Informática Numaboa - Tutoriais e Programação
Segurança na área administrativa do Joomla
Qui 18 Fev 2010 22:42 |
- Detalhes
- Categoria: Joomla
- Atualização: Segunda, 02 Julho 2012 19:22
- Autor: vovó Vicki
- Acessos: 8922
Vocês já devem ter percebido que sou meio neurótica quando se trata de segurança. Vira e mexe consulto os logs do meu site e não canso de me admirar de quanta tranqueira transita pela web. Infelizmente não tem site que não esteja sujeito a ataques e a Aldeia Numaboa não é uma exceção
Hoje resolvi dar mais uma olhada nos logs e tomei um susto. Tinha um engraçadinho que, ao contrário dos abelhudos que costumam querer invadir o sistema, estava tentando forçar um login na área administrativa. Pensei cá comigo: tudo que é site Joomla possui um endereço do tipo http://www.dominio.com.br/administrator/, então, para forçar um login, basta acionar o dito cujo. Veja como é possível evitar isto com dois palitos
Mudar o endereço de acesso à área administrativa, trocando /administrator/ por qualquer coisa do tipo /vaSeCatar/, dá um trabalho danado. Pensei em criar um mecanismo de acesso diferente, mas, obedecendo a regra de não tentar reinventar a roda, resolvi dar uma pesquisada para ver se já existia alguma coisa que pudesse ser aproveitada antes de começar a programar loucamente. Mais uma vez a regra de ouro provou estar correta.
Encontrei um plugin de sistema que, ao invés de alterar o endereço, adiciona um elemento extra à URL de acesso á área administrativa. Aí o endereço fica algo do tipo http://www.dominio.com.br/administrator/?suaSenha e esta "suaSenha" fica armazenada no banco de dados do Joomla como parâmetro do plugin. A partir daí, para invadir, primeiro é preciso derrubar o sistema, acessar o banco de dados, pegar a senha e... trabalho demais para a maioria dos hackers.
Instalei o plugin para fazer um teste no site e gostei. O ataque acabou rapidinho porque o freguês foi redirecionado para a homepage onde não há os campos de nome de usuário e senha esperados. O script do sujeito deve ter dado pau e ele acabou desistindo de me infernizar.
Use apenas caracteres para a sua senha. Não use números!
O mapa da mina
O plugin se chama JSecure e você pode baixá-lo no site Joomla Service Provider, onde é preciso se cadastrar para fazer o download. Como já fiz o cadastro e tudo mais, você pode pegar uma carona e baixá-lo na seção de downloads da Aldeia.
Valeu, pessoal. Espero que ajude!