La sicurezza è uno degli aspetti più importanti per la vita e il successo di un sito web.

Il Corso di Joomla! 3 – SECURITY, composto di dieci video lezioni, mostra come rendere più sicuro un sito Joomla, tramite tecniche ed estensioni specifiche.

Ma quali sono le estensioni migliori per mettere in sicurezza un sito Joomla?

Akeeba Backup

akeeba backup joomla

Akeeba Backup è l’estensione migliore per fare i backup di un sito Joomla.

Ci fornisce una copia funzionante del sito, che potremmo utilizzare in caso di problemi e malfunzionamenti del sito, ad esempio a seguito di attacchi informatici o per errori nostri o per aggiornamenti non andati a buon fine.

Vuoi sapere come funziona? Segui il corso SECURITY o il tutorial gratuito Fare il backup di Joomla.

Akeeba Kickstart

akeeba kickstart joomla

Altro strumento del team Akeeba, Kickstart è l’applicativo che permette di ripristinare un sito partendo dal file di backup creato con Akeeba Backup.

CMS Manager

cms manager joomla

È un’estensione sviluppata da JoomlaHost e che permette di censire in un unico pannello di controllo tutti i siti Joomla che stiamo gestendo e soprattutto di effettuare, anche con un solo click, tutti gli aggiornamenti, sia del core che delle estensioni installate.

Si tratta di uno strumento molto utile in particolar modo per chi amministra più siti contemporaneamente. L’aspetto interessante è che l’estensione CMS Manager può essere utilizzata anche se il sito non è su hosting JoomlaHost.

Admin Exile

admin exile joomla

L’URL amministrativo di un sito Joomla è pubblico e come tale conosciuto anche da potenziali cracker. È dato dal nome del sito + /administrator.

Per impedire che potenziali attaccanti tentino l’accesso al backend del sito (es. con attacchi Brute Force) possiamo rendere difficilmente conoscibile l’URL amministrativo del sito. Come? Con Admin Exile.

Oltre a modificare l’URL amministrativo del sito, Admin Exile ci aiuta a contrastare efficacemente gli attacchi di tipo Brute Force andando a bloccare gli IP da cui provengono gli attacchi.

Admin Tools

admin tools joomla

Admin Tools è un’estensione sviluppata dal team di Akeeba Backup e senza dubbio una delle più affidabili per aumentare la sicurezza di un sito Joomla. È presente una versione gratuita (ma con poche funzionalità) e la versione PRO.

Le funzioni che l’estensione PRO offre sono davvero molte (https://www.akeebabackup.com/documentation/admin-tools.html) :

  • la creazione di direttive volte alla sicurezza all’interno di .htaccess, utili per prevenire tutta una serie di attacchi sui siti Joomla e sui server;
  • utilizzo di un firewall (WAF – Web Application Firewall) a protezione degli attacchi più importanti che possono colpire Joomla, in particolare gli attacchi di tipo SQL Injection, Remote File Inclusion e anche gli attacchi Brute Force;
  • modifica dell'URL amministrativo (come Admin Exile);
  • restrizione dell’accesso al backend ai soli utenti inseriti in una Whitelist (IP);
  • blocco degli attacchi Brute Force: dopo tre tentativi di login in un minuto l’user agent o l’utente viene bloccato per 15 minuti;
  • divieto di login sul front end come Super Administrator (è una precauzione contro gli attacchi Brute Force);
  • blocco degli user agent sospetti;
  • blocco dei tentativi di Remote File Inclusion;
  • blocco degli attacchi di tipo Cross Site Scripting (XXS);
  • scanner degli upload: se alcuni file caricati (es. un’immagine) contengono anche solo una riga di codice php la richiesta viene bloccata;
  • blocco geografico degli IP (ad esempio degli IP di quei paesi da cui provengono più attacchi); 
  • strumento di scansione delle modifiche apportate ai file php: i cracker possono iniettare del codice all’interno di determinati file e poi effettuare l’attacco in un secondo momento: conoscere le modifiche ai file che non sono stati apportati dall'amministratore del sito può prevenire alcuni tipologie di attacchi.

Marco’S SQL Injection

marcos sql injection joomla

È un plugin molto interessante, creato da uno sviluppatore italiano, che aggiunge una protezione contro gli attacchi di tipo SQL Injection e gli attacchi LFI (Local File Inclusion). In questo modo possiamo ragionevolmente bloccare tutta una serie di exploit più comuni sui siti Joomla.

KeyCaptcha

keycatpcha joomla

Il captcha è una misura di sicurezza che è consigliabile implementare sui form presenti nel sito, soprattutto il form di registrazione e il form dei contatti. Si tratta di una sorta di test che permette di determinare se l’utente che sta compilando il form è un umano o un bot automatico (un software).

Questo riduce il numero di utenti spam che si registrano al sito o che scrivono tramite il form di contatti. 

In Joomla è presente un plugin che permette in modo semplice di inserire il codice di verifica recaptcha di Google, senza dubbio uno dei migliori e meno impattante a livello dell’usabilità.

In alternativa possiamo utilizzare altre estensioni. Tra queste ad esempio KeyCaptcha, dove l’utente come test deve completare una sorta di puzzle.

SpambotCheck

spambot check joomla

Per ridurre lo spam a livello soprattutto del form di registrazione possiamo utilizzare un’ottima estensione gratuita, SpambotCheck .

SpambotCheck effettua controlli a livello degli indirizzi IP, delle email, degli Username, bloccando la registrazione di utenti spam e inviando una notifica all’amministratore del sito.

Stop Registration Bots

stop registration bots joomla

In modo simile a SpambotCheck con Stop Registration Bots è possibile contrastare il fenomeno dello spam sul form di registrazione, anche grazie alla gestione e personalizzazione di tutta una serie di filtri.