Joomla, come nascondere il backend

Joomla come nascondere il backend

Valutazione attuale: 0 / 5

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 

In questo manuale Joomla utilizziamo il Plugin Admin Exile per nascondere il backend.

Compatibile con Joomla!®: 2.5 3 Estensione: PLicenza: F Difficoltà: S

Joomla!® è un CMS altamente personalizzabile con il quale è possibile realizzare qualsiasi tipologia di sito internet. Conoscerlo in tutti i suoi aspetti è molto importante anche per quanto attiene la sicurezza del sito che abbiamo realizzato.

Una delle problematiche dei Cms, quindi anche di Joomla, è la conoscenza del codice sorgente (codice di programmazione) da parte di tutti gli utilizzatori. Joomla si può scaricare ed utilizzare liberamente avendo accesso a tutte le pagine del codice di sviluppo. Questa caratteristica, se da un lato è molto utile per diversi motivi ( ci consente di personalizzare il codice, di chiedere aiuto sui forum frequentati da altri utilizzatori ecc.), può risultare un elemento di debolezza in materia di sicurezza del Cms. Se pensiamo al fatto che nella rete ci sono moltissimi malintenzionati, pronti ad accedere al nostro sito per farne un uso diverso da quello per cui lo abbiamo realizzato, dobbiamo mettere in atto delle contro misure. 

Scoprire se un sito è stato realizzato con Joomla è molto semplice e ci sono diversi modi per farlo. Un modo per scoprire se un sito è stato realizzato con Joomla è quello di visualizzare il codice sorgente della pagina che stiamo visitando. Per la visualizzazione del codice sorgente basta cliccare nella pagina presa in esame con il tasto destro del mouse e selezionare "visualizza sorgente pagina". A questo punto, se il sito è stato realizzato con Joomla, troveremo tra le prime righe di codice il seguente tag

<meta name="generator" content="Joomla! - Open Source Content Management" />

Chiunque ha utilizzato Joomla sa che per accedere al pannello amministrativo o backend basta digitare l'indirizzo miosito/administrator e questo potrebbe essere un'altro modo per scoprire se un sito è stato realizzato con Joomla.

Ovviamente ci sono tantissimi altri modi per conoscere con quale Cms è stato realizzato un sito internet ma in questo articolo vogliamo approfondire come procedere per nascondere il backend di un sito realizzato con Joomla. Prima di andare avanti potrebbe nascere spontanea la domanda: "Pur sapendo come arrivare al backend del sito per potervi accedere devo conoscere la username e la password". Questo è vero, ma è anche vero che un utente malintenzionato (hacker) conosce anche il modo per provare a forzare i moduli di accesso utilizzando ad esempio il così detto Brute-force attack.

A questo punto diamo per scontato che può essere molto utile nascondere il backend di Joomla. Uno dei metodi che possiamo utilizzare è l'utilizzo del plugin AdminExile reperibile nella JED ovvero direttamente sul sito dello sviluppatore. Il plugin serve, appunto, a modificare l'indirizzo del backend del nostro sito Joomla creandone uno con parametri di nostra fantasia. Inoltre il plugin AdminExile è utile per prevenire attacchi di tipo Brute Force, gestione degli IP che accedono al sito con classificazione in White and Black List, notifiche agli amministratori del sito nel caso di attacchi Brute Force o sospetto utilizzo da parte degli IP inseriti nella Blak list e altre funzioni utili a salvaguardare la sicurezza del sito. Vediamo nel dettaglio come mettere in sicurezza il nostro sito Joomla con l'utilizzo del plugin AdminExile.

Download
Procedere con il download del file dal sito dello sviluppatore. Ricordiamo che l'utilizzo del Plugin è gratuito.

Installazione

L'installazione del Plugin va effettuata utilizzando il menù di Joomla Estensioni -> Gestione Estensioni -> Installa. Cliccando sul pulsante Scegli file possiamo caricare il file che abbiamo scaricato in precedenza (punto precedente). Dopo aver cliccato sul pulsante Carica e Installa riceveremo il messaggio di conferma "Plugin installato correttamente".

Utilizzo

A questo punto il Plugin risulta installato ma non è ancora operativo perché necessità dell'attivazione. Per attivare il Plugin ed impostare le diverse opzioni dobbiamo utilizzare sempre il menù di Joomla Estensioni -> Gestione Plugin. A questo punto cerchiamo il Plugin, utilizzando il filtro per nome, ed entriamo nelle impostazioni. Il Plugin potrebbe essere attivato già in questa fase cliccando sull'apposito pulsante rosso presente nella colonna "Stato" utilizzando in questo modo tutte le impostazioni di base. Ovviamente attivare il plugin senza personalizzare le impostazioni non è consigliabile ma se dovesse succedere per errore è importante sapere che da questo momento in poi l'accesso al backend del sito si potrà effettuare esclusivamente digitando l'indirizzo  miosito/administrator/index.php?adminexile.

Personalizzazioni

In questa fase abbiamo la possibilità di personalizzare l'url di accesso al backend del nostro sito Joomla e le altre impostazioni di sicurezza che il plugin permette di impostare. I campi da utilizzare per personalizzare l'url del lato amministrativo sono "URL Access Key"  e "Use Key + Value". Nel primo campo impostiamo l'indirizzo aggiuntivo al percorso tradizionale /administrator/index.php mentre, attivando il secondo campo, rendiamo più complesso l'indirizzo aggiungendo allo stesso una chiave. In sostanza l'indirizzo del pannello amministrativo normalmente è miosito/administrator/index.php. Dopo aver aggiunto un valore nel campo Url Access Key l'indirizzo diventa miosito/administrator/index.php?valore. Se attiviamo anche l'utilizzo della chiave, in abbinamento al valore, l'indirizzo finale del backend diventerà miosito/administrator/index.php?valore=chiave.

È molto importante copiare e salvare in posto sicuro il nuovo indirizzo del backend in quanto dal momento in cui si attiva il plugin questo indirizzo sarà l'unico che permetterà di accedere alla gestione amministrativa del sito.

Se questo manuale ti è piaciuto e ti è sembrato utile puoi condividerlo. Per maggiori informazioni sull'utilizzo del Plugin non esitare a contattarci.