As malditas extensões – Bonitas, mas possivelmente maléficas!
Quantos de nós é que instalamos extensões
por vaidade ou para satisfazer um prazer apenas estético? É
a febre de querer conhecer as novidades dos gadgets! Mas o resultado pode ser amargo… Quase todos os problemas do Joomla, quer de segurança ou de performance, acontecem por causa das extensões que instalamos.
O código do próprio CMS é bastante seguro, no entanto as extensões não são criadas pelos programadores do Joomla. São um
contributo de programadores, quase sempre bem intencionados, mas que nem sempre dominam por completo a programação CMS, e por vezes o código não é configurado com a segurança exigida, o que torna a extensão insegura, o que é suficiente para colocar todo o site em perigo.
O que fazer? Deve avaliar cuidadosamente se
precisa ou não de determinada extensão e lembre-se que não deve manter apenas o Joomla atualizado, mas como todas as extensões que utiliza. Por vezes, os programadores descobrem falhas de segurança nas suas próprias extensões e lançam novas versões que resolvem esses problemas.
Se descobriu que está a utilizar uma
extensão insegura e decide deixar de utilizá-la, não clique apenas para
unpublish a extensão. Apague os ficheiros do servidor, caso contrário é como se
ainda estivesse a utilizar a extensão. Se os ficheiros estiverem no servidor, o
seu site estará vulnerável.
Cópias de Segurança – Não faça o seguro depois do acidente!
Faça um backup total ou apenas dos
ficheiros regularmente e sempre que instalar uma extensão,
componente, template ou fizer qualquer alteração no código CMS. Por precaução, deve guardar pelo menos
as últimas 4 cópias e organize-as por data, por exemplo.
O backup da base de dados deve ser feito de acordo com as atualizações que que faz no site. Se o seu site for atualizado diariamente, deve fazer backups diários. Se não for actualizado com tanta frequência, faça o backup com alguma regularidade, como 1 ou 2 vezes por mês. Não guarde as cópias no seu alojamento. Descarregue as cópias para o seu PC e faça também um backup dos ficheiros importantes que guarda no seu PC.
O backup da base de dados deve ser feito de acordo com as atualizações que que faz no site. Se o seu site for atualizado diariamente, deve fazer backups diários. Se não for actualizado com tanta frequência, faça o backup com alguma regularidade, como 1 ou 2 vezes por mês. Não guarde as cópias no seu alojamento. Descarregue as cópias para o seu PC e faça também um backup dos ficheiros importantes que guarda no seu PC.
Passwords – Bons exercícios de memória!
Todo o trabalho que tiver com as atualizações e backups será infrutífero se utilizar uma password insegura!
A sua password deve ter letras maiúsculas, minúsculas, números e caracteres especiais. Não precisa de ser muito extensa. Utilize por exemplo 3 letras maiúsculas, 3 números, uma letra minúscula e um caracter especial.
Exemplo: M82+EhY2
Se preferir, no cpanel tem uma opção chamada Password Protect Directories, onde pode também proteger a pasta administrator com username e password. Assim fica com uma dupla protecção, dado que para aceder à zona de administração do site.
A sua password deve ter letras maiúsculas, minúsculas, números e caracteres especiais. Não precisa de ser muito extensa. Utilize por exemplo 3 letras maiúsculas, 3 números, uma letra minúscula e um caracter especial.
Exemplo: M82+EhY2
Se preferir, no cpanel tem uma opção chamada Password Protect Directories, onde pode também proteger a pasta administrator com username e password. Assim fica com uma dupla protecção, dado que para aceder à zona de administração do site.
Google, o agente duplo!
Todos nós utilizamos o Google para esclarecer dúvidas e encontrar respostas aos desafios ou problemas com que nos deparamos. No entanto, o Google é também um grande aliado dos hackers..
De que forma é que os hackers decidem atacar o seu site? O método habitual é simples! Descobrem por exemplo que uma determinada versão de uma extensão está vulnerável e a forma de explorar essa vulnerabilidade, depois procuram no Google através do comando inurl: a assinatura dessa extensão. O resultado é uma lista de sites vulneráveis e se o seu site estiver nessa lista, adivinhe o que vai acontecer!
Utilize um componente SEF (Search Engine Friendly) de modo a rescrever o seu url. Assim evita que o seu site apareça nessas listas e terá mais sucesso nas pesquisas que lhe interessam no Google, dado que o seu site ficará mais optimizado para o Google.
De que forma é que os hackers decidem atacar o seu site? O método habitual é simples! Descobrem por exemplo que uma determinada versão de uma extensão está vulnerável e a forma de explorar essa vulnerabilidade, depois procuram no Google através do comando inurl: a assinatura dessa extensão. O resultado é uma lista de sites vulneráveis e se o seu site estiver nessa lista, adivinhe o que vai acontecer!
Utilize um componente SEF (Search Engine Friendly) de modo a rescrever o seu url. Assim evita que o seu site apareça nessas listas e terá mais sucesso nas pesquisas que lhe interessam no Google, dado que o seu site ficará mais optimizado para o Google.
O User Admin – Não deixe a chave na fechadura!
Para um hacker entrar como
administrador no seu site, tem de "adivinhar" o username e a password. Qualquer hacker
sabe, que por defeito existe um utilizador admin. Se mantiver este utilizador, o
hacker vai ter 50% do sue trabalho concluído. Se alterar o utilizador, o hacker
terá que tentar descobrir ambos!
Para efetuar a alteração, seleccione o User Manager. Seleccione o registo do utilizador admin. Altere o nome do utilizador e guarde as alterações.
Sem comentários:
Enviar um comentário