JÚLIO COUTINHO @COUT45

• Graduado webdesign e programação

• Especialista em Engenharia de Sistemas

• Militar EB - Webmaster Gab Cmt Ex

• Criador e mantenedor joomlabrasilia.org

• Autor Guia Consulta Joomla!3

SEU SITE SEGURO, BOAS PRÁTICAS DE SEGURANÇA.

TIPOS DE ATAQUES

• Força bruta - "A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário."

• Sql Injection - uma das formas mais comuns e efetivas de ataques à aplicações web. Operações CRUD não autorizadas.

• Directory Scanning - exploração de diretórios.

• Acesso direto - tentativa de abrir determinado arquivo abrindo uma backdoor.

• DoS - Denial of Service (negação de serviço).

• Clickjacking - cria formulários invisíveis para capturar usuário e senha. Inicializados por Trojans presentes em links recebidos nos emails.

• Malware - infecta o site com objetivo de gerar tráfego em ataques DoS, spam e etc. (*) Aviso no navegador

WEBSCARAB

• Softwares para testes de segurança e/ou ataques com processos automatizados, desde defacement, passando por roubo de dados e destruição de diretórios e arquivos.

• OWASP WebScarab Project

• https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

JOOMSCAN

BLINDANDO O SEU SITE

•Força bruta

• Usuário de administração != admin

• Senha forte (letras maiúsculas e minúsculas, nrs e caracteres especiais)

• Directory Scanning

• Arquivo em branco (index.html) na raiz de todos os diretórios

• Sql Injection

• ID Super User randômica (Joomla 3 +)

• Prefixo de tabela randômico (Joomla 3+)

• Acesso Direto

• _JEXEC

• comp, mod, plg e tmpl

•defined('_JEXEC') or die;

• DOS

• Desligue a máquina

• Clickjacking

•header('X-Frame-Options: SAMEORIGIN');

• WebScarab

• Url's amigáveis

• .htaccess

• Encapsulamento /administrator

• Atualização CMS

• Encapsulamento meta-tag Generator

MALWARE

• Depende exclusivamente do usuário

• Alto índice de retorno de ataque

• FTP usando SO Windows

•O elo fraco da segurança são as pessoas. (Kevin Mitnick)

BOAS PRÁTICAS

1.Atualização versão CMS Joomla

2.Não usar templates piratas

3.Permissões ( Diretórios = 755 Arquivos = 644)

4.Alteração dos dados do Super admin

5.Url's amigáveis

6.Minimizar a instalação de extensões de terceiros

7.Regras de segurança no .htaccess

8.Desabilitar relatórios de erros

EXTENSÕES NECESSÁRIAS

• Admin Exile - plugin para encapsulamento do /administrator

• Bye Bye Generator - plugin para remoção/customização da meta-Generator

• Browse Update Warning - plugin para atualização do navegador

• Akeeba Backup - componente para Backup e recuperação

• JJAntispam - plugin preventivo de spam durante registro e login

JED EXTENSIONS.JOOMLA.ORG

• 7.000 extensões em média

•C - componente

•M - módulo

•P - plugin

•T - template

•S - extensão slave

"O ditado de que os sistemas de segurança têm de vencer sempre e o atacante só tem de vencer uma vez é verdadeiro." (Dustin Dykes)

GUIA DE CONSULTA RÁPIDA JOOMLA! 3.X

• www.livrodejoomla.com.br

CONTATO

cout45@gmail.com

+55 61 91619219