it-swarm-es.tech

Seguridad de Joomla: ataques de huellas digitales con htaccess

He estado jugando con mi archivo htaccess para proteger mejor Joomla pero estoy atascado en este ejemplo ( referencia ):

## Referrer filtering for common media files. Replace with your own domain name.
## This blocks most common fingerprinting attacks ;)
## Note: Change www\.example\.com with your own domain name, substituting the
## dots with \.  i.e. use www\.example\.com for www.example.com
RewriteRule ^images/stories/([^/]+/)*([^/.]+\.)+(jp(e?g|2)?|png|gif|bmp|css|js|swf|ico)$ - [L]
RewriteCond %{HTTP_REFERER} .
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?example\.com [NC]
RewriteCond %{REQUEST_FILENAME} -f
RewriteRule \.(jp(e?g|2)?|png|gif|bmp|css|js|swf|ico)$ - [F]

Agregué este ejemplo como prueba y arruina mi sitio (obviamente cambiando example.com a mi sitio). Supongo que no estoy realmente seguro de lo que esto está haciendo realmente. images/stories/ no existe en mi servidor, ¿qué está haciendo esto?

Estoy usando Joomla 2.5

1
Tom

En primer lugar, de ninguna manera soy un experto en el uso de .htaccess.

El código que ha publicado no permitirá a nadie vincular su contenido, la única excepción se define en la siguiente línea:

RewriteRule ^images/stories/([^/]+/)*([^/.]+\.)+(jp(e?g|2)?|png|gif|bmp|css|js|swf|ico)$ - [L]

La línea RewriteCond %{HTTP_REFERER} !^https?://(www\.)?example\.com [NC] define el dominio al que se le permite acceder a cualquier contenido, por lo que un pequeño error evitará que Joomla cargue CSS, JS, imágenes, etc. de otros directorios. Deberías volver a verificar esto.

También puede reemplazar la línea 5 con esto:

RewriteRule ^((components|modules|templates|images|plugins|media)/.*\.(jpe|jpg|jpeg|jp2|jpe2|png|gif|bmp|css|js|swf|html|mpg|mp3|mpeg|mp4|avi|wav|ogg|ogv|xls|xlsx|doc|docx|ppt|pptx|Zip|rar|pdf|xps|txt|7z|svg|odt|ods|odp|flv|mov|ico|htm))$ $1 [L]

Encontré información adicional aquí :

La idea es que si va a deshabilitar la validación de referencia HTTP, sea coherente y hágalo en todo el sitio para evitar problemas difíciles de rastrear. Además, esta característica solo ofrece protección limitada contra ataques de huellas digitales (es decir, intentos de hackers de volar por debajo del radar para descubrir qué versión de Joomla! Estás usando).

Básicamente, el fragmento de código que está utilizando puede causar más problemas de lo que vale.

4
johanpw