Imprimir

Protegendo o seu site Joomla

Publicado em .

joomlasecurityTenho visto algumas pessoas falando que o Joomla não é seguro, que ele tem várias brechas de segurança e que já teve o seu site hackeado por causa do Joomla, o que sabemos que não é bem isso. Após cansar de ouvir isso de pessoas que não conhecem bem o CMS Joomla, resolvi escrever este post dando algumas dicas e respondendo à algumas perguntas que sempre me fazem ao final de alguma palestra ou que vejo até mesmo dentro da lista de Joomleiros e em alguns fóruns sobre como fazer para tornar os seus websites em Joomla mais seguros.

Como disse o amigo Joomleiro Júlio Coutinho durante sua palestra no Joomla Day Ribeirão Preto: "Com certeza o Joomla é seguro". Mais existem alguns fatores que podem contribuir e muito para uma possível brecha na segurança. Vou exemplificar aqui uma simples alteração no arquivo configuration.php que é bem simples de ser feita e muitas pessoas não tem ideia do quanto isso pode proteger seu site dos invasores.

O PROBLEMA

Ao enviar o seu site construido normalmente em localhost ou em um servidor de testes para o servidor de hospedagem, você precisa enviar os arquivos para uma determinada pasta. Normalmente essa pasta tem o nome de /public_html, /httpdocs ou /var/www. Essas pastas são acessíveis pelos navegadores e é a pasta ou diretório mais vulnerável em qualquer servidor.

SOLUÇÃO

Minha dica seria tirar o configuration.php dessa pasta. Mais como fazer isso se este arquivo é onde o Joomla guarda as senhas, usuário de banco e várias outras configurações do Joomla?.

COMO FAZER

  • Renomeie o arquivo configuration.php que está na raiz do website, para site_cliente.conf ou um nome qualquer de sua escolha;
  • Mova o arquivo site_cliente.conf para uma ou mais pastas acima da /public_html, /httpdocs ou /var/www;
  • Aqui alguem já deve ter notado que o seu site já não está mais acessando. Claro! você renomeou o arquivo chave do Joomla e ainda moveu ele para outro diretório d:-) então vamos ao próximo passo;
  • Crie um arquivo configuration.php em branco em seu editor preferido e faça um requisição do arquivo site_cliente.conf conforme exemplo abaixo:

configuration

  • Coloque este arquivo na raiz do seu site Joomla, e altere o chmod dele para 0444 e fim. Bem simples né e agora você tem um site Joomla mais seguro, concorda?

Além desse exemplo acima, que tenho certeza muitos usuários do Joomla não conheciam, listo abaixo outras dicas para melhorar a performance do seu site Joomla com relação a segurança:

  • Evite instalar extensões pouco conhecidas e utilizadas, verifique antes se a mesma não consta na lista de extensões vulneráveis;
  • Tome muito cuidado com os famosos "templates piratas" eles podem conter códigos maliciosos;
  • Troque o usuário padrão do Joomla (admin), por outro nome de usuário e por favor, atribua-lhe uma senha forte;
  • "Não faça o seguro depois do acidente", instale e realmente faça uso do componente Akeeba Backup e Admin Tools;
  • Instale e ative o plugin JSecure para encapsular o seu diretório /administrator/ e proteja ele com uma senha ou até mesmo com restrição de acesso via range de IP;
  • Desabilite a depuração de Debug do Sistema pois isto pesa muito e também mostra aos possíveis invasores, as falhas de segurança do seu site;
  • Os diretórios devem possuir permissão (0755) e os arquivos (0644).

Ah e tem uma última dica que não precisa nem falar, mais é bom lembrar os mais desatentos. Mantenha sempre o seu site Joomla atualizado com o último release da versão utilizada, aliás a partir da versão 2.5 o próprio Joomla faz isso pra você, isso se a variavel allow_url_fopen estiver ativada no seu servidor, pois essa configuração deve estar ativa para o atualizador do Joomla funcionar, mais isso é assunto para um provavél futuro post.

Tem outras dicas e quer compartilhar com a gente? Gostaria muito de ver sua postagem abaixo nos comentários. Abraços,

julianoaugusto.com

Comentários  

 
0 # Ronildo de Sousa 30-11-2012 11:48
Juliano, sobre a primeira dica...
O que muda criar um arquivo fora depois um arquivo configuration.p hp ?? Não entendi no que isso ajuda na segurança.
Responder | Responder com citação | Citar
 
 
+2 # Juliano Augusto 30-11-2012 11:55
Citando Ronildo de Sousa:
Juliano, sobre a primeira dica...
O que muda criar um arquivo fora depois um arquivo configuration.php ?? Não entendi no que isso ajuda na segurança.

Ronildo estaria trazendo este arquivo para fora da pasta visível para web e também alterando o chmod do mesmo, no próprio texto eu explico isso. E isso pode dificultar o invasor a ter acesso ao arquivo, já que ele não estará mais na pasta padrão e acessível do servidor.
Responder | Responder com citação | Citar
 
 
0 # Pedro Renan 30-11-2012 12:01
Tenho a mesma dúvida. Se o cara chegar a ter acesso ao conteúdo do seu .php em que isso vai resolver?
Responder | Responder com citação | Citar
 
 
0 # Daniel Correa 30-11-2012 12:49
Juliano, somente mudar o configuration.p hp para 444 ou até 400, no meu caso, no site5, uso assim, acho que já é o suficiente.
Responder | Responder com citação | Citar
 
 
0 # Ronildo de Sousa 30-11-2012 14:37
Sei lá, pra mim não faz muito sentido... se o cara invadir o site, não é pelo configuration que ele faz isso, mudar o chmod dele tudo bem é recomendado, mas mduar o arquivo para fora da pasta pública não vejo vantagem.
Se o cara já tiver invadido sua hospedagem, ele só vai ter o trabalho de abrir o arquivo e ver onde está o real arquivo, ou seja, não criou nenhuma proteção.
Responder | Responder com citação | Citar
 
 
0 # Juliano 06-03-2013 16:18
Ae Ronildo, mais um site que indica aquele esquema do redirect no configuration.p hp http://www.webmaster.pt/joomla-tutorial-seguranca-4.html Citando Ronildo de Sousa:
Sei lá, pra mim não faz muito sentido... se o cara invadir o site, não é pelo configuration que ele faz isso, mudar o chmod dele tudo bem é recomendado, mas mduar o arquivo para fora da pasta pública não vejo vantagem.
Se o cara já tiver invadido sua hospedagem, ele só vai ter o trabalho de abrir o arquivo e ver onde está o real arquivo, ou seja, não criou nenhuma proteção.
Responder | Responder com citação | Citar
 
 
0 # Ivanio Luiz 30-11-2012 14:37
Pois é... não era pra gente ficar fazendo isso, mas com as hospedagens que temos é necessário, Muito bom post... Hoje estou com foco na segurança e fazendo um relatório sobre isto. Tem muita coisa que podemos mudar sem depender de host que ajuda na segurança.
Responder | Responder com citação | Citar
 
 
+1 # CHANDE 24-01-2013 16:28
a maioria das invasões em joomla, são feitas por scripts/exploits...

então, acho q isso ajuda sim, já q esses bots não vão entender nada, caso cheguem ao configuration.php

mas caso o site seja invadido por alguem com intenções pessoais... acho q não tem jeito mesmo...
Responder | Responder com citação | Citar
 
 
0 # Demetrius Trindade 23-04-2013 22:41
Caro Juliano, fiz as alterações, mas área administrativa fica fora do ar e não funciona. Como posso resolver isso? No aguardo. Abraços e obrigado.
Responder | Responder com citação | Citar
 
 
+4 # Alex Costa 03-05-2013 11:13
Juliano, muito boas as explicações. Apliquei e funcionou bem.
Responder | Responder com citação | Citar
 
 
0 # Sergio Jose 06-05-2013 15:12
Juliano Augusto, boa tarde. Entendo quase nada sobre php. Gostei de suas informações sobre segurança, mas não consegui efetuar a modificação. Onde no código, farei a indicação do nome da pasta onde se encontra o "configuration. php" original? Não faz-se necessário o caminho para ela? Muito obrigado e bom trabalho.
Responder | Responder com citação | Citar
 
 
+2 # Liliam 15-05-2013 08:59
Muito bom o post Juliano!

Dúvida, segui esses passos, funcionou legal, porém ao tentar acessar o administrator dá mensagem de Server Error, tenho que instalar primeiro o JSecure?
Responder | Responder com citação | Citar
 
 
+2 # Denis 03-06-2013 11:13
Bom dia Juliano,

efetuei a configuração conforme explicado em seu forum, alterei o nome para "site_cliente.c onf" e fiz o procedimento de "require" conforme explicado, e funcionou tudo certinho quando acessa o site via http..tudo OK....mas na hora em que tento acessar o meu administrator, aparece o seguinte error:

Warning: require(.../../ ../site_cliente .conf) [function.requi re]: failed to open stream: No such file or directory in /home/paulista/ public_html/con figuration.php on line 2

Fatal error: require() [function.requi re]: Failed opening required '.../../../site _cliente.conf' (include_path=' .:/usr/lib/php: /usr/local/lib/ php') in /home/paulista/ public_html/con figuration.php on line 2
Responder | Responder com citação | Citar
 
 
0 # Ricardo 12-06-2013 21:40
Eu fiz a modificação mas não consigo acessar o admistrator. É normal? O site está acessando normal.
Responder | Responder com citação | Citar
 
 
0 # Erick Nunes 18-06-2013 10:16
Olá amigo isso é valido para o joomla 2.5 e 3 ??

Abraço
Responder | Responder com citação | Citar
 
 
+1 # Léo WG 11-09-2013 23:32
Fiz o procedimento do Configuration.p hp mas a pasta do Administrator ficou inacessível como resolver?
Responder | Responder com citação | Citar
 
 
-1 # julianoaugusto.com 12-11-2013 08:20
Pessoal desculpas a demora em responder os comentários por aqui, estou bem corrido nos últimos meses. Vale lembrar que eu fiz este procedimento em sites usando o Joomla 1.5 ainda, nas versões 2.5 e 3 eu ainda não testei e pelo que tenho visto o pessoal comentar acima, creio que tem algum problema nesta versão que não possibilita o require no configuration.p hp, pois afeta no acesso a pasta administrator. Assim que possível vou testar e falo pra vocês o porquê de não funcionar nas ultimas versões do Joomla. Abraços
Responder | Responder com citação | Citar
 
 
0 # Julio 24-12-2013 11:48
Olá Juliano, tenho este site hospedado no uol e os mesmos fizeram mudanças nos servidores, minha pasta public_html agora é web, só que as urls de meu site mudaram de (http://www.portalleopoldina.com.br/pizzarias.html) para (http://www.portalleopoldina.com.br/var/www/html/portalleopoldina.com.br/web/pizzarias.html), no entanto eles querem que eu resolva o problema, não sou programador mas posso tentar resolver, poderia me dar uma dica?
Obrigado!
Responder | Responder com citação | Citar
 
 
+5 # Rafael Nazar 03-01-2014 15:45
Ola Pessoal encontrei a solução para o problema, só fazer a chamada do arquivo da seguinte forma.

require( str_replace('pu blic_html', '', dirname(getcwd( ))) . '/site_cliente.conf');

postem ai se deu certo e grande abraço a todos.
Responder | Responder com citação | Citar
 
 
-1 # Luciano Pereira 08-04-2014 18:43
1º Renomear o arquivo configuration.p hp para site_cliente.conf

2º Copiar para uma pasta acima da pasta raiz (crie uma pasta com o nome seg)

3º Colocar a linha baixo no arquivo configuration.p hp com o chmod 0444
Responder | Responder com citação | Citar
 
 
+1 # Jaison Martins 24-06-2016 19:23
Boa noite, mas como faço para pedir a senha igual ao seu?? fiz o teste ai no seu ele pareceu um janela do windows solicitando a senha.
Responder | Responder com citação | Citar
 
 
+1 # projeto de pesquisa 13-04-2017 03:47
estivе vendo muіtos sites e sem dúvida o sᥱu
foі o quᥱ melhor tratou ⲟ assunto . parabéns
Responder | Responder com citação | Citar
 

Adicionar comentário


Código de segurança
Atualizar

logo bretaoboots


aboutme