featured-image

Joomla: proteggere l’accesso al back-end

hacker-pcPer tutti coloro che utilizzano il CMS Joomla per il proprio sito e che desiderano aggiungere un ulteriore livello di protezione raccomandiamo il plugin AdminExile.

E’ facile per un attaccante determinare il nome della cartella amministrativa per un sito realizzato con il CMS Joomla, infatti digitando “/administrator” in qualsiasi sito in Joomla si accede alla pagina di login dove è possibile iniziare un attacco del tipo “Force Brute” al fine di scoprire la password, operazione non impossibile nel caso si sia lasciato”admin” come username dell’account superadministrator.

Quindi la raccomandazione di rendere meno accessibile la pagina di login tramite il plugin AdminExile potrebbe salvare da situazioni preoccupanti: avere un sito hackerato non è mai piacevole!

Il plugin consente agli amministratori di aggiungere una chiave di accesso alla fine dell’URL che in caso di errore reindirizza alla home page, nascondendo quindi la pagina del login.

Questa estensione è disponibile con una licenza GPLv2 non commerciale per Joomla 2.5 e Joomla versioni 3.x; la sua configurazione è molto semplice, l’unica accortezza consiste nel prendere subito nota del nuovo link di accesso alla pagina di login amministrativo altrimenti si rischia di restare chiusi fuori!

L’installazione viene eseguita con la consueta procedura, e quando il plugin è installato è necessario configurarlo entrando nella gestione plugin.

La prima sezione è relativa alle opzioni base, cioè alla configurazione dell’Access Key e della Key Value::

AdminExile-1

Inserendo questi due valori, l’url del login amministrazione di Joomla non sarà più:

www.NomeDominio.xx/administrator/

ma:

www.NomeDominio.xx/administrator/index.php?AccessKey=KeyValue

nel caso avessimo messo i valori come da immagine, l’url sarà:

www.NomeDominio.xx/administrator/index.php?abcde=12345

e se un utente digiterà ancora www.NomeDominio.xx/administrator/ sarà reindirizzato alla Home Page del sito.

Tra le altre configurazioni possibili consigliamo di attivare Mail Link:

AdminExile-2

 

il IP Security, dove è possibile indicare – se occorre – IP autorizzati o IP da bloccare:

AdminExile-4

e per terminare attivare anche Detect Brute Force:

AdminExile-3

Ricordiamo nuovamente di prendere subito nota della nuova URL, altrimenti ci sarà impedito l’accesso se non digiteremo correttamente la nuova URL!

 

Post Your Comment

CYBERSPAZIO WEB HOSTING di Mattiuzzi Marco | Partita I.V.A. 02131900025 | Codice Fiscale MTTMRC55M30L750R | PEC cyberspazio@pec-email.it |