«

»

Feb 03 2014

Stampa Articolo

Sicurezza Joomla e WordPress: Cambiare l’utente ADMIN

admin-hackers-2L’account admin è l’utente di default che viene creato ad ogni installazione di Joomla o WordPress, quindi un hacker può sfruttare questa conoscenza e concentrarsi solo sulla ricerca della password, che se trovata gli concederà accesso come amministratore del sito.

In pratica, lasciando l’utente admin sui propri siti Joomla o WordPress si facilità notevolmente il lavoro di questi Hackers:  guardando questo video - in questo caso riferito a WordPress - si può comprendere quante relativamente poche risorse impiega un Hacker a scoprire la password conoscendo il nome utente:

 

Quindi è altamente consigliabile eliminare (o declassare a semplice utente registrato) l’utente admin il prima possibile, così da rafforzare le difese del proprio sito.

In WordPress non è possibile cambiare il nome utente dell’admin manualmente, e non è neanche possibile eliminare l’utente admin senza avere prima un altro utente amministratore attivo, per cui è necessario dapprima creare un nuovo utente da Utenti > Aggiungi Nuovo > usando una password forte: lunghezza di almeno 8 caratteri alfanumerici, cioè sia lettere sia numeri, ed eventualmente mischiando anche maiuscole con minuscole, senza riferimenti al nome utente associato, né il nome o cognome della persona stessa o date di nascita e così via, ed evitare di utilizzare parole di senso compiuto.

Usare caratteri speciali come # @ ! ? aumenta la forza di una password, password che non andrebbe mai salvata automaticamente dal browser e non scritta in chiaro su file presenti sul proprio PC. SI consiglia come software per il salvataggio delle password KeePass, programma anche portatile di libero utilizzo.

Una volta creato il nuovo utente in WordPress con diritti di amministratore, si può declassare l'utente ADMIN a semplice utente registrato, oppure anche cancellarlo ma solo dopo aver migrato i suoi articoli - se presenti - al nuovo utente (altrimenti si rischia di cancellarli tutti!)

Migliore soluzione sarebbe quella di usare un Utente apposito, con solo diritti di pubblicazione, per postare gli articoli e usare l'Utente con diritti di Amministratore solo per le operazioni di amministrazione del sito.

Per Joomla è più semplice, non occorre creare un nuovo utente in quanto si può cambiare l'Username dalla gestione Utenti. Tuttavia è consigliabile non utilizzare l'utente di default in quanto ha sempre l'ID 62 e questo valore potrebbe essere sfruttato da un Hacker: quindi suggeriamo di creare anche per Joomla un nuovo utente con diritti di SuperAmminsitratore  e declassare l'utente Admin a semplice utente registrato.

C'è da segnalare che però questa variazione potrebbe implicare la riconfigurazione del "Venditore" in caso si utilizzi il componente ecommerce Virtuemart versione 2.x: infatti è necessario configurare il Venditore su un utente con diritti di SuperAmministratore: pratica alquanto discussa tra gli addetti ai lavori in quanto permette pochissima, se non alcuna, gestione personalizzata di dati del Venditore.

Quindi, nel caso si utilizzi il componente ecommerce Virtuemart 2.x prestare attenzione a questo aspetto e controllare, nella sezione gestione del proprio negozio, i dati del venditore.

 

1 ping

  1. Ripristinare un sito Joomla dopo un attacco Hacker

    […] di sicurezza e apportare alcune modifiche per limitare ulteriori violazioni come descritto in questo articolo e in […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Puoi usare i seguenti tag ed attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">


*

Login

Register | Lost your password?