Download - Seu Joomla está seguro?
JÚLIO COUTINHO @COUT45
• Graduado webdesign e programação
• Especialista em Engenharia de Sistemas
• Militar EB - Webmaster Gab Cmt Ex
• Criador e mantenedor joomlabrasilia.org
• Autor Guia Consulta Joomla!3
SEU SITE SEGURO, BOAS PRÁTICAS DE SEGURANÇA.
TIPOS DE ATAQUES
• Força bruta - "A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário."
• Sql Injection - uma das formas mais comuns e efetivas de ataques à aplicações web. Operações CRUD não autorizadas.
• Directory Scanning - exploração de diretórios.
• Acesso direto - tentativa de abrir determinado arquivo abrindo uma backdoor.
• DoS - Denial of Service (negação de serviço).
• Clickjacking - cria formulários invisíveis para capturar usuário e senha. Inicializados por Trojans presentes em links recebidos nos emails.
• Malware - infecta o site com objetivo de gerar tráfego em ataques DoS, spam e etc. (*) Aviso no navegador
WEBSCARAB
• Softwares para testes de segurança e/ou ataques com processos automatizados, desde defacement, passando por roubo de dados e destruição de diretórios e arquivos.
• OWASP WebScarab Project
• https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
JOOMSCAN
BLINDANDO O SEU SITE
•Força bruta
• Usuário de administração != admin
• Senha forte (letras maiúsculas e minúsculas, nrs e caracteres especiais)
• Directory Scanning
• Arquivo em branco (index.html) na raiz de todos os diretórios
• Sql Injection
• ID Super User randômica (Joomla 3 +)
• Prefixo de tabela randômico (Joomla 3+)
• Acesso Direto
• _JEXEC
• comp, mod, plg e tmpl
•defined('_JEXEC') or die;
• DOS
• Desligue a máquina
• Clickjacking
•header('X-Frame-Options: SAMEORIGIN');
• WebScarab
• Url's amigáveis
• .htaccess
• Encapsulamento /administrator
• Atualização CMS
• Encapsulamento meta-tag Generator
MALWARE
• Depende exclusivamente do usuário
• Alto índice de retorno de ataque
• FTP usando SO Windows
•O elo fraco da segurança são as pessoas. (Kevin Mitnick)
BOAS PRÁTICAS
1.Atualização versão CMS Joomla
2.Não usar templates piratas
3.Permissões ( Diretórios = 755 Arquivos = 644)
4.Alteração dos dados do Super admin
5.Url's amigáveis
6.Minimizar a instalação de extensões de terceiros
7.Regras de segurança no .htaccess
8.Desabilitar relatórios de erros
EXTENSÕES NECESSÁRIAS
• Admin Exile - plugin para encapsulamento do /administrator
• Bye Bye Generator - plugin para remoção/customização da meta-Generator
• Browse Update Warning - plugin para atualização do navegador
• Akeeba Backup - componente para Backup e recuperação
• JJAntispam - plugin preventivo de spam durante registro e login
JED EXTENSIONS.JOOMLA.ORG
• 7.000 extensões em média
•C - componente
•M - módulo
•P - plugin
•T - template
•S - extensão slave
"O ditado de que os sistemas de segurança têm de vencer sempre e o atacante só tem de vencer uma vez é verdadeiro." (Dustin Dykes)
GUIA DE CONSULTA RÁPIDA JOOMLA! 3.X
• www.livrodejoomla.com.br