Cambiare l’utente admin in Joomla 1.5
In questo interessante articolo di Nicholas Dionysopoulos comparso su Joomla Magazine viene approfondito un aspetto interessante legato alla presenza in Joomla 1.5 di un utente superamministratore predefinito.
Per chi non avesse voglia di leggersi l’articolo originale – in inglese – vediamo di riassumere brevemente di cosa si parla.
Admin
In Joomla 1.5, al termine dell’installazione vengono richiesti e-mail e password dell’utente amministrativo di default. Tale utente si chiama sempre admin ed è inserito nella tabella degli utenti con un id fisso che è il 62.
Avere dei dati certi può aiutare i malintenzionati a calibrare i propri attacchi: molte falle di sicurezza (non solo in Joomla) dipendono proprio dal fatto che molti amministratori di sistema non si preoccupano di cambiare i valori predefiniti.
Non admin
La prima soluzione, assolutamente consigliata e da applicare a TUTTI i vostri siti Joomla, è quella di creare un diverso utente super amministratore, dopodichè rimuovere l’utente admin. Nota: visto che non è possibile cancellare direttamente un utente super amministratore, dovrete prima modificarlo cambiandone il tipo. Riepiloghiamo le operazioni:
- finire l’installazione
- entrare con utente admin
- creare un nuovo utente super amministratore
- scollegarsi
- entrare con il nuovo utente super amministratore
- modificare l’utente admin rendendolo, per esempio, “Registered”
- cancellare l’utente admin
Con questa semplice soluzione ci saremo già protetti da una certa quantità di attacchi.
Cambio di IDentità
Non contento, Nicholas – decisamente esperto di sicurezza in Joomla come potete notare seguendo il suo blog – ci suggerisce anche di cambiare l’ID di questo nostro nuovo utente amministratore, impostando manualmente nel database un ID tra quelli non utilizzati da Joomla, per ridurre al minimo la possibilità che qualcuno possa “indovinare” tale dato.
Da non dimenticare
Questa procedura è solo una tra le tante che possono migliorare la sicurezza sul nostro sito Joomla. Non va sottovalutato, ad esempio, il fatto di avere meno estensioni possibile, di tenerle aggiornate, e di scegliere quelle più affidabili.
Ma ancora più di questo, la sicurezza si basa sulla conoscenza; se siete responsabili della sicurezza di un sito, cercate di capire quali sono i concetti alla base delle principali falle di sicurezza (ad esempio, sapete cosa vuol dire SQL Injection? Se la risposta è no, è ora di studiare 🙂 ) in modo da poter prevenire i possibili danni.
massimiliano
Salve, ho provato a registrare un account super admin entrando con un account admin, ma non mi permette di crearlo. Non mi permette neanche di creare utente admin, dicendo che lo può fare solo il super admin e allora come posso fare a cancellare il vecchio super admin e crearne uno nuovo?
Francesco
@Massimiliano:
stai facendo confusione tra il GRUPPO e l’UTENTE.
1. Appena installato Joomla 1.5 ti ritrovi con un utente che si chiama “admin” e che fa parte del gruppo “Super Administrator”. Accedi con questo utente, e crea un ALTRO utente nel gruppo “Super Administrator”.
2. Esci e poi accedi con il NUOVO utente; ora potrai fare quello che ti pare, ad esempio modificare e/o eliminare il precedente utente “admin”.