Ste, ho tradotto due FAQ:
1) Come impostare i parametri per gli articoli e le altre voci di contenuto?
2) Come proteggere le cartelle con password usando .htaccess?
Per quanto riguarda la seconda, sono indicati, nell'originale, due link che, però, non ci sono. Le frasi relative, le ho messe in grassetto, corsivo e con carattere 14
Pensi tu a metterle in FAQ (dopo averle controllate, s'intende)?
Come impostare i parametri per gli articoli e le altre voci di contenuto?
In joomla! 1.5, molti parametri degli articoli, come "mostra titolo", "mostra l'autore" e così via, possono essere impostati in tre posti:
- il singolo articolo (schermata Articolo:[modifica]);
- la voce di menu (schermata Voci di menu:[modifica]);
- i parametri globali (Gestione articoli/Parametri)
Ovviamente, i parametri a livello del singolo articolo e della voce di menu possono essere impostati su uno specifico valore o su "Usa Globali". Se i singoli parametri degli articoli sino impostati, questi valori assumono il controllo. Se questi valori sono impostati su "Usa Globali", allora viene utilizzato il parametro della voce di menu. Se la voce di menu è impostata su uno specifico valore, viene utilizzato quel valore. Se anche a voce di menu è impostata su "Usa Globali", allora viene considerata l'impostazione del parametro globale.
Una gerarchia simile è utilizzata per le altre voci di contenuto, come Banners, Contatti, News Feed e Web Links
Come proteggere le cartelle con password usando .htaccess?
Sommario
Questa FAQ spiega come proteggere la cartella /administrator/ di Joomla! su un server Apache utilizzando l'utility htpasswd. Puoi facilmente adattare queste istruzioni per proteggere altre cartelle. Se hai bisogno di aiuto per trovare o creare il tuo file .htaccess, inizia da qui.
Caveat (From Apache.org)
A rigore, l'autenticazione di base non dovrebbe essere considerata sicura in nessun caso. Sebbene la password è conservata sul server in formato criptato, quesa viene passata dal client al server in formato testo (in chiaro). Chiunque sia "in ascolto" con un qualsiasi sniffer di pacchetti, sarà in condizione di leggere il nome utente e la password in chiaro mentre passa.
E non solo. Ricorda che nome utente e password vengono passate ad ogni tichiesta, non solo quando l'utente le digita per la prima volta nella sessione. Sicchè lo sniffer di pacchetti sia in "ascolto" in un momento particolare, ma è sufficiente che sia abbastanza a lungo per assistere a qualsiasi richiesta attraversi la rete.
E ancora, il contenuto stesso attraversa la rete in chiaro e quindi il sito web contiene informazioni sensibili, lo stesso sniffer di pacchetti potrebbe avere accesso a quelle informazioni quando il contenuto è già passato, persino se nome utente e password non sono stati utilizzati per ottenere l'accesso diretto al sito.
Non utilizzare la sola autenticazione di base per qualcosa che richiede davvero sicurezza. E' un danno per molti utenti. Se è vero che veramente in pochi si prenderanno la briga o avranno il software necessario e/o l'equipaggiamento per individuare le passwords, è anche vero che se qualcuno avesse la voglia di farlo, avrebbe davvero bisogno di poco per metterlo in pratica.
L'autenticazione standard attraverso una connessione SSL, tuttavia, sarà sicura, in quanto tutto andrà criptato, incluso il nome utente e la password.
Istruzioni
1. Se non hai familiarità con l'utility htpasswd di Apache, sarebbe opportuno che leggessi il seguente link, prima. Apache Authentication, Authorization, and Access Control
2. Accertati che il tuo sito sia configurato per usare file .htacces. Se non sei sicuro, chiedi al tuo host.
3. Decidi dove mettere il tuo file .htaccess. Siccome Apache cerca in modo sequenziale i file .htaccess in tutte le cartelle di un persorso, quanto più alto nella struttura del percorso inserisci l'htaccess, tante più cartelle esso controllerà. Se c'è già un file .htaccess nella cartella che scegli, è sarà sicuramente meglio aggiungere il nuovo codice al file già esistente.
4. Decidi dove mettere i tuoi file .htpasswd e .htgroups. Questi file non dovrebbero MAI essere accessibili via Web. Qui sotto c'è una struttura di directory di esempio che mostra una buona allocazione per ciascun file. Nota che la cartella /auth/ in questo esempio, NON è accessibile dal web
/home/ilmiosito/public_html/.htaccess
/home/ilmiosito/auth/.htpasswd/
/home/ilmiosito/auth/.htgroups/
5. Crea i file .htpasswd e .htgroups come spiegato nell'"HowTo" ufficiale di Apache (riportato sopra). (Dal momento che avrai sicuramente letto la documentazione ufficiale e aggiornata su Apache.org, ti risparmiamo il fastidio di visualizzarlo di nuovo qui.)
6. Se un file .htaccess esiste già nella cartella che hai scelto, fanne una copia. Se il file non esiste, crea un file nuovo con quel nome adesso. (Non dimenticare il punto all'inizio del nome.)
7. Aggiungi il codice che segue al file .htaccess. Aggiusta i persorsi di esempio (indicati in rosso) secondo le necessità del tuo server. Sistema il nome del gruppo che hai creato nel passaggio 5 se differente rispetto all'esempio qui sotto.
AuthUserFile /home/auth/.htpasswd
AuthGroupFile /home/auth/.htgroups
AuthType Basic
AuthName "LWS"
require group admins
8. Fai i test con estrema attenzione
9. Rimuovi tutti i backup del file .htaccess dalle cartelle pubblicamente raggiungibili via Web
10. Se non sai utilizzare le utility Apache htpasswd, eccoti uno script online free che crea i file necessari per te. Avrai bisogno di conoscere nome utente, password e percorso. Lo script farà il resto in vece tua. Nota che per configurazioni più avanzate, come, ad esempio, l'uso dei gruppi, sarà necessario modificare i file risultanti.
Generatore di .htaccess: http://www.webmaster-toolkit.com/htaccess-generator.shtml
Entra
nella chat di Joomla.it
