Sito hackerato (ver1.5.3)

[pasoadelante]

Salve a tutti, segnalo che il sito che avevo in versione 1.5.3 è stato hakerato ieri sera da un turchese del c...o islamico e tutto quello che gli prende stasera mentre vede la tv. Perdonate lo sfogo
Strano a dirsi il fatto è avvenuto esattamente qualche ora dopo che ho installato Vivistats. Casualità o causalità?
Ad ogni modo lo segnalo per un eventuale confronto sul modulo vivistats.

Chiedo a chi di sicurezza se ne intende se è possibile fare in modo che dopo tre tentativi di inserimento della pw o del nome utente non giusti, il sistema invii una mail al postmaster che è avvenuto un tentativo di frode e che l'account risulta bloccato e poterlo riattivare si deve cliccare un link, un po come fa quando un utente registred si registra.

E' un'idea. Grazie mille.

[sali40]

nei primi giorni del mese di agosto è stata individuata una falla in joomla 1.5.x (a quella data si era già alla 1.5.5, comunque)

Dopo due ore dalla individuazione della falla, è stata rilasciata una patch (la versione 1.5.6)

A prescindere dal raporto di casualità/causalità, è sempre opportuno tenere aggiornati, prima se stessi e immediatamente dopo i siti che si gestiscono, se si vuole avere un minimo di possibilità di non farsi bucare il sito.

Adesso siamo alla versione 1.5.7

Hai aggiornato?

[pasoadelante]

Ciao sali40 e grazie della risposta. Non avevo dato peso al discorso sicurezza e avrei aggiornato con calma.
Ieri ho notato che era già disponibile anche la 1.5.7 e ho fatto l'aggiornamento.
Ho lasciato traccia del discorso modulo vivistats per capire se potesse essere stato uno dei problemi. Leggendo la questione falla sulla sicurezza delle versione precedenti alla 1.5.6 credo non sia stato quello il punto d'entrata.
Fare una modifica come quella suggerita sopra, per il blocco dell'account dopo 3 tentativi, è un'idea non adeguata?

Saluti,
Anto

[sali40]

non so. si dovrebbe girare la questione al core team.

Cmq, per rafforzare la "porta d'entrata posteriore", si può, in primis, cambiare il nome utente da admin a qualcos'altro, in modo che le stringhe da individuar siano almeno due.

Se poi volessi (e il to host lo consente) si può aggiungere un ulteriore livello di accesso, precedente al login, mediante l'utilizzo di htaccess/htpasswd (qui in giro nel forum trovi diversi post in cui se ne è parlao e in cui sono state fornite le indicazioni sul come fare)

[pasoadelante]

Interessante questa soluzione anche se aruba (ad esempio) mi sembra non consenta questa operazione.
Se si potesse optare per una soluzione più generale sarebbe sicuramente più comodo.

Comunque grazie per l'interessamento

Anto