Le impostazioni di configurazione di Joomla sono molteplici ed è facile, per chi è alle prime armi (e non solo), imbattersi in errori che è preferibile evitare.

Quali sono i principali errori di configurazione di un sito Joomla?

 

1. Usare nome utente e password semplici

Il primo degli errori da evitare (assolutamente) è quello di utilizzare per l'utente amministratore del sito un nome utente semplice (es. "admin") e soprattutto una password debole (es. "123456").

nome utente joomla

Questo favorirebbe i tentativi di accesso al backend da parte di terze persone o gli attacchi Brute Force, sempre più frequenti su CMS come Joomla e WordPress. 

 

2. htaccess.txt non rinominato in .htaccess

Il file htaccess, presente con l'installazione di Joomla!, contiene innanzitutto al suo interno direttive che permettono di bloccare alcuni dei più comuni attacchi ai siti Joomla. 

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage

Oltre a queste, sono presenti importanti direttive che abilitano la riscrittura degli URL (il mod_rewrite di Apache) e i redirect.

Per utilizzare tutte queste direttive (e altre ancora) occorre attivare il file htaccess, e per farlo basta semplicemente rinominare il file htaccess.txt in .htaccess (è possibile utilizzare .htaccess sui server Apache) . Mantenere il file nel formato .txt rappresenta quindi un errore ed un problema di sicurezza e di ottimizzazione SEO del sito.

 

3. Permessi di file come 666 e cartelle come 777

È importante verificare che i permessi di file e cartelle siano restrittivi, altrimenti potremo facilitare i tentativi di modifica dei file e spesso di iniezione di codice maligno da parte di potenziali cracker. I permessi non devono essere impostati sul 666 per quanto riguarda i file e sul 777 per quanto riguarda le cartelle.

permessi file joomla errori

4. Descrizione e Parole chiave nelle Impostazioni Metadata

Nella Configurazione Globale - Sito sono presenti le Impostazioni Metadata. Qui troviamo i campi Descrizione del sito e Parole Chiave del sito in cui possiamo inserire la meta description e la meta keywords predefinite per tutto il sito, a meno che per le singole pagine non vengano assegnate proprie description e keywords.

impostazioni metadata joomla

Compilare questi campi rappresenta un errore perché in questo modo, con grande probabilità, avremo pagine diverse tra loro con la medesima meta description e la medesima meta keywords. Provochiamo così un problema di contenuti duplicati e forniamo ai motori di ricerca, Google su tutti, metadati non corrispondenti al contenuto della pagina, con effetti negativi sul posizionamento.

 

5. Mostrare la versione di Joomla

Sempre nelle Impostazioni Metadata che troviamo nella Configurazione globale è presente un'opzione che permette di mostrare nel codice sorgente della pagina il numero della versione di Joomla! installata sul sito.

joomla numero versione

Dal momento che si tratta di un'informazione che può essere utile per potenziali cracker alla ricerca di versioni di Joomla vulnerabili da attaccare, abilitare questa opzione rappresenta una scelta discutibile in fatto di sicurezza. 

 

6. Non attivare l’URL SEF

Un errore, in termini SEO e di sicurezza, è la mancata attivazione della riscrittura degli URL del sito. La riscrittura degli URL permette di trasformare gli URL dinamici in URL statici e "parlanti", che cioè forniscono informazioni utili sul contenuto della pagina agli spider ma anche agli utenti. Si parla in questo caso di URL SEF, dove SEF sta per Seacrh Engine Friendly, quindi URL "amichevoli" verso i motori di ricerca.

Questo è un esempio di URL non SEF:

IMG sef url

Questa è la versione dell'URL SEF: http://www.demojoomla.it/forum

Perché è importante la riscrittura degli URL anche per la sicurezza del sito? Perché grazie agli URL cosiddetti parlanti o URL SEF diamo meno informazioni a potenziali attaccanti sulla struttura del sito e sull’utilizzo di determinate estensioni all’interno della pagina.

Come abilitare la riscrittura degli URL? Occorre rinominare il file htaccess.txt in .htaccess, come indicato sopra, e quindi accedere su Configurazione globale - Sito - Impostazioni SEO. Qui impostiamo sul Sì l'opzione Attiva URL SEF

impostazioni seo joomla

 

7. Abilitare la registrazione degli utenti senza necessità

Se sul sito non è presente alcuna area riservata è buona norma di sicurezza non attivare la possibilità di registrazione al sito. In questo caso occorre verificare questa impostazione nelle Opzioni della sezione Utenti del backend.

registrazione utenti joomla


Non valida!