A Aldeia Numaboa ancestral ainda está disponível para visitação. É a versão mais antiga da Aldeia que eu não quis simplesmente descartar depois de mais de 10 milhões de pageviews. Como diz a Sirley, nossa cozinheira e filósofa de plantão: "Misericórdia, ai que dó!"

Se você tiver curiosidade, o endereço é numaboa.net.br.

Leia mais...

Informática Numaboa - Tutoriais e Programação

Segurança na área administrativa do Joomla

Qui

18

Fev

2010


22:42
  • Imprimir
(5 votos, média 4.00 de 5) 
Detalhes
Categoria: Joomla
Atualização: Segunda, 02 Julho 2012 19:22
Autor: vovó Vicki
Acessos: 8896


Vocês já devem ter percebido que sou meio neurótica quando se trata de segurança. Vira e mexe consulto os logs do meu site e não canso de me admirar de quanta tranqueira transita pela web. Infelizmente não tem site que não esteja sujeito a ataques e a Aldeia Numaboa não é uma exceção sad2

Hoje resolvi dar mais uma olhada nos logs e tomei um susto. Tinha um engraçadinho que, ao contrário dos abelhudos que costumam querer invadir o sistema, estava tentando forçar um login na área administrativa. Pensei cá comigo: tudo que é site Joomla possui um endereço do tipo http://www.dominio.com.br/administrator/, então, para forçar um login, basta acionar o dito cujo. Veja como é possível evitar isto com dois palitos smile

Mudar o endereço de acesso à área administrativa, trocando /administrator/ por qualquer coisa do tipo /vaSeCatar/, dá um trabalho danado. Pensei em criar um mecanismo de acesso diferente, mas, obedecendo a regra de não tentar reinventar a roda, resolvi dar uma pesquisada para ver se já existia alguma coisa que pudesse ser aproveitada antes de começar a programar loucamente. Mais uma vez a regra de ouro provou estar correta.

Encontrei um plugin de sistema que, ao invés de alterar o endereço, adiciona um elemento extra à URL de acesso á área administrativa. Aí o endereço fica algo do tipo http://www.dominio.com.br/administrator/?suaSenha e esta "suaSenha" fica armazenada no banco de dados do Joomla como parâmetro do plugin. A partir daí, para invadir, primeiro é preciso derrubar o sistema, acessar o banco de dados, pegar a senha e... trabalho demais para a maioria dos hackers.

Instalei o plugin para fazer um teste no site e gostei. O ataque acabou rapidinho porque o freguês foi redirecionado para a homepage onde não há os campos de nome de usuário e senha esperados. O script do sujeito deve ter dado pau e ele acabou desistindo de me infernizar.

info Use apenas caracteres para a sua senha. Não use números!

O mapa da mina

O plugin se chama JSecure e você pode baixá-lo no site Joomla Service Provider, onde é preciso se cadastrar para fazer o download. Como já fiz o cadastro e tudo mais, você pode pegar uma carona e baixá-lo na seção de downloads da Aldeia.

Valeu, pessoal. Espero que ajude! vovo

автомат attilaкисть для румянлобановский александр отзывыноутбуки asusчто сейчас горит в харьковепродажа ноутбуков в донецкецены никас

Informações adicionais