Punti chiave
Come tutti i più diffusi CMS, anche la sicurezza del login di Joomla è un elemento fondamentale per la difesa del proprio sito da parte di individui il cui scopo è quello di arrecare danni o di sottrarre dati sensibili. La sicurezza è, quindi, un aspetto fondamentale per chiunque gestisca un sito o un blog, a prescindere che si tratti di un portale personale o professionale.
Tra l’innumerevole serie di cyber-attacchi, quelli indirizzati al login sono molto diffusi e altrettanto pericolosi, specialmente se si pensa che tutti possiamo esserne vittime, con tutte le conseguenze che ne derivano. Joomla non è, chiaramente, immune da questo tipo di pericoli, per questo è fondamentale correre ai ripari adottando delle misure specifiche per la sicurezza del login di Joomla.
Sicurezza del login di Joomla: modificare Admin Super User
L’username è uno dei due parametri che ci permette di avere accesso al backend del sito.
Si tratta, quindi, di un “valore” di estrema importanza da scegliere con la dovuta attenzione, specialmente considerando il fatto che le tecniche e le tecnologie impiegate dai cracker per sottrarre le credenziali di accesso si stanno facendo di giorno in giorno più raffinate.
Uno dei primi accorgimenti da prendere per aumentare la sicurezza del login di Joomla è quindi quello di cambiare l’username per il Super Administrator, evitando di utilizzare quello di default, vale a dire admin.
“Admin”, infatti, essendo un parametro “di base” è comune a tutti i siti Joomla e quindi noto a tutti, cyber-criminali compresi, i quali quindi conoscono già una delle due credenziali di accesso e non devono fare altro che inserire n-combinazioni per la password fino a trovare quella giusta. Perché semplificare il “lavoro” a chi sta tentando di danneggiarvi?
Joomla consente di cambiare facilmente l’username per il Super Administrator, un passo grazie al quale è già possibile assicurarsi un adeguato livello di protezione contro buona parte degli attacchi al login.
E’ bene ricordare, però, che altre impostazioni predefinite, come user ID, potrebbero essere utilizzate per violare l’account amministratore e avere quindi accesso al sito.
Come intervenire?
Il metodo forse più efficace è quello di creare un nuovo Super User al quale associare una combinazione username unico e una password forte. A questo punto è sufficiente loggarsi al backend utilizzando il nuovo user, procedere a rinominare e rimuovere i privilegi del Super User per l’account admin e per poi disabilitarlo totalmente.
Chiaramente, è possibile utilizzare anche dei plugin di sicurezza, capaci di semplificare ulteriormente questa operazione come ad esempio Admin Tools.
Sicurezza del login di Joomla: usare password complesse
L’username è solo uno dei due parametri tradizionalmente utilizzati per avere accesso all’area di amministrazione del vostro sito Joomla.
Se, quindi, è importante creare un nuovo username evitando quello di default, altrettanto lo è impostare una password sicura e difficilmente rintracciabile dagli strumenti di scanning impiegati dai cyber-criminali per provare numerose combinazioni di lettere e numeri nel giro di pochi minuti.
Ma come creare una password forte per implementare la sicurezza del login di Joomla? Generalmente per “indovinare” una password si utilizzano una lista di parole che comunemente gli utenti impiegano per comporre la propria “chiave di accesso”.
Il primo avvertimento, quindi, è quello di evitare parole comuni e molto in uso (ad esempio admin123), così come informazioni personali (come nomi propri o cognomi, date di nascita etc.) o riferite al nome del proprio sito.
Una password forte deve essere abbastanza lunga e contenere non solo lettere, ma anche numeri e caratteri speciali che ne rendono molto più complessa l’individuazione. Sempre relativamente all’utilizzo di parole comuni per la composizione delle password è bene fare un piccolo chiarimento.
Come detto gli attacchi brute-force inseriscono n-combinazioni di lettere e caratteri sino a trovare quella giusta, mentre gli attacchi dizionari (dictionary attack) utilizzano appunto delle parole scritte in un dizionario che altro non è che un elenco di password comuni.
In questo tipo di attacco, quindi, vengono provate tutte le possibili combinazioni di password utilizzando le parole più comunemente impiegate dagli utenti come i nomi propri, i nomi di città, le date e così via.
Sicurezza del login di Joomla: usare dei filtri per accedere al pannello di controllo
E’ possibile migliorare la sicurezza del login di Joomla anche utilizzando dei “filtri” che, in pratica, restringono l’accesso all’area admin.
Un primo passo è senza dubbio proteggere la cartella di amministrazione del sito impostando una password ulteriore. Una volta protetta la cartella di amministrazione, la nuova password verrà richiesta a ogni tentativo di accesso per visualizzare il form di login tradizionalmente usato per accedere al backend del sito.
Un altro espediente che è possibile utilizzare per limitare l’accesso all’area di amministrazione è quello di fissare dei filtri per gli IP.
In pratica si permette solo a determinati IP, inseriti in una apposita whitelist, di avere accesso alla admin URL mentre se la richiesta proviene da un IP non autorizzato questo verrà automaticamente re-indirizzato alla pagina principale o visualizzerà un messaggio di errore.
Restringere l’accesso al pannello di amministrazione impostando dei filtri per gli IP può essere una misura utile a migliorare la sicurezza del login di Joomla sebbene sia opportuno ricordare che, per impiegare questa “tecnica”, è necessario disporre di un IP statico.
Ci sono poi degli utili plugin di sicurezza per Joomla che consentono di avere queste ed altre funzionalità molto utili per mettere in sicurezza il login e non solo. Tra quelli attualmente disponibili, si segnala jSecure, un’estensione abbastanza completa che offre una serie di features interessanti come i captcha, “login control” e molto altro.
Sicurezza del login di Joomla: l’autenticazione a due fattori
Anche per la sicurezza del login di Joomla, Two-Factor Authentication si accredita come un metodo molto utile e semplice per migliorare i livelli di sicurezza e proteggersi da una buona fetta di attacchi brute-force.
Con Two-Factor Authentication è infatti possibile aggiungere un ulteriore livello di protezione alla fase di login utilizzando, in pratica, una One Time Password (OTP) di solito inviata tramite sms sul cellulare.
Questo significa che, anche se un cracker è riuscito a sottrarre le vostre credenziali di accesso, non sarà comunque in grado di loggarsi al sito, in quanto necessiterà di questo ulteriore codice di autenticazione che difficilmente riuscirà ad ottenere.
Relativamente al Two-Factor Authentication è possibile segnalare un plugin particolarmente utile che impiega proprio questa tecnica; si tratta di SecSign ID, un’estensione di sicurezza di semplice installazione che permette di utilizzare il Two-Factor Authentication per accedere al sito usando il proprio smartphone Apple o Android.