarlo,
uno stupido trova il problema solo usando un tool quindi deve aspettare che quello intelligente lo trovi e lo pubblichi per inserire il payload nel tool.
Normalmente tra la scoperta di una vulnerabilità e i primi riflessi sul web passa abbondantemente più di un mese, tempo più che sufficiente per aggiornare tutto.
Inoltre se sei appassionato e frequenti comunità di sicurezza informatica solitamente ne vieni a conoscenza, almeno nel concetto, quando ancora manca molto alla divulgazione.

[j3n4]

Aspetta, chiariamoci, perchè penso che non ci stiamo capendo.
Intanto sottolineo il PS che ho aggiunto mentre stavi risponendo, quindi probabilmente ti è sfuggito.

P.S. Tra le altre cose ho visto che il tuo "sentinel" è molto simile al "firewall" che uso io. Solo che il mio fa parecchie altre cosette... dunque parlavamo delle stesse cose ma con nomi diversi. Alla fine della fiera tu proponi sul tuo sito una applicazione molto simile a quella che uso io. In effetti il confine tra un IDS e un Firewall di questi tempi ha un confine molto sottile.

E poi voglio sottolineare, che i bug che vengono trovati, non lascio certo passare 9 mesi prima dell'aggiornamento, ma può succedere che trascorrano anche 4 giorni prima che intervengo su tutti.
Poi ci sono i BUG zero days, come è capitato a me, un componente a pagamento che viene bucato e i loro sviluppatori non ne sapevano nulla. Quando ti capita una cosa del genere, l'unica cosa che ti può proteggere (almeno in parte) è un buon firewall o IDS come lo chiami tu.

ARI P.S. Ho visto anche l'altro blog che hai, molto carino, mi piace. Ciao.

[mau_develop]

IDS e un Firewall di questi tempi ha un confine molto sottile.
----------------------------------------------------------------------------------
... no, è che ci abituiamo ad usare impropriamente parole...
entrambi sono sw riferiti ad un server non alle post e alle get di un sito

un fw solitamente lavora bidirezionalmente analizzando pacchetti "dell'osi iso" .... joomla manco sa cos'è... ovvio che se gli metti schifezze offuscate si allerta.. l'ultimo è sempre l'header con le request

un ids non è bidirezionale e analizza anche ciò che non è diretto al sito... chessò un arbitrario  etc/passwd..

[j3n4]

IDS e un Firewall di questi tempi ha un confine molto sottile.
----------------------------------------------------------------------------------
... no, è che ci abituiamo ad usare impropriamente parole...
entrambi sono sw riferiti ad un server non alle post e alle get di un sito

un fw solitamente lavora bidirezionalmente analizzando pacchetti "dell'osi iso" .... joomla manco sa cos'è... ovvio che se gli metti schifezze offuscate si allerta.. l'ultimo è sempre l'header con le request

un ids non è bidirezionale e analizza anche ciò che non è diretto al sito... chessò un arbitrario  etc/passwd..

Probabilmente l'incomprensione nasce solo dal fatto che avrei dovuto essere più specifico e dire Firewall osi/iso Layer 7, questo probabilmente avrebbe fugato ogni dubbio. Poichè dicendogli come gestire il Layer 7 quello che accade su joomla poi lo sa eccome.
Il mio FW poi, effettivamente somiglia più a un IDS, perchè gestisce solo il Layer7 e più specificatamente tutto quello che succede al PHP, disponendo di un ban list, antivirus e anti spam.
E comunque mi sono abituato ad averlo e ricevere i suoi ban (quasi quotidiani) mi fa stare molto più sereno. Il tuo mi pare di aver visto che ne ha eseguiti 24, al mese? Il mio li fa ogni settimana :S