Segurança em Joomla - Dicas Básicas

Muitas pessoas utilizam o CMS Joomla, no entanto a maior parte destas "esquece-se" do factor segurança nos seus sites. Existem pequenos pormenores extremamente fáceis de implementar que aumentarão consideravelmente a segurança do teu site Joomla.

Desligar os relatórios de erro

Um deles é desligar os relatórios de erros, os relatórios de erros alem de diminuírem a velocidade do site indicarão também ao "hackers" falhas na segurança deste. Isto pode ser desactivado em 'Configuração Geral -> Sistema'.

Depois de desactivada esta função não te será permitido visualizar os erros gerados pelo Joomla, o que é uma coisa boa uma vez que o utilizador comum não os vê (o que não era muito profissional) e os hackeres não podem forçar erros de forma a descobrirem métodos de comprometer o sistema.

Utilizar um componente SEF

A maioria dos hackers utilizam o comando 'inurl:' do Google para procurarem por falhas em websites. Uma boa solução para contrariar este potencial risco é instalar um componente que re-escreva os Url, aconselho o SH404SEF ou o Artio-JoomSef.

O componente SEF irá trazer-lhe também bastantes vantagens a nível de SEO (rank mais elevado aos "olhos" do Google).

Mover o ficheiro configuration.php para fora da raiz

Mova simplesmente o ficheiro de configuração para qualquer pasta que você queira dentro do site e atribua-lhe um novo nome. No exemplo utilizei 'joom.conf'

Crie um novo ficheiro de configuração na raiz com o nome de configuration.php contendo o seguinte código:

<?php
require( dirname( __FILE__ ) . '/../joom.conf' );
?>

Realize backups regulares

Esta tarefa pode ser feita através do Cpanel de qualquer conta de alojamento, no entanto existem tambem alguns componente muito bons que realizam esta tarefa. O meu favorito é o JoomlaPack. Um backup semanal caso actualize o seu site regularmente é uma boa opção, ou então backups mensais.

Não mostrar que versões das extensões utiliza

Em primeiro lugar qualquer admin de um website deveria ter uma lista de todas as extensões que utiliza e fazer o update a estas quando sai-se uma nova versão. No entanto todos nos sabemos que o tempo não chega para tudo e muitas vezes fazer um update a uma extensão pode ser um bocado moroso. É então boa politica remover a versão da extensão que utiliza a quando da instalação desta, isto pode ser feito editando os ficheiros da extensão com o notepad por exemplo.

Mudar o prefixo da base de dados (jos_)

A maioria dos hack escritos para comprometer um site Joomla, tentaram adquirir informação da tabela jos_users. E desta maneira podem adquirir a password e username do administrador do website. Mudar o nome do prefixo para algo aleatório era impedir a maioria destes ataques, se não todos.

O prefixo pode ser escolhido aquando a instalação de um site Joomla. Se você já instalou o seu site e pretende modificar o prefixo faça o seguinte:

1. Faça o login no painel de administrador do Joomla!.
2. Vá à configuração global e procure por bases de dados
3. Mude o prefixo para qualquer coisa aleatoria (Ex: asfdg_) e guarde.
4. Vá ao phpMyAdmin e aceda à base de dados.
5. Faça export, deixe os valores pré-definidos e faça Start.
6. Selecione todo o codigo e cole no notepad.
7. No phpMyAdmin, selecione todas as tabelas e apage-as.
8. No notepad, faça um Search & replace (Ctrl + H). Com os termos de procura para jos_ e mude para o seu novo prefixp (Exemplo: asfdg_). Pressione para substituir todos.
9. Selecione tudo o que estiver no seu notepad. No phpMyAdmin, vá a SQL, e cole as queries.

Download dos ficheiros referidos no artigo:

sh404SEF Joomla 1.5

[Componente sh404SEF para Joomla 1.5]

410 Kb

TrackBack URI for this entry

Lino Resende Outubro 08, 2008 http://linoresende.jor.br	Depois de duas vezes hackeado, achei bem interessantes as dicas e vou adotá-las em um dos sites de que cuido.