Joomla!, SSL e um pouco sobre segurança

, e um pouco sobre segurança

Joomla!, SSL e um pouco sobre segurança

SSL (Secure Sockets Layer)
uma pequena definição para uma grande solução

➢
É uma tecnologia de segurança utilizada para criptografar os dados
trafegados entre o computador do usuário e um servidor(onde está o seu site).

➢ O protocolo SSL previne que os dados trafegados possam ser capturados ou
mesmo modificados no trajeto entre o navegador do usuário e o servidor.


Acessando um site com SSL
➢
Nota-se o “https” na barra de endereços do navegador;
➢
A indicação do “Certificado SSL”, podendo a barra tornar-se verde;
➢ Nem todos os navegadores mostram o cadeado na barra.


Certificados SSL, escolhendo corretamente...
Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa
validar as informações fornecidas no pedido do certificado, logo quanto mais
completa a validação, maior a confiabilidade do certificado.
Validação de Domínio Validação da Validação Extendida Validação da
Organização (EV) Organização
(Domain Validation) (Organization Validation) (Extended Validation) “Coringa” (Wildcard)
Valida que o domínio está Valida a propriedade do Valida a propriedade do Mesmo que a "Validação da
registrado e que alguém com domínio, além das domínio e informações da Organização"
direitos de administrador informações sobre a organização, além da Certifica todos os
está ciente e aprova o organização incluídas no existência legal da subdomínios.
pedido do certificado. certificado (nome, cidade, organização e que a
estado, país). organização está ciente e
aprova o pedido do
certificado.
Encriptação SSL de até 256 bits

Subdomínio único* Subdomínios Ilimitados


O que você precisa saber para solicitar

➢ Verifique a viabilidade e custos de instalação com seu provedor de hospedagem;
➢ Cada certificado SSL precisa de um endereço IP dedicado, consulte custos;
➢ Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou
Pedido de Assinatura de Certificado, ao seu provedor de hospedagem;

➢
O CSR é enviado para a empresa certificadora;
➢ Empresa certificadora faz todas as verificações e envia o Certificado SSL;
➢ Seu provedor faz a instalação do Certificado SSL no servidor.


Qual a aparência de um CSR?
O CSR normalmente é composto por três partes igualmente importantes, confira...

✔Certificate Request ✔Certificate ✔ Private Key
(requisição de certificado) (certificado) (chave privada)


Finalmente o Certificado SSL


Compatibilizando o site para o SSL...
✔ Usar links relativos em módulos, plugins e componentes;
Lembrando:
✔ Link relativo: “/arquivo.html”
✔ Link absoluto: “http://www.seusite.com.br/arquivo.html”

✔ Quando necessário force o redirecionamento de todo o site para “https”;
✔
Links para arquivos ou imagens externas a serem carregados pelo site
precisam usar o protocolo “https”;

✔ Sempre que possível carregue imagens localmente;
✔ Formulários precisam postar os dados para a URL segura (https);
✔ Módulos de login precisam ser revisados com muita atenção.


Site compatibilizado: Conexão 100% Criptografada


Site não compatibilizado: Conexão Parcialmente
Criptografada


Administração do Joomla! com SSL
O Joomla! já está preparado para trabalhar com SSL e isso facilita tudo na hora
de tornar o acesso a administração segura.

Lembrem-se de
remover o valor da
variável “$live_site”
no arquivo
“configuration.php”
do Joomla! antes de
habilitar esta opção.


Módulo de Login Nativo do Joomla! Seguro
O módulo de login nativo do Joomla! também já vem preparado!


Tornando o Login do Kunena 1.6 Seguro
Uma pequena alteração garante um login seguro no fórum Kunena.
➢
No arquivo “login.php” faça uma pequena mudança..
(pasta “/components/com_kunena/template/default/loginbox/”)


Com JRoute() fica fácil!
➢ No arquivo “route.php” do Kunena verificamos que ele usa o JRoute() do Joomla!
(pasta “/administrator/components/com_kunena/libraries/”)


Usando o VirtueMart com SSL
Na configuração do VirtueMart é necessário setar a “URL Segura” e selecionar as
áreas que usarão SSL

Normalmente usa-se SSL para:
Normalmente usa-se SSL para:
➢ Account
Account
➢
➢ Admin
➢ Admin
➢ Checkout
➢ Checkout


Ajustes no login do VirtueMart
O VirtueMart não usa o JRoute() nos módulos atuais mas o acréscimo de uma
linha de código nos locais indicados resolve a questão do login seguro.


Ajustes no módulo de login do VirtueMart
O módulo de login do VirtueMart (mod_virtuemart_login) também necessita do
acréscimo de linhas de código nos locais indicados para tornar o login seguro.


Segurança em Outros Códigos
“De modo geral, é preciso garantir que os dados de formulários de login sejam
postados para uma URL segura (https)”

Para aplicações críticas:

✔ Uma página de login totalmente HTTPS é fundamental;

✔ A presença de qualquer mensagem de alerta SSL é uma falha;

✔ Conexões HTTP à página de login devem ser descartadas.


Segurança nunca é demais!
O roubo de dados e senhas em redes abertas, via sniffers, é um dos problemas
considerados ao se decidir pelo SSL em um site!

Quando falamos de e-commerce a preocupação com segurança é ainda maior
pois envolve <dinheiro>.

A presença do “cadeado” no
navegador já faz com que o
usuário sinta-se mais seguro!

“Site seguro significa
usuário/cliente seguro!!!”


Opa, aqui a segurança tinha uma brecha...


Vamos tratar da segurança do Joomla!...
➢Bloqueie o acesso aos arquivos .XML via “.htaccess”;
## Deny access to extension xml files (uncomment out to activate)
<Files ~ ".xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>
## End of deny access to extension xml files

➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”);
➢Defina corretamente as permissões dos arquivos e pastas;
➢ Arquivos: 644
➢ Pastas: 755


O sh404SEF também atua na segurança

Mesmo sem usar URL´s amigáveis
você é protegido pelos recursos do
sh404SEF!


Configuração da Segurança no sh404SEF

O campo “Check also
forms data (POST)”
marcado na imagem
ao lado está como
“não” pois pode causar
o erro “Forbidden
access (<script> tag in
POST)” ao se usar
exemplos de código
nas postagens, como
em fóruns(Kunena).


Parando os Spambots
➢ Formas de barrar estes scripts que costumam se registrar em sites e postar em
formulários e fóruns:
➢ Usar um sistema de verificação de palavras como o “akismet”;

➢ Uso de serviços de listas negras como Spamhaus e outros;

➢ Bloqueio por IP, nome de usuário e/ou e-mail;

➢ Instalação de um sistema de Captcha.


Parando os Spambots: Registration Validator
Um plugin que reduziu em mais 95% os meus problemas!

Este pequeno notável, o Registration Validator, faz a verificação de todos que
tentam se registrar ou postar dados no site, via Botscout, Undisposable.net,
StopForumSpam e Spamhaus, além de verificar o DNS.

Mantém um arquivo de registro de atividades. Ex.:


Referências
...tão importante quanto a palestra
RapidSSL - http://www.rapidssl.com

GeoTrust - http://www.geotrust.com

POST from http to https: The hidden security
http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx

HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/

HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices

Kunena Fórum - http://www.kunena.org

VirtueMart – http://virtuemart.net

Brian Teeman - http://brian.teeman.net

Anything Digital - http://anything-digital.com/sh404sef/seo-analytics-and-security-for-joomla.html

CEDIT - http://www.cedit.biz/joomla-extensions/18-registration-validator/22-block-disposable-email-addresses


● http://www.fernandosoares.com.br
● Especialista em Joomla! e VirtueMart
● Twitter: @fernando_soares
● Skype: fsoarestec
● E-mail: fsoares@fsoares.com.br
● Palestras: http://www.slideshare.net/fernandosoares
Sucesso a Todos!!!

Joomla!, SSL e um pouco sobre segurança

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (6)

Ähnlich wie Joomla!, SSL e um pouco sobre segurança

Ähnlich wie Joomla!, SSL e um pouco sobre segurança (20)

Joomla!, SSL e um pouco sobre segurança