Joomla possibilidades infinitas em CMS

836 visualizações

Publicada em

Palestra sobre JOOMLA!

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
836
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Joomla possibilidades infinitas em CMS

  1. 1. Joomla - Possibilidades infinitas em CMS.
  2. 2. Felipe Perin● AUV surveyor● Consultor de Segurança em TI● Desenvolvedor web● Entusiasta em software livre● Segurança em Redes de Computadores● Redator do Pub & Comunic. E-mail: perin.ng@gmail.com Linkedin: http://br.linkedin.com/in/felipeperin Blog: http://www.itperin.blogspot.com.br
  3. 3. Joomla! (pronuncia-se djumla)É um Sistema de gestão de conteúdos (Content ManagementSystem - CMS).Desenvolvido a partir do CMS Mambo.É desenvolvido em PHP e pode ser executado no servidorWeb Apache ou IIS e base de dados MySQL.Lançado em 16 de setembro de 2005 (6 anos).
  4. 4. Características principais■ Código aberto (Licença GPL);■ Arquivamento para conteúdo não utilizados (Lixeira);■ Gerenciamento de banners;■ Sistema de publicação para o conteúdo;■ Sumário de conteúdo no formato RSS;■ Busca otimizada (qualquer palavra registrada);■ Frontend já traduzido em várias línguas;■ Fácil instalação para novos templates, módulos e componentes;■ Hierarquia para grupos de usuários;■ Editor de conteúdo WYSIWYG;■ Sistema de enquete simples (com acompanhamento de resultado em tempo real);
  5. 5. Quem utiliza o Joomla?● El Villarreal CF (Equipe de Futebol 1º ● Tribunal Superior da Austrália Divisão da Liga Espanhola) ● eBay● Cidade do México (a segunda maior cidade do mundo.) ● Sony Pictures● Jaguar (marca mundialmente famosa ● MacDonalds de carros de luxo britânica.) ● Gorillaz● Governo da Grécia ● Groupama (empresa de seguros segundo maior da França e uma das● Barnes & Noble (maior varejista de maiores do mundo, com escritórios na livros nos Estados Unidos com mais Europa e na Ásia) de 1300 lojas) ● Mais de 2900 sites do governo● Torre Eiffel construído com Joomla!● Ministério da Defesa do Reino Unido ● E inúmeros sites não catalogados pelo site oficial.● Danone
  6. 6. Primeiros Passos - Instalação
  7. 7. Verificação dos requisitos mínimos do sistema
  8. 8. Licença do software
  9. 9. Configuração do Banco de Dados
  10. 10. Configuração do FTP
  11. 11. Configuração Principal
  12. 12. Finalização
  13. 13. Página de Administração
  14. 14. Página Inicial com as principais funcionalidades
  15. 15. Organização de artigos
  16. 16. Estrutura dosMódulos
  17. 17. Boas Práticas no Joomla _| Se| (Nada funcionar)| Então| {| Leia o Manual ( )| }|_
  18. 18. Não use o prefixo jos_ como padrão das tabelas do Banco de Dados.Muitos ataques de injeção SQL são baseados na suposição deque as tabelas de seu banco de dados são denominados"jos_".Caso você tenha optado por usar o padrão "jos_", ele poderáser mudado com um simples script PHP.
  19. 19. Um usuário de banco de dados por instalaçãoNão use um mesmo usuário para vários banco de dados enunca use root como usuário de conexão.Geralmente o usuário de conexão ao banco e o nome dobanco, são baseados no nome de seu domínio. Mas isto vaidepender do provedor de hospedagem.
  20. 20. Considere uma senha forte para a conexão ao banco de dadosUse uma senha longa e complicada para o acesso ao seubanco de dados.Hoje em dia é muito fácil de decifrar um hash MD5, base deencriptação utilizada pelo Joomla (já foi quebrado) ou SHA1.Inclusive existem aplicações web que ajudam nesse processo.Se alguém começar a tentar quebrar a senha de acesso aobanco de dados, por força bruta por exemplo, é só questão detempo até obter o sucesso. Uma boa forma de criar senhasfortes é utilizar caracteres alfanuméricos e caracteres especiaiscomo @ # $ e etc...
  21. 21. Não instale o exemplo de conteúdoO exemplo de conteúdo serve para que você se familiarize como Joomla.Em produção, você não deve utilizá-los tendo em vista que sãofáceis de serem identificados pelos "exploits".Além disso, você pode se esquecer de remover totalmente oconteúdo de exemplo.
  22. 22. Desinstalar coisas que você não precisaDesinstale todas as extensões que você não irá utilizar em seuprojeto.Desde os componentes do núcleo do Joomla até os templatesque estão sobrando.Observe, por exemplo, que ao instalar o editor JCE você estaráreinstalando o editor WYSIWYG TinyMCE, pois ele funcionaencapsulado no JCE.Joomla vem com o editor TinyMCE instalado como editorpadrão, então você terá duas instalações TinyMCE.
  23. 23. Desativar o registro / loginSe o seu website não terá conteúdo restrito ou cadastro deusuários, desabilite o módulo Login form Desativar XML-RPC Desative o XML-RPC do servidor se você não precisa dele.
  24. 24. Excluir a conta de usuário padrãoO userid 62 e o nome de usuário "admin" presentes natabela #__users, representa uma fraqueza e devem sersubstituídos imediatamente após a publicação do websitena Internet.Para tal, acesse o backend e crie um novo usuário comperfil de superadministrador.Depois, faça o login com o novo usuário e exclua o antigoadmin.Lembre-se que o admin é o primeiro usuário a morrer emqualquer sistema.
  25. 25. Ativar o (.htaccess)O htaccess.txt está na raiz do seu website joomla e deve serrenomeado para (.htaccess). Porém, alguns fatores devemser observados:a) o (.) antes de um nome de arquivo, significa que o arquivoé um arquivo oculto do GNU/LINUX. Logo, não irá funcionar oMS Windows®.b) o (.htaccess) é um arquivo extremamente perigoso ealguns provedores simplesmente não permitem o envio domesmo, ou durante a atualização do apache, passam arestringir seu uso.
  26. 26. Use urls amigáveisMuitos "exploits" funcionam baseados em sniffs de robotsatravés das URLs dinâmicas do Joomla!.Por exemplo, digamos que o componente (com_algumacoisa)foi invadido e você está usando o mesmo em seu website.O "exploit" irá buscar por com_algumacoisa em sua url e umavez achado, irá explorar as vulnerabilidades do mesmo parainvadir seu website.O uso de Urls amigáveis além de ajudar sobremaneira naindexação de seu website pelo google é uma excelenteprática de segurança.
  27. 27. Faça Backup de seu website regularmenteSe o provedor não faz backup para você, inclua uma rotinaem seu projeto.Para provedores que permitem acesso via ssl você podeagendar o backup no cron do servidor.Não é possível? Use o Akeeba que é uma excelenteextensão para backup.Inclusive, a versão paga possibilita o agendamento dosmesmos.
  28. 28. Proteja o /administrador com medidas extrasEncapsule o /administrator de seu website usando um simplesplugin de segurança como o JSecure. 70% das tentativas de ataque serão barradas pelo simplesfato de não ser encontrado o /administrator de seu website.
  29. 29. Dê as permissões corretas para arquivos e diretóriosA permissão dos diretórios de seu website devem estarcom 0755 e os arquivos com 0644.Nunca, jamais, em hipótese alguma use 0777. Considere a instalação de extensões de segurançaExistem várias extensões voltadas a implementação desegurança em seu website Joomla. Visite o JED, identifique-as e faça os devidos testes.Fundamentais: Akeeba, JSecure, Jpudateman eConfiguration Ecnrypt
  30. 30. Perguntas ?
  31. 31. Felipe Perin● AUV surveyor● Consultor de Segurança em TI● Desenvolvedor web● Entusiasta em software livre● Segurança em Redes de Computadores● Redator do Pub & Comunic. E-mail: perin.ng@gmail.com Linkedin: http://br.linkedin.com/in/felipeperin Blog: http://www.itperin.blogspot.com.br

×