O documento apresenta práticas de segurança para proteger sites Joomla! contra diversos tipos de ataques, incluindo força bruta, SQL injection, e clickjacking. Além de listar vulnerabilidades e recomendações, destaca a importância de atualizações de software e permissão adequada de arquivos e diretórios. Recursos e extensões úteis para aumentar a segurança também são sugeridos.

2. JÚLIO COUTINHO
@COUT45
• Graduado webdesign e programação
• Especialista em Engenharia de Sistemas
• Militar EB - Webmaster Gab Cmt Ex
• Criador e mantenedor joomlabrasilia.org
• Autor Guia Consulta Joomla!3

3. SEU SITE SEGURO, BOAS
PRÁTICAS DE SEGURANÇA.

5. TIPOS DE ATAQUES

6. • Força bruta - "A maioria dos ataques de força-bruta
que alcançam sucesso não variam tanto como a senha
do usuário."
• Sql Injection - uma das formas mais comuns e efetivas
de ataques à aplicações web. Operações CRUD não
autorizadas.
• Directory Scanning - exploração de diretórios.
• Acesso direto - tentativa de abrir determinado
arquivo abrindo uma backdoor.
• DoS - Denial of Service (negação de serviço).

7. • Clickjacking - cria formulários invisíveis para
capturar usuário e senha. Inicializados por
Trojans presentes em links recebidos nos
emails.
• Malware - infecta o site com objetivo de
gerar tráfego em ataques DoS, spam e etc.
(*) Aviso no navegador

8. WEBSCARAB
• Softwares para testes de
segurança e/ou ataques com
processos automatizados, desde
defacement, passando por roubo
de dados e destruição de
diretórios e arquivos.
• OWASP WebScarab Project
• https://www.owasp.org/index.php/
Category:OWASP_WebScarab_P
roject

9. JOOMSCAN

10. BLINDANDO O SEU SITE

11. • Força bruta
• Usuário de administração != admin
• Senha forte (letras maiúsculas e minúsculas, nrs e caracteres
especiais)
• Directory Scanning
• Arquivo em branco (index.html) na raiz de todos os diretórios
• Sql Injection
• ID Super User randômica (Joomla 3 +)
• Prefixo de tabela randômico (Joomla 3+)

12. • Acesso Direto
• _JEXEC
• comp, mod, plg e tmpl
• defined('_JEXEC') or die;
• DOS
• Desligue a máquina
• Clickjacking
• header('X-Frame-Options: SAMEORIGIN');

13. • WebScarab
• Url's amigáveis
• .htaccess
• Encapsulamento /administrator
• Atualização CMS
• Encapsulamento meta-tag Generator

14. MALWARE
• Depende exclusivamente do
usuário
• Alto índice de retorno de
ataque
• FTP usando SO Windows
• O elo fraco da segurança são
as pessoas. (Kevin Mitnick)

15. BOAS PRÁTICAS

16. 1.Atualização versão CMS Joomla
2.Não usar templates piratas
3.Permissões ( Diretórios = 755 Arquivos = 644)
4.Alteração dos dados do Super admin
5.Url's amigáveis
6.Minimizar a instalação de extensões de terceiros
7.Regras de segurança no .htaccess
8.Desabilitar relatórios de erros

17. EXTENSÕES NECESSÁRIAS

18. • Admin Exile - plugin para encapsulamento do /
administrator
• Bye Bye Generator - plugin para remoção/customização
da meta-Generator
• Browse Update Warning - plugin para atualização do
navegador
• Akeeba Backup - componente para Backup e
recuperação
• JJAntispam - plugin preventivo de spam durante registro e
login

19. JED
EXTENSIONS.JOOMLA.ORG
• 7.000 extensões em média
• C - componente
• M - módulo
• P - plugin
• T - template
• S - extensão slave

20. "O ditado de que os sistemas de segurança têm
de vencer sempre e o atacante só tem de vencer
uma vez é verdadeiro." (Dustin Dykes)

21. GUIA DE CONSULTA RÁPIDA
JOOMLA! 3.X
• www.livrodejoomla.com.br

22. CONTATO
cout45@gmail.com
+55 61 91619219