Weitere ähnliche Inhalte Ähnlich wie Blindando o site Joomla! (20) Mehr von Júlio Coutinho (7) Blindando o site Joomla!1. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 1
2. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 2
TIPOS DE ATAQUES
Força Bruta – “A maioria dos ataques de força-bruta que
alcançam sucesso não variam tanto como a senha do usuário.”
3. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 3
SQL INJECTION - “uma das formas mais comuns e efetivas
de ataque na internet. No SQL Injection, tenta-se enviar
códigos SQL via consultas SQL não autorizadas e filtradas.”
Directory Scanning – o atacante tenta navegar para um
diretório e ver todos os arquivos contidos lá, prevendo que não
há um arquivo index.html ou index.php no diretório.
DOS – negação de serviço "Denial of Service" (DoS) é um
ataque baseado na tentativa de negar o uso de um servidor ou
4. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 4
outro recurso para usuários autorizados. Este é um tipo de
ataque direcionado ao servidor de hospedagem.”
HTTP Sniffing – é o procedimento realizado por uma
ferramenta conhecida como Sniffer (também conhecido como
Packet Sniffer, Analisador de Rede, Analisador de Protocolo,
Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless
Sniffer em redes wireless). Esta ferramenta, constituída de um
software ou hardware, é capaz de interceptar e registrar o
tráfego de dados em uma rede de computadores.
5. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 5
Clickjacking – você já se perguntou como as pessoas perdem o
facebook, Msn e etc...? Este tipo de ataque cria formulários
invisíveis que possibilitam a captura de usuário e senha.
Geralmente são inicializados por cavalos de tróia presentes em
links recebidos nos emails. É potencialmente perigoso para
sites de qualquer natureza, desenvolvidos em qualquer CMS.
6. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 6
7. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 7
Blindando o seu Site
Força Bruta
Mude o Super User padrão (admin); e
Escolha uma senha forte com letras maiúsculas e minúsculas,
números e carctreres especiais.
SQL INJECTION
Joomla! 3.x atribui uma ID randômica ao super user inicial,
8. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 8
não existe mais id=62; e
Joomla! 3.x atribui prefixos randômicos à tabela #__com_users
a cada nova instalação, não existe mais jos_users.
DOS
9. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 9
HTTP Sniffing
Segurança a ser implementada no ambiente de rede com um
bom sistema de firewall.
Clickjacking
CMS
insira o seguinte código na primeira linha do arquivo index.php
que está na raiz do site.
header('X-Frame-Options: SAMEORIGIN');
10. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 10
Web Server
Configurando o Apache
Para configurar o Apache para enviar o cabeçalho X-frame-
Options para todas as páginas, adicione a configuração do seu
site: # Ln-sf / etc/apache2/mods-available/headers.load /
etc/apache2/mods-enabled/headers.load
Ex: No arquivo apache2.conf, adicionei a seguinte Entrada:
Header always append X-Frame-Options SAMEORIGIN
11. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 11
Resultado:
- Quando é feita uma tentativa de carregar conteúdo em um
<iframe></iframe>, o cabeçalho X-Frame-Options nega a
permissão.
- O navegador Firefox retorna about: blank na aba. Em algum
momento, uma mensagem de erro de algum tipo será exibida
no quadro(frame).
Existem três valores possíveis para X-Frame-Options:
12. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 12
NEGAR - A página não pode ser apresentada em um
<iframe></iframe>, independentemente do local que tenta
executá-lo.
SAMEORIGIN - A página só pode ser exibida em um
<iframe></iframe> sobre a mesma origem que a própria
página.
ALLOW-FROM uri - A página só pode ser exibida em um
<iframe></iframe> sobre a origem especificada.
13. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 13
(*) se você especificar NEGAR, qualquer tentativa de carregar
a página de outro site, ou mesmo do site local, em um
<iframe></iframe>, será impedida.
(**) se especificar SAMEORIGIN, é possível carregar a página
de um site local em um <iframe></iframe>, incluindo-a no
mesmo local que serve a página.
14. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 14
Boas Práticas para otimizar a segurança
Backup NOW
- faça regularmente o backup de seu site. Se possível, adquira a
versão PRO do Akeeba Backup para aproveitar todos os
recursos dessa excelente extensão.
15. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 15
Biblioteca idna_convert
- acesse libraries/idna_convert/ e delete o arquivo
example.php.Se o arquivo não existe em seu pacote de
instalação fique tranquilo, significa que o problema foi
resolvido.
Biblioteca idna_convert
- acesse libraries/idna_convert/ e delete o arquivo
example.php.Se o arquivo não existe em seu pacote de
16. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 16
instalação fique tranquilo, significa que o problema foi
resolvido.
Usuário do Grupo Super Users
- troque o usuário padrão do Joomla (admin), por outro
qualquer e atribua-lhe uma senha forte.
Extensões de Terceiros
- evite instalar extensões pouco conhecidas e utilizadas.
17. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 17
Permissões
- diretórios devem possuir permissão (0755) e arquivos (0644).
Relatório de Erros
- desabilite o relatório de erros pois eles pesam o seu website e
mostram aos possíveis invasores, falhas de segurança caso
existam. Para desabilitar o relatório basta seguir a seguinte
sequência: Configurações Globais - Sistema - Relatório de
Erros -> nenhum
18. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 18
Arquivo de configuração
- renomeie e mova o arquivo configuration.php para um novo
diretório.
Exemplo:
1.Renomeie o arquivo configuration.php que está na raiz do
website, para config.conf
2.Crie um diretório config e mova o arquivo para este diretório
3.Com o bloco de notas aberto, digite o script abaixo e salve,
19. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 19
na raiz do seu website, como configuration.php
Arquivo de configuração
- renomeie e mova o arquivo configuration.php para um novo
diretório.
20. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 20
Extensões Importantes na Otimização da
Segurança
Admin Exile - plugin que encapsula o /administrator do site.
URL: http://extensions.joomla.org/search?q=admin+exile&q=adminexile
Bye Bye Generator - plugin para customização do Generator.
URL: http://extensions.joomla.org/search?q=byebyegenerator
21. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 21
Browser Update Warning - plugin que avisa se o navegador
está desatualizado.
URL: http://extensions.joomla.org/search?q=browser
Akeeba Backup - Componente para backup e recuperação do
site.
URL: http://extensions.joomla.org/extensions/access-a-security/site-
security/backup/1606?qh=YToxOntpOjA7czo2OiJha2VlYmEiO30%3D
22. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 22
Júlio Coutinho - @cout45
http://www.juliocoutinho.com.br
Cout45@gmail.com
+55 61 9161-9219
Palestra disponível em http://www.slideshare.net/cout45/