Proteggere il backend di Joomla! con htaccess

[alexred]

Video Tutorial dedicato alla protezione dell'area amministrativa di Joomla! tramite il file .htaccess e .htpasswd. Si tratta di una misura di sicurezza che rende più difficile l'accesso al backend di un sito Joomla! da parte di terze persone.
La tecnica mostrata è applicabile sui siti che utilizzano server Apache.

Link alla video guida: http://www.joomla.it/video-corsi/video/32-protezione-del-backend-di-joomla-3-con-htaccess.html

[Flips]

Domanda da ignorante, ma perchè non si pensa a far personalizzare la pagina Administrator con un nome diverso nel momento dell'installazione di Joomla? Non si eviterebbero una buona parte di questi attacchi?

[alexred]

Ciao    Flips,
potrebbe essere una buona idea, ma richiede certamente un grande lavoro di ristrutturazione di tutto il codice di Joomla che fa riferimento a quella cartella.
Esistono inoltre delle estensioni che permettono di aggirare quella "cartella" administrator ed utilizzare un proprio codice di riferimento come indirizzo per accedere all'amministrazione.

[tomtomeight]

Il problema non è il nome della cartella, infatti con una semplice scansione del sito si evincerebbe il nuovo nome, qualunque esso sia.

[alexred]

...ma almeno eviteresti tutte le richieste da quegli script automatici malevoli che vanno diretti a cercare quella cartella, e che sono il grosso del problema.

[quenda]

Il metodo del tutorial mi pare buono e ben spiegato.
Tuttavia personalmente preferisco il sistema illustrato da M.M. Leoni in questa pagina:


http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/48-proteggere-l-accesso-alla-directory-administrator


Da quando uso questo script i tentativi di attacco sui miei siti sono passati da decine al giorno......a ZERO!


Non è una certezza di sicurezza totale ma almeno sono un po' più tranquillo di prima.


Nota: suggerisco di dare un nome strano e in italiano alla directory e allo script PHP di Leoni.


Ciao!


ettore

[tomtomeight]

...ma almeno eviteresti tutte le richieste da quegli script automatici malevoli che vanno diretti a cercare quella cartella, e che sono il grosso del problema.

Non credo, anche se la cartella administrator non esiste, perché gli hai cambiato nome, le richieste arrivano lo stesso ed il server deve rispondere con un 404.

[alexred]

Come non credi? 
...in questo modo non viene effettuato il tentativo di accesso e non viene alimentato il file error.php

[tomtomeight]

Gli script automatici malevoli non sanno e non verificano se hai cambiato nome alla cartella administrator, mandano le richieste che devono essere elaborate dal server apache che risponderà con un 404, è vero che non risponderà joomla con error.php ma i log di apache si riempiranno lo stesso, è solo uno spostare l'obiettivo. Io infatti mi riferivo all'impegno di risorse che viene causato da questi tipi di attacchi.

[steganoga]

io la penso un po' come Tomtom.
Posto che attacchi bruteforce non hanno la benchè minima implicazione di sicurezza su joomla, l' "effetto dos" o meglio l'impiego elevato di risorse del server non viene alleviato.

Inoltre la maggior parte di questi attacchi (..tutti) sono automatici e basati su vocabolario quindi finchè non hanno finito il "giro" non smettono.

[alexred]

Certo, se non si vogliamo proprio avere accessi e mantenere i file di log di apache vuoti allora credo l'unica sia non rinnovare il dominio ed abbandonare il sito

[steganoga]

parlando sempre personalmente, ovvero scelte fatte da me per me stesso, avevo messo un plugin che discriminava le richieste susseguenti inferiori a tot sec. e altre baggianate prima di convincermi che tutte le soluzioni valide possono avere senso solo a livello server e non a quello dell'applicazione.

ho una mia "sentinella" sul mio sito e devo dire che in tutti gli attacchi loggati non ho mai trovato nulla che avrebbe potuto fare danni su una versione aggiornata. Ho notato che la latenza tra la scoperta di una vulnerabilità di joomla e il suo relativo inserimento nelle varie librerie di exploit è superiore al mese!! Con il ritmo di aggiornamento di Joomla anche gli hacker hanno gettato la spugna... ci capiscono più nulla

[alexred]

Già, il progetto rilascia aggiornamenti sempre velocemente, sopratutto in caso di soluzioni di vulnerabilità, ma c'è da capire poi se l'utente "medio" è altrettanto veloce ad aggiornare ogni volta il proprio sito.
Da quando è presente la notifica nel pannello amministratore e l'aggiornamento automatico c'è da dire che questo aspetto è notevolmente migliorato, ma c'è sempre gente che non accede per mesi al pannello di controllo del proprio sito...   

[steganoga]

basterebbe aggiungere al core una funzione di utilità sociale: se ti compare la disponibilità di aggiornamenti e l'aggiornamento che ti compare è superiore al mese il sito si autodistrugge.

Un sito vulnerabile è un pericolo per chiunque, aldilà della poca voglia del sedicente webby... perchè uno che non controlla almeno settimanalmente un sito in sua gestione dubito che faccia veramente questo mestiere.
Diciamo che è l'unica cosa per cui a volte apprezzo le homepages col teschietto e la scritta in turco ... almeno la finiamo lì

[giusebos]

.......ma c'è sempre gente che non accede per mesi al pannello di controllo del proprio sito...   

senza contare quelli che non aggiornano perchè pensano (errando) le nuove funzioni non mi interessano. Sono tantissimi ad avere questa convinzione!

Sembra che l'aggiornamento venga preso come l'arrivo di nuove funzioni.
Forse però la colpa è della lingua italiana in questo caso; in inglese abbiamo upgrade e update che sono due cose diverse:

up-grade se analiziamo l'etimologia della parola va proprio letta sopra [di] grado, quindi qualcosa che conta di più, che ha di più.

mentre up-date, ovvero recenti dati, lascia intravedere che c'è qualcosa di nuovo nel codice.

Noi italiani in questo caso, con la parola "aggiornamento" risolviamo la questione senza capire la differenza, unificando la traduzione in un unico significato.
Purtroppo nemmeno google traslator ci aiuta!!

Per fortuna quando è disponibile un upgrade per joomla, i traduttori italiani, hanno tradotto la parola upgrade con avanzamento.

[claudio65]

Ciao a tutti,
ho usato a lungo un metodo come quello di M.M. Leoni menzionato da quenda, poi avevo iniziato ad utilizzare altro metodo che consisteva nell’inserire un .htaccess  nella dir admnistrator come segue:

Codice: [Seleziona]

AuthUserFile .htpasswd
AuthType Basic
AuthName "Auth Required"
Require valid-user
SetEnvIf Request_URI "(administrator/components/|administrator/templates/nometemplate/)" allow
Order allow,deny
Allow from env=allow
Satisfy any
Ora ho provato a mettere in atto il metodo spiegato da Alex ma nonostante inserisca nel mio  .htaccess quanto segue:

Codice: [Seleziona]

AuthName "AREA RISERVATA"
AuthType Basic
AuthserFile/home/namedir/.htpasswd
AuthGroupFile /dev/null
require valid-user
ErrorDocument 401 "Authorisation Required"


A tentativo di raggiungere il back il browser mi restituisce una pagina 404 401 del template.
Forse si tratta proprio del template utilizzato basato su Gantry che non cito in quanto commerciale.