webalex.it

OSE Security Suite è un pacchetto di sicurezza per Joomla che è formato da tre componenti: un firewall, un sistema di controllo dei file e un antivirus.
Costa circa 100 euro (80 sterline inglesi) e si può usare senza limiti. Si ha anche diritto a un anno di supporto.

Installazione

In pratica OSE Security Suite è un sito Joomla del tutto separato da quello che si vuole proteggere. Bisogna creare un nuovo database e un nuovo utente del database stesso, e tutti i file vanno installati in una sottodir del sito.
La procedura di installazione è semplice, in quanto ricalca quella di Joomla. Alla fine si accede al pannello di controllo del pacchetto, uguale al pannello di Joomla, e si inizia la configurazione.

Anti-Hacker, il firewall

Il firewall vero e proprio si chiama Anti-Hacker. Il manuale in PDF non fornisce dettagli tecnici approfonditi, ma solo linee guida generali. Seguendo passo a passo il manuale la configurazione è semplice. Il firewall però va attivato inserendo una riga di codice apposita in uno dei file del sito: o php.ini o .htaccess o index.php

Ci sono tre livelli (layer) di protezione, il secondo dei quali è facoltativo e ha 10 livelli di regolazione. Questo Layer 2 è il più delicato perchè blocca gli spambot ma anche i googlebot. Il manuale consiglia di regolare il Layer 2 a livello 7 e poi di seguirne il comportamento nel tempo.

Infine, il Layer 3: è un plugin che collegato ad una BlackList internazionale in continuo aggiornamento. Per legarsi a questo servizio è sufficiente registrarsi presso il sito Project Honey Pot e ottenere una chiave da inserire nelle preferenze di OSE Anti-Hacker.

System Guard

Il secondo componente da usare si chiama OSE System Guard. Esso non è altro che l'integrazione di GuardXT, un'estensione ben nota per il controllo dei file (sia permessi che modifiche) e della configurazione di Joomla.
System Guard lavora a stretto contatto con Anti-hacker e fornisce il codice di attivazione del Firewall.

Antivirus

Infine c'è l'antivirus, che non ha bisogno di altro che dell'inserimento del path del sito. Anche in questo caso il manuale guida bene il primo utilizzo. Ci sono cinques file che risultano virus ma sono stati messi apposta per verificare il funzionamento del software.
Meglio non cancellarli ma inserirli nella whitelist. Io ho provato a rimuoverli con esiti disastrosi e ho dovuto reinstallare tutto da capo.

Pro

E' completamente indipendente dal sito che protegge.
Molto semplice da usare dopo la prima configurazione.
Completo e ricco di strumenti.
L'assistenza è veloce e costante.
Funziona.

Contro

L'installazione è un po' lunga e articolata.
Se si lavora molto spesso sul sito è meglio avere un IP statico o disabilitare il Layer 2 per il periodo di tempo necessario, altrimenti lo stesso admin viene bloccato a raffica. L'alternativa è aggiungere il proprio IP alla white list, ma tenere acceso il computer.
Se si usa Akeeba, si deve pagare per la versione pro per salvare anche il database di OSE Security.
L'upgrade è complicato.

Conclusioni

OSE Security Suite ha una curva di apprendimento un po' ripida ma poi viaggia in automatico. Può solo risultare un po' fastidioso se si cambiano spesso le estensioni e queste vengono bloccate dal firewall.
E' un ottimo prodotto, economico e ben assistito, che protegge bene. Chiaramente potrebbe non resistere ad un attacco mirato di hacker esperti, ma questo è un problema che hanno ben altri siti.
Consiglio di usarlo assieme a Eye Site per tenere sotto controllo tutti i file mediante un semplice cronjob.
Il vero fattore limitante è che, se non si dispone di un IP statico, alla fine si è costretti a disabilitare il Layer 2 per poter lavorare. A quanto dice l'assistenza, però, il Layer 2 serve essenzialmente per bloccare gli spambot, quindi non è di importanza fondamentale.

Il backup è imprescindibile per recuperare un sito compromesso, quindi il primo programma da installare è Akeeba, il cui vecchio nome era JoomlaPack.

Per la gestione della sicurezza dei siti realizzati con Joomla ci sono alcune estensioni donationware molto semplici e utili.

Site Scan - per gestire i permessi di file e directory.
Questo è uno script che si copia direttamente nella root del sito e si controlla via browser. Controlla e imposta i permessi sia per i file che per le directory. Inoltre è in grado di aggiungere un index.html nelle directory vuote, quindi attenzione perchè poi il file va rimosso dalla cartella di administrator. Alla fine del lavoro lo script va rimosso.

Eye Site - scansione del sito e segnalazione dei file modificati.
E' un componente che controlla tutto il sito e rileva i file nuovi, cancellati o modificati. Lo script può essere lanciato tramite un cron job, e poi Eye Site manda un email con i risultati della scansione.

Encryption Configuration - per criptare la password e i moduli.
Questo plugin cripta la password di accesso al sito e altri moduli di joomla, sia in backend che in frontend. E' posibile criptare anche moduli di terze parti.

Marco's SQL Injection - LFI Protection - protezione attiva del sito.
E' uno script che protegge il sito dai più comuni attacchi che avvengono via frontend.

Enhanced htaccess - il file htaccess modificato per aumentare le difese contro gli attacchi.
Questo file è proposto dallo stesso autore di Site Scan. Va usato con attenzione.

IPsafer - bannare gli IP automaticamente
Bannare gli IP può essere inutile perchè spesso sono dinamici, quindi avere lunghi elenchi da inserire nel file htaccess non ripara molto. IPsafer ha un approccio diverso. Fornisce due file modificati per Joomla, che vanno a sostituire quelli originali e permettono la verifica da remoto degli accessi al sito. Gli IP vengono bannati tenendo conto di una rete di controllo internazionale, in tempi anche molto rapidi.