«

»

Gen 31 2014

Stampa Articolo

Joomla: proteggere l’accesso al back-end

hacker-pcPer tutti coloro che utilizzano il CMS Joomla per il proprio sito e che desiderano aggiungere un ulteriore livello di protezione raccomandiamo il plugin AdminExile.

E' facile per un attaccante determinare il nome della cartella amministrativa per un sito realizzato con il CMS Joomla, infatti digitando "/administrator" in qualsiasi sito in Joomla si accede alla pagina di login dove è possibile iniziare un attacco del tipo "Force Brute" al fine di scoprire la password, operazione non impossibile nel caso si sia lasciato"admin" come username dell'account superadministrator.

Quindi la raccomandazione di rendere meno accessibile la pagina di login tramite il plugin AdminExile potrebbe salvare da situazioni preoccupanti: avere un sito hackerato non è mai piacevole!

Il plugin consente agli amministratori di aggiungere una chiave di accesso alla fine dell'URL che in caso di errore reindirizza alla home page, nascondendo quindi la pagina del login.

Questa estensione è disponibile con una licenza GPLv2 non commerciale per Joomla 2.5 e Joomla versioni 3.x; la sua configurazione è molto semplice, l'unica accortezza consiste nel prendere subito nota del nuovo link di accesso alla pagina di login amministrativo altrimenti si rischia di restare chiusi fuori!

L'installazione viene eseguita con la consueta procedura, e quando il plugin è installato è necessario configurarlo entrando nella gestione plugin.

La prima sezione è relativa alle opzioni base, cioè alla configurazione dell'Access Key e della Key Value::

AdminExile-1

Inserendo questi due valori, l'url del login amministrazione di Joomla non sarà più:

www.NomeDominio.xx/administrator/

ma:

www.NomeDominio.xx/administrator/index.php?AccessKey=KeyValue

nel caso avessimo messo i valori come da immagine, l'url sarà:

www.NomeDominio.xx/administrator/index.php?abcde=12345

e se un utente digiterà ancora www.NomeDominio.xx/administrator/ sarà reindirizzato alla Home Page del sito.

Tra le altre configurazioni possibili consigliamo di attivare Mail Link:

AdminExile-2

 

il IP Security, dove è possibile indicare - se occorre - IP autorizzati o IP da bloccare:

AdminExile-4

e per terminare attivare anche Detect Brute Force:

AdminExile-3

Ricordiamo nuovamente di prendere subito nota della nuova URL, altrimenti ci sarà impedito l'accesso se non digiteremo correttamente la nuova URL!

 

2 pings

  1. Wordpress: proteggere l’accesso al back-end

    […] un precedente articolo ci eravamo occupati di un plugin per Joomla che permette di cambiare l'url di accesso al back-end […]

  2. Ripristinare un sito Joomla dopo un attacco Hacker

    […] Inoltre sarebbe opportuno installare alcuni sistemi di sicurezza e apportare alcune modifiche per limitare ulteriori violazioni come descritto in questo articolo e in questo. […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Puoi usare i seguenti tag ed attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">


*

Login

Register | Lost your password?