OSE Security Suite è un pacchetto di sicurezza per Joomla che è formato da tre componenti: un firewall, un sistema di controllo dei file e un antivirus.
Costa circa 100 euro (80 sterline inglesi) e si può usare senza limiti. Si ha anche diritto a un anno di supporto.
Installazione
In pratica OSE Security Suite è un sito Joomla del tutto separato da quello che si vuole proteggere. Bisogna creare un nuovo database e un nuovo utente del database stesso, e tutti i file vanno installati in una sottodir del sito.
La procedura di installazione è semplice, in quanto ricalca quella di Joomla. Alla fine si accede al pannello di controllo del pacchetto, uguale al pannello di Joomla, e si inizia la configurazione.
Anti-Hacker, il firewall
Il firewall vero e proprio si chiama Anti-Hacker. Il manuale in PDF non fornisce dettagli tecnici approfonditi, ma solo linee guida generali. Seguendo passo a passo il manuale la configurazione è semplice. Il firewall però va attivato inserendo una riga di codice apposita in uno dei file del sito: o php.ini o .htaccess o index.php
Ci sono tre livelli (layer) di protezione, il secondo dei quali è facoltativo e ha 10 livelli di regolazione. Questo Layer 2 è il più delicato perchè blocca gli spambot ma anche i googlebot. Il manuale consiglia di regolare il Layer 2 a livello 7 e poi di seguirne il comportamento nel tempo.
Infine, il Layer 3: è un plugin che collegato ad una BlackList internazionale in continuo aggiornamento. Per legarsi a questo servizio è sufficiente registrarsi presso il sito Project Honey Pot e ottenere una chiave da inserire nelle preferenze di OSE Anti-Hacker.
System Guard
Il secondo componente da usare si chiama OSE System Guard. Esso non è altro che l'integrazione di GuardXT, un'estensione ben nota per il controllo dei file (sia permessi che modifiche) e della configurazione di Joomla.
System Guard lavora a stretto contatto con Anti-hacker e fornisce il codice di attivazione del Firewall.
Antivirus
Infine c'è l'antivirus, che non ha bisogno di altro che dell'inserimento del path del sito. Anche in questo caso il manuale guida bene il primo utilizzo. Ci sono cinques file che risultano virus ma sono stati messi apposta per verificare il funzionamento del software.
Meglio non cancellarli ma inserirli nella whitelist. Io ho provato a rimuoverli con esiti disastrosi e ho dovuto reinstallare tutto da capo.
Pro
E' completamente indipendente dal sito che protegge.
Molto semplice da usare dopo la prima configurazione.
Completo e ricco di strumenti.
L'assistenza è veloce e costante.
Funziona.
Contro
L'installazione è un po' lunga e articolata.
Se si lavora molto spesso sul sito è meglio avere un IP statico o disabilitare il Layer 2 per il periodo di tempo necessario, altrimenti lo stesso admin viene bloccato a raffica. L'alternativa è aggiungere il proprio IP alla white list, ma tenere acceso il computer.
Se si usa Akeeba, si deve pagare per la versione pro per salvare anche il database di OSE Security.
L'upgrade è complicato.
Conclusioni
OSE Security Suite ha una curva di apprendimento un po' ripida ma poi viaggia in automatico. Può solo risultare un po' fastidioso se si cambiano spesso le estensioni e queste vengono bloccate dal firewall.
E' un ottimo prodotto, economico e ben assistito, che protegge bene. Chiaramente potrebbe non resistere ad un attacco mirato di hacker esperti, ma questo è un problema che hanno ben altri siti.
Consiglio di usarlo assieme a Eye Site per tenere sotto controllo tutti i file mediante un semplice cronjob.
Il vero fattore limitante è che, se non si dispone di un IP statico, alla fine si è costretti a disabilitare il Layer 2 per poter lavorare. A quanto dice l'assistenza, però, il Layer 2 serve essenzialmente per bloccare gli spambot, quindi non è di importanza fondamentale.
