Segurança no OJS

Johnathan · Outubro 6, 2021, 2:45pm

Bom dia Prezados,

Gostaria de saber como vocês lidam com a segurança da plataforma OJS, impedindo invasões maliciosas e ataques de hackers? Nossa plataforma (Portal de Periódicos do IF Goano - https://periodicos.ifgoiano.edu.br/) sofreu ataque hacker vindo da Bósnia e que apagou o site. A sorte que temos um backup, porém alguns arquivos se perderam nesse processo.

Gostaria de ver como vocês lidam com esse problema de vulnerabilidade da plataforma e como vocês tem feito para combater esses ataques maliciosos?

Poderiam me ajudar??

Diego_Abadan · Outubro 6, 2021, 3:57pm

@Johnathan, uma boa prática é manter o OJS atualizado.

Isso não significa necessariamente estar sempre na última versão, mas pelo menos em uma versão suportada e aplicar as correções de segurança disponíveis. Veja exemplos de problemas de segurança e correções em https://pkp.sfu.ca/ojs/ojs_download/

Além disso, é importante que o OJS seja instalado como indicado na documentação. Muitas invasões ocorreram por não se seguir essas recomendações e não por uma vulnerabilidade no código do OJS.

Por fim, é necessário ter o mesmo cuidado com os demais software que rodem no servidor, sejam para o funcionamento do OJS (banco de dados, servidor Web, etc), sejam possíveis outros softwares que compartilham o mesmo servidor. É boa prática de segurança reduzir ao máximo os serviços executando no mesmo servidor (ou servidor virtual / contêiner).

Sugiro também assinar a lista de anúncios de segurança da PKP:
https://lists.publicknowledgeproject.org/lists/?p=subscribe&id=1

Johnathan · Outubro 6, 2021, 5:13pm

@Diego_Abadan, mas a sua instituição não existe outra recomendação para segurança da plataforma? Pergunto isso, pois vemos que na base de usuários existem inúmeros logins que não são de pessoas, mas de robôs o que chegou aos impressionantes 3 milhões de usuários.

Mas se só essas indicações forem suficientes, desde já agradeço a sua colaboração.

At.te.,

Johnathan

Diego_Abadan · Outubro 6, 2021, 8:37pm

@Johnathan, essa quantidade tão grande de usuários parece indicar alguma vulnerabilidade que tenha sido explorada em versão não atual do OJS.

Agora, mesmo um OJS atualizado pode-se ter uma quantidade expressiva de usuários cadastrados por robôs, o que pode ser minimizado com algumas configurações do OJS e plugins.

O melhor ponto de partida para deixar um OJS seguro, inclusive em relação evitando o cadastro destes usuários não legítimos, me parece ser esta documentação oficial:
https://docs.pkp.sfu.ca/admin-guide/en/securing-your-system

Ela é bastante completa e imagino que seja o que procuras.

Abraços,
Diego
Periódicos em Nuvens

Johnathan · Outubro 7, 2021, 11:39am

Muito obrigado pelos seus esclarecimentos @Diego_Abadan. Nos auxiliou bastante!!