Joomla è uno dei CMS più utilizzati al mondo, ma come ogni sito web, è vulnerabile agli attacchi informatici. Per questo motivo, è fondamentale prendere alcune precauzioni per migliorare la sicurezza del tuo sito Joomla. In questo articolo, ti daremo alcuni consigli utili per evitare attacchi informatici e proteggere il tuo sito.
Effettuare gli Aggiornamenti di Joomla
Il primo passo per migliorare la sicurezza di Joomla è quello di tenere il CMS sempre aggiornato all’ultima versione. Ogni nuova versione di Joomla contiene miglioramenti in termini di sicurezza e correzioni di eventuali vulnerabilità. Inoltre, gli aggiornamenti di Joomla includono anche aggiornamenti per le estensioni installate sul tuo sito.
Per aggiornare la versione di Joomla, ci sono diversi tipi di aggiornamenti da considerare. Prima di tutto, è sempre importante effettuare un backup completo del sito (file + database) utilizzando un’estensione come Akeeba Backup.
Inoltre, è importante verificare che il sito sia offline nella configurazione globale e che la cache di Joomla sia pulita. È anche consigliabile attivare il parametro Server –> Rapporto errori su Massimo per visualizzare eventuali avvisi di errori di sistema a seguito dell’aggiornamento e capire dove intervenire.
Dal menu Sistema --> Informazioni di sistema, è possibile prendere nota del numero dell’attuale versione di Joomla installata sul sito per capire quale tipologia di aggiornamento seguire. Inoltre, è importante verificare i permessi delle cartelle e controllare se sono presenti eventuali nuove estensioni da installare o se sono presenti estensioni da aggiornare.
Una volta eseguite queste verifiche, è possibile procedere all’aggiornamento vero e proprio. Il tipo di aggiornamento dipenderà dalla tipologia di versione da cui si sta partendo:
- Aggiornamento (Patch) di manutenzione successiva: questo tipo di aggiornamento riguarda una versione della stessa minor release (ad esempio, dalla 3.4.3 alla 3.4.4). In questo caso, l’aggiornamento può essere eseguito tramite il pannello di controllo di Joomla stesso, seguendo le istruzioni fornite.
- Aggiornamento da versioni molto precedenti della stessa MINOR: questo tipo di aggiornamento riguarda una versione precedente della stessa minor release (ad esempio, dalla 3.4.1 alla 3.4.4). In questo caso, è necessario eseguire l’aggiornamento manualmente, sostituendo i file di Joomla con quelli della nuova versione.
- Aggiornamento da versioni precedenti della stessa MAJOR: questo tipo di aggiornamento riguarda una versione precedente della stessa major release (ad esempio, dalla 3.2.1 alla 3.4.4). In questo caso, è necessario eseguire l’aggiornamento manualmente, seguendo le istruzioni fornite.
- Avanzamento da versioni precedenti non della stessa MAJOR: questo tipo di aggiornamento riguarda una versione precedente di una major release diversa (ad esempio, dalla 2.5.20 alla 3.4.4). In questo caso, è necessario eseguire l’aggiornamento manualmente, seguendo le istruzioni fornite.
Per effettuare l’aggiornamento di Joomla è possibile seguire la guida ufficiale di Joomla al seguente link: https://www.joomla.it/guide-joomla-3/8422-come-aggiornare-la-versione-di-joomla.html
Utilizzare Estensioni di Sicurezza
Esistono numerose estensioni di sicurezza per Joomla che possono aiutarti a proteggere il tuo sito web. Alcune di queste estensioni consentono di bloccare gli attacchi informatici, mentre altre possono monitorare l’attività sul tuo sito web e segnalare eventuali attività sospette. Prima di installare qualsiasi estensione, assicurati di verificare le recensioni e la reputazione dello sviluppatore.
Verificare i Permesso dei File e delle Cartelle
Assicurati che i permessi dei file e delle cartelle sul tuo sito web siano configurati correttamente. Se i permessi sono impostati in modo errato, i file sensibili del tuo sito potrebbero essere accessibili da chiunque. Verifica regolarmente i permessi dei file e delle cartelle del tuo sito web.
Utilizzare Password Forti e Cambiarle Spesso
Le password deboli sono una delle principali cause di violazioni della sicurezza. Utilizza password complesse e cambiale regolarmente. Inoltre, evita di utilizzare la stessa password per più account e non condividere mai le tue password con nessuno.
Attivare la Verifica in due passaggi
La verifica in due passaggi è una funzionalità molto importante per aumentare la sicurezza di un sito Joomla!, soprattutto per quanto riguarda l’accesso all’area amministrativa. Con questa funzionalità, l’utente deve inserire non solo il nome utente e la password, ma anche un codice generato da un’applicazione sul proprio smartphone. In questo modo, anche se i dati di accesso vengono compromessi, l’accesso all’area amministrativa non è possibile senza il codice generato dall’applicazione.
Per attivare la verifica in due passaggi in Joomla! 3.x, segui questi passaggi:
- Accedi al pannello di controllo del sito Joomla! come Super User.
- Clicca su Abilita la verifica in due passaggi, che compare come messaggio post-installazione dopo l’installazione della funzionalità.
- Seleziona il metodo Google Authenticator.
- Scarica sul tuo smartphone l’app ufficiale Google Authenticator (per Android, iOS e BlackBerry) o un’applicazione compatibile.
- Inserisci all’interno dell’applicazione i dati che ti vengono forniti in questa pagina al Passo 2 (account e chiave) o scansiona il codice QR fornito in Google Authenticator.
- L’applicazione Google Authenticator ti fornirà un codice che durerà per 30 secondi, per poi generare un altro codice. Inserisci questo codice nel campo Codice di sicurezza.
- Salvare la modifica dell’account (andando in alto su Salva e chiudi).
Dopo aver attivato la verifica in due passaggi, ogni volta che effettui il login nel pannello di controllo del sito Joomla!, dovrai inserire la chiave segreta che Google Authenticator ti fornisce tramite il tuo smartphone (sullo smartphone comparirà un codice che si rinnova ogni 30 secondi). Inserendo una chiave segreta errata, non sarà possibile accedere all’area amministrativa del sito.
Ricorda che se hai problemi di accesso allo smartphone, Joomla! ti fornirà una serie di password di emergenza che possono essere utilizzate una sola volta. È importante segnarsi queste password in un luogo sicuro per utilizzarle in casi di estrema necessità.
Utilizzare una Connessione Sicura (HTTPS)
Utilizza sempre una connessione sicura (HTTPS) per il tuo sito web. Questo garantirà che tutte le informazioni scambiate tra il tuo sito e gli utenti siano crittografate e protette dagli attacchi informatici.
Limitare l’accesso alla Backend di Joomla
Limita l’accesso al backend di Joomla solo agli utenti che effettivamente ne hanno bisogno. Utilizza una password complessa per l’accesso al backend e utilizza la verifica in due passaggi per aumentare la sicurezza.
Aggiungere una Protezione contro gli Attacchi Brute-force
Per proteggere il tuo Joomla da attacchi brute force, puoi seguire alcuni semplici passaggi. In primo luogo, devi accedere al sito web Joomla tramite FTP e aprire il file .htaccess nella cartella /home/utente/public_html/administrator. Se il file non è presente, puoi crearlo. All’interno del file, devi inserire il seguente codice in testa al file:
AuthName "anti brute force"
AuthType Basic
AuthUserFile /home/user/joomla.htpasswd
Require valid-user
ErrorDocument 401 /e.htmlDovrai sostituire “user” con il tuo nome utente di accesso FTP. In seguito, sempre tramite FTP, dovrai spostarti nella cartella /home/user/ (fuori dalla “public_html”) e creare il file joomla.htpasswd. All’interno di tale file, dovrai inserire l’username e la password per la protezione, ma devono essere inseriti con il formato htpasswd di Apache. Puoi utilizzare un generatore online come http://www.web2generators.com/apache/htpasswd_generator.
Per esempio, se il tuo utente è “admin” e la password è “password”, la riga da inserire nel file joomla.htpasswd sarà la seguente:
admin:$apr1$zkwu7ytb$51maYXuKZT/FawJ1Lkf8A1Infine, dovrai creare il file e.html (anche vuoto) all’interno della cartella “public_html”. Una volta completati tutti questi passaggi, quando visiterai la pagina
www.tuodominio.ext/administrator
ti verranno richiesti i dati di accesso appena generati. Con questa procedura, Joomla sarà protetto da attacchi brute force.
Verificare la Sicurezza del Server Web
Assicurati che il tuo server web sia configurato correttamente e che i software installati siano aggiornati. Una configurazione errata o software obsoleti possono rendere il tuo sito web vulnerabile agli attacchi informatici.
Monitorare gli Accessi al Sito Web
Monitora regolarmente l’attività sul tuo sito web. Verifica i log degli accessi e le attività degli utenti per rilevare eventuali attività sospette. Utilizza uno strumento di sicurezza che ti avvisi in caso di attività anomale.
Fare il Backup del Sito Web e dei Dati Critici
Per utilizzare Akeeba Backup su Joomla e fare un backup del sito web, è necessario prima di tutto scaricare e installare l’estensione Akeeba Backup dal sito ufficiale. Una volta installato, è possibile accedere alla dashboard di Akeeba Backup dal menu delle estensioni di Joomla.
Una volta dentro, è possibile scegliere le opzioni di backup, come ad esempio il livello di compressione e la frequenza di backup. Inoltre, è possibile scegliere di includere o escludere determinate directory o file dal backup.
Una volta scelte le opzioni desiderate, basta cliccare sul pulsante “Backup now” per avviare il processo di backup. Durante il processo, Akeeba Backup creerà un file di backup compresso con l’estensione .jpa, che può essere salvato sul server o scaricato sul computer locale.
Inoltre, Akeeba Backup offre anche una funzionalità di ripristino del backup, che consente di ripristinare facilmente il sito web in caso di problemi o perdita di dati. Per utilizzare questa funzione, basta selezionare il file di backup .jpa e seguire le istruzioni fornite da Akeeba Backup.
In definitiva, Akeeba Backup è uno strumento estremamente utile per la gestione dei backup di Joomla, che permette di proteggere il sito web da eventuali problemi tecnici o attacchi esterni.
Conclusioni
In breve, migliorare la sicurezza di Joomla richiede un po’ di lavoro e attenzione, ma è fondamentale per mantenere il tuo sito web al sicuro dagli attacchi informatici. Segui i nostri consigli e prendi tutte le precauzioni necessarie per proteggere il tuo sito web. Ricorda sempre che la sicurezza è un processo continuo e che le minacce informatiche sono in costante evoluzione, quindi tieniti sempre aggiornato e vigile.