Joomla 1.5, proteggere il backend con jSecure
Venerdì 3 Ottobre 2008 - 08:33
di massimo.giagnoni
Come è noto in tutti siti realizzati con Joomla la URL per l’accesso al backend ha un formato noto a priori, URL_home_page/administrator/.
Questa è una situazione non del tutto ideale dal punto di vista della sicurezza in quanto se un malintenzionato riesce in qualche modo a conoscere le credenziali dell’utente super-amministratore non deve superare nessun altro ostacolo per accedere al backend del sito.
jSecure è un plugin per Joomla 1.5 creato per ovviare a questo problema. L’utilizzo è semplice: dopo l’installazione, da Gestione plugin basterà accedere alla pagina dei parametri del plugin e inserire nel campo Key una parola segreta sufficientemente lunga e non troppo facile da indovinare. Una volta salvata la configurazione e attivato il plugin la URL della pagina di login al backend del vostro sito sarà
URL_home_page/administrator/?xxx
dove xxx è la parola segreta che avete scelto. Se si omette la parola chiave o si utilizza una parola chiave errata si viene reindirizzati ad una pagina di errore o alla home page del sito; la scelta tra queste due possibilità è impostabile dalla configurazione del plugin.
È bene sapere che jSecurity da solo non renderà certo il vostro sito impenetrabile, ma è una misura di sicurezza in più che può valere la pena di adottare anche considerando che è di facile implementazione.
Commenti
1
interessante modulo. mi permetto di aggiungere che bisogna modificare il file login.php nella cartella administrator/templates/joomla_admin aggiungendo questo: require_once( $mosConfig_absolute_path . ‘/administrator/includes/admin.php’ );
mosLoadAdminModules( ‘left’ );
# - postato da Peter - 03 Ottobre 2008 - 13:24
2
Quanto dici vale per il modulo jSecure per Joomla 1.0, l’oggetto dell’articolo è il plugin per Joomla 1.5 che funziona senza modifiche ad alcun file del core. Ti ringrazio per la precisazione perché avrei dovuto almeno menzionare l’esistenza del modulo, non l’ho fatto perché sinceramente non l’ho mai utilizzato. Ritengo, e questa è chiaramente un’opinione personale, che un’estensione di questo tipo abbia senso se è facile da utilizzare e configurare, in modo che un utente anche inesperto con un paio di click possa aggiungere qualcosa alla sicurezza del suo sito.
Se si devono fare modiche a file di Joomla, ricordarsi di controllare dopo ogni aggiornamento che queste non siano state sovrascritte ed eventualmente ripeterle, penso convenga seguire altre strade per esempio la protezione della cartella administrator con una password in .htaccess.
È comunque sicuramente utile sapere che esiste questo modulo per gli utenti di Joomla 1.0
# - postato da Massimo Giagnoni - 03 Ottobre 2008 - 15:34
3
salve, ho inserito jsecure ho effettuato tutto quello che si doveva fare, ma non mi fa accedere più nell’area di amministratore inserendo la pwd creata da me. Non c’è un modo per rimuovere (magari da server) il plugin per ripristinare il tutto?
4
Da server basta che apri il database di Joomla con phpMyAdmin, vai alla tabella jos_plugins e cerchi il record con Name: System - jSecure Authentication. Sulla stessa riga vai alla colonna Params e vedrai all’inizio
key=password che hai scelto
Se non vedi bene il contenuto del campo Params entra in modifica del record.
Una volta che hai la passsword fai il login a Joomla come Superadministrator e se vuoi disinstalli o disabiliti il plugin da lì.
# - postato da Massimo Giagnoni - 10 Novembre 2008 - 13:30
5
E’ un bellissimo plugin ma non sò se sia un problema solo mio oppure generico:
Una volta abilitato il plugin mi rende impossibile caricare qualsiasi tipo di file attraverso gli editors joomla. Risultato bisogna disinserire il plugin.
:(
6
Un problema generico non direi, personalmente non l’ho mai riscontrato. Sarà un conflitto tra un plugin usato dall’editor e jSecure.
# - postato da Massimo Giagnoni - 24 Novembre 2008 - 10:08