fb-pixel

Come aumentare la sicurezza di un sito Joomla: 5 consigli

Pubblicato in:

by:

Vuoi imparare come migliorare la sicurezza di Joomla? Abbiamo raccolto in 5 capisaldi i suggerimenti da seguire per proteggere il tuo sito.

In questa guida troverai consigli che puoi mettere subito in pratica per ridurre le vulnerabilità di Joomla.

Tieni presente fin da adesso che alla base di un sito sicuro ci deve essere un server Joomla affidabile, per cui scegli con cura il provider hosting a cui affidarti.

Come Aumentare La Sicurezza Di Un Sito Joomla

Come mettere in sicurezza un sito Joomla

Ci sono diverse operazioni che puoi fare per migliorare la sicurezza di un sito web.

Quali accorgimenti seguire e come metterli in pratica? La risposta dipende dalla piattaforma con cui è costruito il tuo sito.

Per questo nella guida che stai leggendo ti mostreremo dei consigli mirati per la sicurezza di Joomla.

Mantenere aggiornati Joomla e tutti i componenti

Quando si parla di mantenere un sito Joomla sicuro, preoccuparti degli aggiornamenti dovrebbe essere una delle tue priorità.

Quando viene rilasciato un aggiornamento del core (l’insieme dei file che costituiscono il fulcro centrale di Joomla) o di un’estensione, spesso può capitare che in quell’aggiornamento ci siano anche dei fix di sicurezza.

Aggiornare Joomla, non è infatti solo un modo per accedere alle ultime funzioni, ma anche il metodo migliore per garantire la sicurezza del tuo sito web.

Attenzione: questo non vuol dire che devi aggiornare sempre all’ultima versione. Tieni presente, infatti, che a volte aggiornare crea dei grossi grattacapi per problemi di incompatibilità.

Aggiornare Joomla Update Channel

Quello che devi fare è leggere le note che accompagnano il rilascio delle nuove versioni e aggiornare quando nell’aggiornamento sono incluse patch che risolvono vulnerabilità di Joomla.

Fai attenzione alle estensioni con vulnerabilità note

Joomla aggiorna periodicamente la lista delle estensioni con vulnerabilità. La puoi consultare da Joomla.org nella sezione “Vulnerable Extensions“.

Lista Vulnerabilita Delle Estensioni Di Joomla

Se una o più estensioni che hai sul sito sono in questa lista, è caldamente raccomandato di disinstallarla.

Dopodiché puoi cercare un’estensione con le stesse funzioni.

Quando il problema con l’estensione verrà risolto, la troverai nella lista delle estensioni a cui è stata applicata una patch e potrai utilizzarla di nuovo sul tuo sito.

Usa solo estensioni e template affidabili

Un altro pericolo per la sicurezza di un sito Joomla è costituito dalle estensioni e template di terze parti.

Per non correre rischi, oltre a consultare la lista delle estensioni con problemi noti come abbiamo appena visto, c’è un’altra cosa importante da fare.

Joomla Directory Delle Estensioni

Verifica sempre la fonte e assicurati che le estensioni e i template che installi siano sviluppate da aziende e sviluppatori affidabili.

Aggiorna la versione di PHP

Le vulnerabilità di Joomla possono dipendere anche dalla versione PHP che stai usando.

Per rendere più sicuro il sito, è consigliabile verificare qual è la versione di PHP attuale.

In base al provider, puoi verificare qual è dal pannello di controllo dell’hosting. Per esempio da cPanel puoi controllare con un semplice click.

Per fare questa verifica direttamente da Joomla puoi andare su Sistema > Informazioni di sistema.

Joomla Sistema Informazioni Di Sistema

Da qui potrai verificare la versione PHP in uso, come ti mostro in questa schermata:

Verificare Versione Php In Uso Su Joomla

Puoi quindi verificare su PHP.net se la versione che stai usando è ancora supportata e sta ricevendo gli aggiornamenti di sicurezza. Se non lo è, vuol dire che è arrivato il momento di aggiornarla.

Tieni conto che in alcuni casi potresti vedere un avviso quando accedi all’area di amministrazione del tuo sito Joomla, come ti mostro in questo esempio.

Avviso Joomla Aggiornare Versione Php
Avviso che invita ad aggiornare la versione PHP.

La procedura per l’aggiornamento dipende dal tuo provider. Con SupportHost avrai sempre la possibilità di impostare la versione che preferisci e potrai farlo in completa autonomia.

Usare la connessione HTTPS

Assicurati che sul tuo sito sia installato un certificato SSL. Questo certificato è indispensabile per attivare il protocollo HTTPS sul tuo sito Joomla.

Rispetto ad HTTP, HTTPS è un protocollo sicuro che permette di proteggere le informazioni che transitano verso il sito web.

Problemi Di Sicurezza Del Sito

Se scegli un hosting affidabile, il provider ti fornirà tutti gli strumenti per mettere in sicurezza il sito.

Con i nostri hosting CMS, come i piani per Joomla ma anche hosting WooCommerce e quelli pensati per rivenditori tra cui hosting reseller LiteSpeed avrai il certificato SSL gratuito di Let’s Encrypt già installato e attivo.

Questo vuol dire che potrai utilizzare il protocollo HTTPS sul tuo sito senza dover installare il certificato in autonomia.

E con gli altri piani?

Se scegli un piano non gestito come il nostro unManaged VPS cloud, potrai installare il certificato SSL in autonomia.

Sicurezza Joomla: come proteggere l’area di amministrazione

In questa sezione andiamo a vedere quali accorgimenti usare per rendere più sicuro un sito Joomla.

Nello specifico vedremo:

  • l’importanza di usare credenziali efficaci e complesse;
  • come limitare l’accesso al back end del sito con due metodi diversi;
  • come attivare un livello di protezione aggiuntiva con l’autenticazione multi fattore;
  • perché è importante verificare i permessi degli utenti che hanno accesso al sito.

Usa password sicure

Spesso le soluzioni che ci sembrano le più scontate sono quelle più efficaci.

Quando si pensa alla sicurezza di un sito si pensa all’uso di firewall o plugin. In realtà ci sono delle buone pratiche che puoi adottare tu stesso fin dal momento in cui installi Joomla. Si tratta di consigli che tutti conosciamo e che finiamo per sottovalutare.

Login

Uno di questi è proprio la scelta della password.

Anzi, per essere più precisi la combinazione di nome utente e password.

Evita nella maniera più assoluta di usare username comuni come “admin” e di usare password semplici. La cosa migliore da fare è creare una password complessa e lunga e di non riutilizzare la stessa password per diversi siti. Se è difficile tenere a mente tante password complesse e diverse tra loro, ci può aiutare un gestore di password.

Nascondi l’accesso al pannello di amministrazione

Il motivo per cui non devi usare password e nomi utente facili da indovinare è che i malintenzionati che vogliono accedere al tuo sito possono sfruttare un tipo di attacco chiamato brute-force.

Gli attacchi di forza bruta consistono nel provare a inserire combinazioni di credenziali comuni per cercare di “forzare” l’accesso. All’aumentare della complessità e della lunghezza della password, questi attacchi diventano sempre meno efficaci.

Oltre ad usare password complesse, c’è un ulteriore passaggio che puoi fare per aumentare la sicurezza del sito e proteggere Joomla dagli attacchi brute force.

Puoi modificare l’indirizzo di accesso alla pagina di amministrazione del sito.

Per impostazione predefinita l’accesso al back end del sito si effettua collegandosi al seguente indirizzo:

https://dominio.com/administrator/

Utilizzando un’estensione come “AdminExile” possiamo modificare l’URL di accesso al back end aggiungendo una chiave segreta. In questo modo solo chi conosce l’indirizzo corretto completo di chiave riesce a raggiungere la pagina di login del nostro sito Joomla.

Effettuare Il Login Joomla

In pratica in questo modo l’area di accesso al pannello di amministrazione sarà disponibile a un indirizzo come questo:

https://dominio.com/administrator/?chiavesegreta

Consentire l’accesso solo a determinati indirizzi IP

Possiamo applicare un’ulteriore misura di sicurezza sul nostro sito Joomla. Infatti possiamo consentire l’accesso all’area di amministrazione del sito solo ad alcuni indirizzi IP.

Per farlo abbiamo diversi metodi:

  • possiamo usare un’estensione che ci permette di inserire gli IP consentiti e impedire l’accesso agli altri;
  • possiamo inserire una regola nel file .htaccess del sito.

Tieni presente che non tutti i provider ti consentiranno di modificare il file di configurazione. Con tutti i piani di SupportHost potrai sempre modificare il file .htaccess anche direttamente dal file manager di cPanel che ti mettiamo a disposizione.

Per quanto riguarda il file .htaccess puoi usare le direttive Deny e Allow, ti mostro con degli esempi come fare.

Consentire l’accesso a un solo indirizzo IP:

Order Deny,Allow

Deny from all

Allow from 123.123.123.123

Consentire l’accesso a più indirizzi IP:

Order Deny,Allow

Deny from all

Allow from 123.123.123.123, 124.124.124.124

Puoi inserire più indirizzi IP separandoli con delle virgole, oppure scrivendoli uno per ogni riga in questo modo:

Order Deny,Allow

Deny from all

Allow from 123.123.123.123

Allow from 124.124.124.124

In entrambi i casi dovrai sostituire “123.123.123.123” con gli indirizzi IP corretti.

Tieni conto che per usare questo sistema devi avere un IP statico.

Attivare l’autenticazione a due fattori

Un altro metodo per aumentare la sicurezza di Joomla è utilizzare l’autenticazione a due fattori, chiamata anche “Two-Factor Authentication” o “Multi-Factor Authentication”.

Dalle nuove versioni successive a Joomla 3.2.0, è stata introdotta l’autenticazione a più fattori e può essere attivata direttamente dal pannello di amministrazione.

Autenticazione Da Telefono

Se non l’hai ancora attivata ti basta andare su Messaggi post-installazione e poi cliccare su “Abilita i nuovi plugin per l’autenticazione a più fattori”.

Attivare Autenticazione A Piu Fattori Su Joomla

Potrai quindi scegliere il metodo di autenticazione da usare, per esempio l’invio di un codice via email o usare un’applicazione per l’autenticazione come Google Authenticator.

Limitare l’accesso e i permessi degli utenti Joomla

Joomla ha delle regole che ti permettono di migliorare il livello di sicurezza del sito. Per quanto riguarda la gestione degli utenti ci sono tre tipi distinti ognuno con dei permessi specifici.

Conoscerli ci aiuta ad attribuire i ruoli correttamente.

Suggerimento: dalle impostazioni “Configurazione globale” puoi aprire la scheda “Permessi” per vedere quali sono le impostazioni attuali per ogni ruolo.

Joomla Configurazione Globale Permessi

Ricordati che la cosa migliore è di dare l’accesso minimo: se un tuo collaboratore non ha bisogno di accedere e modificare la configurazione del sito ad esempio, non ha senso attribuirgli il ruolo di Super Utente.

In questa tabella ti mostro i permessi di default in base al ruolo dell’utente. Tieni presente che puoi modificare i permessi dall’area di amministrazione.

Nome del ruoloAccesso al back endCreare, modificare ed eliminare i contenuti (articoli e media)Installazione / rimozione delle estensioniModifica della configurazione globaleAggiunta / rimozione di Super Utenti
Manager
Amministratore
Super utente

Come vedi l’utente che ha tutti i permessi e il completo controllo del sito è il “Super utente”, per questo si tratta del ruolo che devi assegnare con maggiore cautela.

Ti consiglio di controllare periodicamente i ruoli attribuiti dalla gestione degli utenti. In questo modo puoi renderti conto se avevi creato un account temporaneo con determinati permessi amministrativi e ora non sono più necessari e modificare i permessi o disattivare quell’account.

Come dicevo anche all’inizio, il buon senso e le azioni degli utenti stessi possono fare la differenza quando si parla di sicurezza di un sito web.

Creare backup frequenti

Anche se questa non è una vera e propria misura di sicurezza, creare backup del sito con un certa regolarità è sicuramente un’arma in più.

Se il tuo sito venisse hackerato o manomesso rischieresti di perdere dati e contenuti. Ed è qui che ci vengono incontro i backup.

Backup Del Sito

Anche in questa circostanza affidarsi a un servizio di hosting solido e sicuro fa la differenza.

Su SupportHost la sicurezza è la nostra priorità e ti forniamo gli strumenti per mantenere i tuoi dati al sicuro. A questo scopo tutti le nostre soluzioni includono backup automatici giornalieri.

Per i piani VPS cloud e server dedicati manteniamo i backup degli ultimi 7 giorni.

Con tutti gli altri piani, comprese le soluzioni su misura per Joomla, potrai accedere ai backup degli ultimi 30 giorni.

I backup automatici sono un’ottima base per mettere al sicuro i tuoi dati. In aggiunta è caldamente consigliato effettuare backup in autonomia. Puoi usare diversi strumenti comprese estensioni facili da usare come ad esempio “Akeeba Backup”.

Akeeba Backup Estensione Joomla

Scegliere una soluzione hosting affidabile

Ricordati che la scelta dell’hosting è cruciale per proteggere il tuo sito.

Sicurezza

Cosa può fare un ottimo servizio di hosting a differenza di uno scadente?

  • Implementa delle misure di sicurezza rigide per isolare gli account in un ambiente condiviso.
  • Adotta regole per proteggere il sito da attacchi comuni come DDoS e brute force.
  • Ti garantisce backup automatici del sito e del database.
  • Aggiorna costantemente la versione di PHP per metterti a disposizione sempre la più sicura.
  • Ti consente di accedere al sito con una connessione sicura via SFTP o con accesso SSH.

Se cerchi tutte queste caratteristiche in un hosting, con SupportHost il tuo sito sarà in una botte di ferro. Ti diamo tutti gli strumenti per difendere il tuo sito Joomla e avere prestazioni ottime.

Conclusioni

Se vuoi migliorare la sicurezza di un sito Joomla, parti dal mettere in pratica i consigli che abbiamo visto oggi.

Ricordati che come amministratore del sito hai un ruolo cruciale per mantenere il tuo sito in sicurezza. Buone pratiche come adottare password complesse e gestire correttamente i permessi degli utenti che hanno accesso al sito sono essenziali.

Oltre a queste ci sono altre misure di difesa aggiuntive che puoi adottare come ti ho mostrato.

E per finire: non sottovalutare la scelta dell’hosting, alla base del tuo sito deve esserci un’infrastruttura sicura o qualsiasi cosa tu faccia sarà inutile.

Hai mai avuto attacchi verso il tuo sito Joomla? Quali di queste misure di sicurezza adotti per evitare problemi? Fammi sapere con un commento.


Prova gratis e senza impegno uno dei nostri piani hosting per 14 giorni. Non è richiesto nessun dato di pagamento!

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *