Segurança

10 dicas para proteger o seu sítio Joomla

Se lhe perguntassem o que é mais importante num site - se o aspeto ou segurança - o que responderia?

Geralmente a nossa principal preocupação num site é o aspeto. A título comparativo pense: Iria para o melhor e mais atrativo destino do mundo se este colocasse em perigo a sua vida e os da sua família?

Embora o aspeto e a acessbilidade sejam dos fatores que mais atrai os visitantes, é uma responsabilidade primária de cada gestor de site mantê-lo seguro.

Um site seguro dá confiança aos utilizadores. Além disso vai poupá-lo de dinheiro e de muitas dores de cabeça no futuro.

Reuni 10 das mais importantes boas práticas, mas não as únicas, para manter o seu site Joomla em segurança. São as seguintes:

 

1 - Não use nomes de utilizador conhecidos

Não queremos facilitar a vida aos hackers, por isso não use os nomes habituais como "admin", "administrator", "geral" ou outro semelhante no acesso ao seu backoffice. Use um nome que não seja muito previsível.

Também faça uma verificação regular de contas que não estejam a ser usadas, e nesse caso elimine-as.

2 - Use uma senha/password forte

Uma senha fácil de adivinhar, ou simplesmente constituída por letras ou números, pode demorar algumas alguns poucos segundos para ser descoberta. Uma senha forte tem que ser aquela que seja uma mistura entre letras, números e caracteres.

Pergunte-se: Até que ponto a senha que uso é forte? Quanto tempo acha que levará a alguém descobri-la? Antes de responder, use este site para conferir: https://howsecureismypassword.net/

Pode usar uma de duas hipóteses: 1) crie uma senha fácil de se lembrar, substituindo algumas vogais por símbolos, caracteres especiais e números, ou 2) use uma aplicação que faça a gestão das passwords fortes por si. Este último tem a vantagem de preencher automaticamente e/ou organizar por categorias. Alguns exemplos são o Lastpass (tem versão gratuita) ou o Keepass (open source).

Para dar mais seguraça ao seu site, se desejar, pode obrigar a que os utilizadores do seu site também tenham senhas fortes.

Pode ativar esta opção através dos seguintes passos:

  1. Ir ao menu Utilizadores » Gerir
  2. Pressione no botão Opções (ícone da roda dentada)
  3. Clique no separador "Opções de Senha"
  4. Escolha que opções mínimas deve ter a senha, e por fim pressionar botão Gravar

3 - Ter o Joomla e todas as extensões atualizadas

Visto que o Joomla e a maioria da extensões disponíveis contêm o código à mostra, isso torna fácil para todos, incluindo os hackers, descobrir vulnerabilidades. Por isso, não atualizar o Joomla ou as extensões (componentes, plugins, módulos e templates) é tão perigoso (ou talvez até ainda mais) do que ter uma senha fraca.

Sugerimos que tenha colocado a opção no Super User de "Receber e-mails do Sistema". E que tenha ligado o plugin, que quando ativado, notifica por e-mail o Super User de uma versão mais recente do Joomla.

Se alguma extensão não tem atualizações há algum tempo, pondere substituir por outra. Ou se confirmar que já não precisa da extensão, o melhor é desinstalá-la.

Para saber a data da última versão instalada no seu site dê os seguintes passos:

  1. Ir ao menu Extensões » Gerir » Gerir.
  2. Verifique as respetivas extensões na coluna Data.

Depois confirme a última atualização da extensão no site da extensões do Joomla ou no sítio onde fez download.

4 - Ativar o SEF

O SEF, acrónimo para Search Engine Friendly, nos URL's é o processo de esconder os endereços reais do site para algo mais fácil de ler. A maior parte dos sites joomla começa por index.php?option=com_content.... Substituir os endereços reais não só torna o seu site mais amigável dos motores de busca como dificulta o trabalho para hackers descobrirem a estrutura e vulnerabilidades do seu site por meio dos endereços.

Esta opção está disponível através dos seguintes passos:

  1. Ir ao menu Sistema » Configuração Global
  2. E no primeiro separador (Sítio), coloque visto na primeira opção "URL amigáveis a motores de pesquisa" (a 2ª opção também é importante, mas vamos falar dela no ponto a seguir).

5 - Usar o .htaccess ou web.config do Joomla

O ficheiro htaccess é um ficheiro de configurações ao nível de uma diretoria para o servidor Apache no sistema operativo Linux. Ele permite criar algumas regras que poderão bloquear alguns tipos de endereços que hackers poderiam usar para prejudicar o seu site.

Por defeito, o Joomla fornece um ficheiro htaccess.txt na raiz do site com alguns comandos que vão proteger o seu site. Pode usar esse ficheiro alterando o ficheiro htacces.txt para .htaccess, caso esteja esteja num servidor Linux. Existe um ficheiro correspondente para servidores IIS em Windows e geralmente disponível na raiz do Joomla também - o web.config.

De seguida deve ativar a opção no Joomla através dos seguintes passos:

  1. Ir ao menu Sistema » Configuração Global
  2. E no primeiro separador (Sítio), coloque visto na segunda opção "Utilizar reescrita de URL"

Nota: Se o seu site deixar de abrir ou der erros 500, geralmente o problema é deste ficheiro que pode estar mal configurado. A forma mais rápida de descobrir é por renomear o ficheiro novamente de .htaccess para htaccess.txt. Depois deve entrar em contacto com a sua empresa de alojamento para pedir ajuda.

6 - Esconder o administrator usando um URL secreto

Visto que o URL relativo de acesso ao backoffice do Joomla é igual para todos os sites, isso pode ser meio caminho andado para os hackers usarem aplicações para tentar descobrir a senha.

É possível, através de alguma extensões Joomla, escolher uma chave para aceder ao administrador, do tipo: o-seu-site.com/administrator/?chave

Se alguém tentar aceder simplesmente a o-seu-site.com/administrator é reencaminhado de volta ao site.

Exemplos de extensões gratuitas:

 

7 - Use uma WAF - Web Application Firewall

Já ouviu falar nas expressões "Bruteforce", "SQL Injection", Ataques "DDoS", entre outras? Se sim, estas são algumas das razões pelo que precisa ter uma WAF, acrónimo para Web Application Firewall. O objetivo desta aplicação irá filtrar e bloquear este tipo de tentativas.

Existe pelo menos 3 formas de usar uma WAF:

  1. via online (aplicações externas na cloud)
  2. a nível do servidor, no caso de usar uma VPS ou ter o seu próprio servidor
  3. usar uma extensão Joomla no site.

1 - WAF Online

Existem vários sites que ofereçam serviços de protecção e segurança na cloud. Alguns mais conhecidos são a Sucuri, Cloudflare e Incapsula. Mas a maioria são pagos. A Cloudflare tem alguns serviços gratuitos, que eventualmente pode ser interessante para si.

A vantagem destes serviços é que não precisa de ter conhecimentos técnicos para a implementação.

2 - WAF no servidor

Caso tenha o seu próprio servidor é possível usar um WAF aí. Um conhecido e gratuito com o Cpanel é o ModSecurity. Mas requer algum conhecimento para implementar e testar algumas regras de protecção.

Nota: Caso use uma conta partilhada e o servidor tenha o ModSecurity instalado é possível ativá-lo na sua conta Cpanel. Esta pode ser uma solução gratuita interessante, em substituição ou complemento de uma opção paga.

3 - WAF no site

A solução mais comum é a de usar uma extensão Joomla no próprio site para proteger o seu site.

Alguns dos melhores, e mais conhecidos, são o Admin Tools Pro da Akeeba e o RSFirewall do RS Joomla. São versões pagas.

Por exemplo, estes mencionados além de servir como WAF também tem alguns extras como os serviços que mencionámos nos pontos 5 e 6.

Existem versões gratuitas com algumas destas funções isoladas. Teria que fazer uma lista, e procurar uma solução para cada aspeto.

Mas se tem pouco conhecimento contra do que se tem que proteger e a menos que não possa mesmo, a nossa recomendação é que use uma solução paga. Para saber se o investimento vale a pena, pergunte-se: quais as consequência de as informações sensíveis do meu site ficarem expostas?

8 - Fazer backups regularmente

Imprevistos podem surgir a qualquer momento, e por várias razões. Por isso deve fazer backups regulares do seu site.

Mesmo que tenha uma conta num alojamento que forneça backups, a experiência mostra que não há nada como fazer os nossos próprios backups.

Uma extensão do Joomla gratuita e muito usada é o Akeeba Backup. Pode agendar e realizar backups num instante, bem como restaurar um site num ápice.

Existe uma versão gratuita que servirá muito bem as suas necessidades.

Mas se quiser ir mais além, a versão paga tem opções muito interessantes como a de encriptação dos ficheiros e enviar o backup para uma conta de espaço na Cloud ou para um servidor via FTP.

9 - Usar versão mais recente do PHP

Uma das razões mais importantes, mas não a única, de atualizar a versão do PHP da sua conta/servidor, é porque ela contém muitas atualizações de segurança.

Tenha sempre uma versão recente instalada.

Caso precise de ajuda para a configurar, contacte o seu fornecedor de alojamento.

10 - Instalar Certificado SSL e usar HTTPS

Uma das razões pelas quais deve usar um certificado SSL é porque o mesmo encripta a informação entre o seu site e o visitante, dificultando a possibilidade de alguém a roubar e aceder.

Especialmente no envolvimento de dados sensíveis, como quando faz a recolha por meio de um formulário, o uso do SSL é especialmente vital.

A importância deste assunto vê-se quando a partir de Julho de 2018 quando o Google passou a identificar todos os sites sem SSL como "inseguros".

A maioria dos servidores de alojamento já providencia certificados gratuitos, e a maioria deles já vem instalado co um de raiz. Mas ainda assim precisa configurar o seu site de forma a aproveitar o certificado SSL.

Confirme com o seu fornecedor de alojamento, e se for o caso, pode ativar o HTTPS no Joomla dando os seguintes passos:

  1. Ir ao menu Sistema » Configuração Global
  2.  Clique no separador "Servidor"
  3. Na caixa de selecção onde diz "Forçar HTTPS" escolha a opção "Todo o sítio"

Uma ajuda adicional neste sentido é por colocar 2 linhas no seu ficheiro htacces.

A seguir a RewriteEngine On, coloque o seguinte:

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Isto forçará os navegadores a acederem sempre via HTTPS.

Mesmo com esta opção ativa pode estar a acontecer que algumas ligações do seu site esteja via HTTP e não HTTPS. Deve pesquisar e procurar em ficheiros e base de dados que isso não esteja a acontecer, para que mostre o "cadeado" no navegador como seguro.

 

Conclusão

Este artigo não pretende ser uma lista exaustiva de todos as boas práticas de segurança no seu site Joomla, nem contém todos os passos para configurar cada dica.

Também mesmo depois implementar algumas destas boas práticas é preciso contínuo cuidado. Leia mais informação sobre segurança conhecendo e seguindo as dicas dadas pela secção de Segurança do site oficial do Joomla.

Estão aqui algumas das dicas mais importantes a levar em conta. Se as conseguir colocar todas (ou quase todas) em práticas, os hackers terão muito mais dificuldade em "estragar" ou aceder a dados no seu site.

A imagem incial deste artigo foi desenhada pelo Freepik
Newsletter

Quer receber as novidades por e-mail? Preenche o teu o nome e e-mail para ser o primeiro a receber. Prometo que só enviarei um por semana!
Invalid Input
Por favor insira o seu e-mail corretamente.
Por favor coloque um visto na caixa de verificação