Home Notizie Siti web e Joomla! Joomla! La sicurezza in Joomla! prima parte
La sicurezza in Joomla! prima parte PDF Stampa E-mail
Mercoledì 10 Agosto 2011 00:00

Considerazioni generali

  • Occorre cambiare subito le password e non usare sempre le stesse. Utilizza una combinazione aleatoria di lettere, numeri o simboli ed evita di usare nomi o parole che possano essere trovate in un dizionario. Non utilizzare mai i nomi dei parenti, animali domestici, etc.
  • Se si sta usando un servizio condiviso di hosting, assicurati che nessun altro utente nel server possa vedere o accedere ai files del sito web, per esempio attraverso shell, cpanels, etc.
  • Occorre responsabilizzarsi personalmente di fare un backup dei files del sito web e del database.
  • Utilizza un sistema di prevenzione di intrusioni per bloccare HTTP maliziosi.

Server di sviluppo

  • Configura un server locale per lo sviluppo e realizza lì tutti gli aggiornamenti e i test. In Apache forniscono XAAMP, un installatore di applicazioni LAMP facile da usare e gratuito che lavora con molti sistemi operativi, includendo GNU/Linux e Windows.
  • Alcuni provider particolari offrono server di sviluppo e backups.

HTTP Server (Apache, etc.)

  • PHP, MySQL e molte altra componenti base furono originalmente progettate per server Apache. Evita di usare altri server se è possibile.
  • Utilizza file .htaccess per bloccare tentativi di exploits.
  • Rivedi regolarmente i log di accesso alla ricerca di attività sospettosa. Non fidarti di sommari e grafici. Rivediti i "raw logs", i registri grezzi, per dettagli più reali.
  • Configura i filtri di Apache mod_security e mod_rewrite affinché blocchino attacchi PHP.

MySQL

  • Assicurati che l'account MySQL di Joomla! sia configurato con accesso limitato. Questo consente che l'installazione iniziale di MySQL sia sicura. Una diligente configurazione manuale è richiesta dopo l'installazione.
  • Leggiti la documentazione MySQL.
  • In un server condiviso, se si possono vedere i nomi dei database di altri utenti, allora si può essere abbastanza sicuro che loro possano vedere i nostri. Un buon provider limita strettamente l'accesso di ogni utente solo ai propri database.

PHP

  • Prima di tutto occorre sapere che PHP 4 non è oramai mantenuto attivamente, aggiorna il codice PHP a PHP 5.
  • Applica tutte le patch necessarie per PHP e per le applicazioni basate in PHP.
  • Si raccomanda una frequente scansione wen in ambiti dove un gran numero di applicazioni PHP vengono usate.
  • Utilizza strumenti come Paros Proxy per realizzare prove automatiche di SQL Injection verso le proprie applicazioni PHP.
  • Segui il principio di "Least Privilege", il minore privilegio, per far girare PHP usando strumenti come PHPsuExec, php_suexec o suPHP da suPHP.

php.ini

Studia la lista ufficiale di php.ini in www.php.net.

Esempi ci sono qui sotto:

register_globals = 0
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
allow_url_fopen = 0
magic_gpc_quotes = 0
safe_mode = 1
open_basedir = / dir/incl/

Testo originale: "Joomla Administrator's Security Checklist", scritto da rliskey, Joomla! Forum Moderator.
 
Copyright © 2008-2012 Joomla Vicenza ~ Joomla! ~ Admin ~ Sitemap
joomlavicenza.it is not affiliated with or endorsed by the Joomla! Project or Open Source Matters. The Joomla! name and logo is used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.