• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina

Il blog di HostingVirtuale

Hosting e Registrazione Domini

  • Facebook
  • Instagram
  • LinkedIn
  • Pinterest
  • RSS
  • Twitter
  • YouTube
  • Home
  • CMS
  • Social Media
  • Web Hosting
  • Web Design
  • Web Marketing
  • HostingVirtuale
    • Web Hosting
    • Cloud server
    • Server dedicati
    • Virtual Private Server
    • Sicurezza
Ti trovi qui: Home / Web Design / Joomla e jDownloads: verificare le impostazioni di sicurezza

Joomla e jDownloads: verificare le impostazioni di sicurezza

Pubblicato il 7 Ottobre 2015 da Salvatore Capolupo Lascia un commento Contrassegnato con: joomla, malware, sicurezza

Joomla e jDownloads: verificare le impostazioni di sicurezza

Tutti i proprietari di siti web realizzati con Joomla! devono sapere che una falla informatica piuttosto subdola si sta diffondendo a macchia d’olio.

La notizia gira da qualche giorno all’interno delle community tematiche: parecchi siti in Joomla! (di cui molti con estensione .it, inclusi in certi casi siti istituzionali), soprattutto se non aggiornati da molto tempo, sono a rischio di introduzione di script, immagini e file arbitrari.

VisitorTracker, il nuovo pericoloso malware per WordPressE’ passata inosservata, insieme a quella relativa al malware per WordPress VisitorTracker, in quanto uscita nel mese di agosto.

Gli effetti però si sono visti in seguito e in molti casi, le pagine inserite illecitamente sono state addirittura indicizzate sui motori di ricerca.

Questo sicuramente mette a rischio la sicurezza del sito web ma soprattutto la sua credibilità ed affidabilità.

La causa del problema sembra risiedere in un uso scorretto della celebre estensione jDownloads, utilizzata in molti siti web Joomla!, utile per fornire funzionalità di download di file da parte degli utenti e di cui un qualsiasi utente non autenticato potrebbe approfittare.

Le possibilità sono due:

  1. impostazione errata;
  2. componente fallato.

Configurare correttamente jDownloads

Tutti i siti web che utilizzano l’accoppiata Joomla! + jDownloads potrebbero quindi essere a rischio: il sito può essere soggetto alla possibilità di caricare file arbitrari dall’esterno, sfruttando il modulo di default, senza contare che, anche se aggiornato all’ultima versione, potrebbe non essere configurato correttamente.

È infatti opportuno che solo gli utenti autorizzati del sito possano effettuare caricamenti di file, impedendolo in questo modo agli utenti anonimi.

Purtroppo ci sono numerose versioni di jDownloads che sono state lasciate, un po’ superficialmente, con la possibilità di caricare file da utente anonimo; ovviamente dovrà essere il webmaster a controllare queste impostazioni scrupolosamente.

Specifiche informazioni su come impostare correttamente le politiche di upload si trovano a questo indirizzo.

Verificare se il sito è infetto

Come eliminare il malware da un sito webL’attacco in questo caso è di natura subdola e non è banale accorgersene, visto che non si tratta di un defacement in home page: basta usare un motore di ricerca per accorgersi del problema.

Molti siti infetti sono rintracciabili su Google cercando la stringa “images/jdownloads/screenshots”.

Di norma essi rientrano in uno di questi tre casi:

  1. qualcuno ha già caricato un file JS, JPG o HTML arbitrario nella cartella degli upload del sito (nel titolo compare la scritta “Hacked”, o qualcosa del genere);
  2. la pagina di upload è pubblica per errore, per cui chiunque potrebbe caricare file;
  3. si sta usando una versione fallata di jDownloads.

Per proteggersi è opportuno aggiornare Joomla e jDownloads; mentre lo facciamo inoltre, si può valutare la possibilità di attivare via server l’impostazione per non eseguire script PHP (per evitare ulteriori potenziali danni) mediante questa direttiva nel file .htaccess:

<FilesMatch “\.(php|php\.)$”>
Order Allow,Deny
Deny from all
</FilesMatch>

Ovviamente questa impostazione va lasciata solo in via temporanea, in quanto potrebbe non essere compatibile con il funzionamento ordinario del sito.

Aggiornare jDownloads

Nella terza ipotesi si tratta di una falla vera e propria documentata sul sito ufficiale, che suggerisce di utilizzare versioni di jDownloads dalla 1.9.1.6 in poi per Joomla! versione 2.5 e dalla 1.9.2.11 per Joomla! versione 3.

Aggiornando il componente all’ultima versione si risolverà il problema relativo all’upload che anche in questo caso, permette ad un attaccante di caricare contenuti arbitrari.

Come proteggere un sito web da malware e hackerRicordiamo infine, che le versioni di Joomla! così come avviene per altri CMS tendono ad “invecchiare” rapidamente e man mano che vengono scoperti nuovi bug sono fornite versioni più recenti e più sicure.

Lasciare un sito Joomla! con qualche componente, addon o plugin vecchio equivale a lasciare falle di sicurezza spalancate ed ecco ribadita ancora una volta la necessità di aggiornare periodicamente il proprio sito o utilizzare sistemi che riescano in qualche modo a proteggere i siti web dal malware.

Articoli correlati:

Default ThumbnailJoomla, rilasciata la nuova versione 1.7 Siti web e sicurezza: quello che devi sapereSiti web e sicurezza: quello che devi sapere – Prima parte Siti web e sicurezza seconda parteSiti web e sicurezza: quello che devi sapere – Seconda parte

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Come diventare Web Designer Professionista

Crea il tuo sito web gratis

Scopri il nostro hosting gratuito FREE che comprende: dominio, 100 MB di spazio web, posta elettronica, database MySQL, certificato SSL e il pannello di controllo in italiano HVCP che consente anche l'installazione di WordPress con un click.

Scopri di più!

Web Designer alle prime armi?

Scarica l’Ebook e scopri le migliori tecniche e gli strumenti del mestiere usati dai Web Designer esperti.
Ti sveleremo:
- L’importanza del percorso formativo;
- I libri indispensabili;
- Gli strumenti migliori;
- Come trovare nuovi clienti;
- Come creare un preventivo efficace;
- Come creare un portfolio online;
- Come diventare pro con un mentore;
- Il pannello di controllo all-in-one.

Scarica l'ebook!
  • Le nuove funzioni di HVCP: crea il tuo sito web gratis
  • Le nuove funzioni di HVCP: Certificati SSL personali e per sottodomini
  • Le nuove funzioni di HVCP: IMAPSync, direttive php.ini, error log

Articoli recenti

  • I 7 errori di web design più insidiosi da evitare 21 Settembre 2023
  • Come creare un sito web e-commerce per vendere prodotti digitali 7 Settembre 2023
  • I vantaggi di investire in servizi di web design professionale 11 Agosto 2023
  • Come creare una landing page che genera conversioni 8 Agosto 2023
  • Le migliori piattaforme CMS per realizzare un sito web professionale 18 Luglio 2023

Il tuo sito web è al sicuro?

Attiva il Cloud Backup con il 20% di sconto! Grazie al semplice pannello di controllo in italiano puoi salvare nel cloud storage di Amazon tutti i dati del sito web e del database MySQL.

Scopri di più!

Footer

HostingVirtuale

  • Registrazione domini
  • Web Hosting
  • Posta Elettronica Certificata
  • Cloud server
  • Server dedicati
  • Virtual Private Server
  • Hosting reseller
  • Sicurezza siti web
  • Cloud Backup

Tag Cloud

app backup business cloud content marketing domini ecommerce email email marketing facebook freelance google grafica hosting condiviso hosting gratuito hostinterview inbound marketing infografica instagram intelligenza artificiale joomla malware mobile news pannello clienti pec personal branding pinterest plugin prestashop project management sconti seo server sicurezza smart working storytelling telegram tools tutorial twitter video marketing vps wordpress youtube

Articoli recenti

  • I 7 errori di web design più insidiosi da evitare
  • Come creare un sito web e-commerce per vendere prodotti digitali
  • I vantaggi di investire in servizi di web design professionale
  • Come creare una landing page che genera conversioni
  • Le migliori piattaforme CMS per realizzare un sito web professionale

© 2023 All Rights Reserved Hosting Virtuale srl Chieti Pescara Roma Partita IVA IT02586030690