Aldeia Numaboa
Um portal diferente em Português do Brasil

Informática da Aldeia

Home Informática Dicas Dicas Joomla Segurança na área administrativa do Joomla

Contato





Informática

Novo na Info

Na Aldeia

Há 151 visitantes online

4550 registros
1 hoje
12 nesta semana
41 neste mês

Boas vindas: felix_

Estatística

Membros: 4562
Artigos: 1045
Links: 90
Leituras: 9915745

Login



Kanji da hora


好

Qui

18

Fev

2010


21:42
Segurança na área administrativa do Joomla PDF Imprimir Indique esta página
(7 votos, média 4.3 de 5)
Escrito por vovó Vicki   


Vocês já devem ter percebido que sou meio neurótica quando se trata de segurança. Vira e mexe consulto os logs do meu site e não canso de me admirar de quanta tranqueira transita pela web. Infelizmente não tem site que não esteja sujeito a ataques e a Aldeia Numaboa não é uma exceção triste

Hoje resolvi dar mais uma olhada nos logs e tomei um susto. Tinha um engraçadinho que, ao contrário dos abelhudos que costumam querer invadir o sistema, estava tentando forçar um login na área administrativa. Pensei cá comigo: tudo que é site Joomla possui um endereço do tipo http://www.dominio.com.br/administrator/, então, para forçar um login, basta acionar o dito cujo. Veja como é possível evitar isto com dois palitos sorriso

Mudar o endereço de acesso à área administrativa, trocando /administrator/ por qualquer coisa do tipo /vaSeCatar/, dá um trabalho danado. Pensei em criar um mecanismo de acesso diferente, mas, obedecendo a regra de não tentar reinventar a roda, resolvi dar uma pesquisada para ver se já existia alguma coisa que pudesse ser aproveitada antes de começar a programar loucamente. Mais uma vez a regra de ouro provou estar correta.

Encontrei um plugin de sistema que, ao invés de alterar o endereço, adiciona um elemento extra à URL de acesso á área administrativa. Aí o endereço fica algo do tipo http://www.dominio.com.br/administrator/?suaSenha e esta "suaSenha" fica armazenada no banco de dados do Joomla como parâmetro do plugin. A partir daí, para invadir, primeiro é preciso derrubar o sistema, acessar o banco de dados, pegar a senha e... trabalho demais para a maioria dos hackers.

Instalei o plugin para fazer um teste no site e gostei. O ataque acabou rapidinho porque o freguês foi redirecionado para a homepage onde não há os campos de nome de usuário e senha esperados. O script do sujeito deve ter dado pau e ele acabou desistindo de me infernizar.

Info Use apenas caracteres para a sua senha. Não use números!

O mapa da mina

O plugin se chama JSecure e você pode baixá-lo no site Joomla Service Provider, onde é preciso se cadastrar para fazer o download. Como já fiz o cadastro e tudo mais, você pode pegar uma carona e baixá-lo na seção de downloads da Aldeia.

Valeu, pessoal. Espero que ajude! vovo Vicki
Última atualização ( Sex, 19.02.2010 10:17 )
 

Topo

Topo

Exceto onde especificamente citado, todo material deste site está sob Licença Creative Commons