Sto per buttarmi nel mondo di joomla...ma che paura !!

[Pellicano]

Ciao a tutti, sto per iniziare questa avventura con joomla, ma ho paura di attacchi hacker !! Ho delle domande da farvi:
- ma se qualcuno dovesse usare programmi per scaricare domini interi e scaricasse il mio...Apre il configuration.php e legge tutte le impostazioni del sito, password comprese...Come faccio per nascondere i dati sensibilissimi ?
- è possibile disabilitare l'accesso al pannello di amministrazione da remoto ? Posso dire al sistema di accettare solo richieste da locale o rete interna ? Mi è capitato di trovare siti fatti in joomla, e di riuscire ad arrivare al login della pagina di amministrazione...Non è bello !!

Per ora le mie domande sono queste, intanto continuo a leggere i 3d..

grazzzzzzzzieeeeeeeeeeeeeeee

pelli

[mmleoni]

ciao Pellicano,

1. configuration.php
il contenuto del files non è accessibile via http a meno che non si 'incrocchi' il server, dato che il contenuto è processato da php; idem per ogni altro files con estensione php.

2a. è possibile disabilitare l'accesso al pannello di amministrazione da remoto?
?? non avrebbe senso

2b. accettare solo richieste da locale o rete interna
basta configurare il firewall o agire su .htaccess

Mi è capitato di trovare siti fatti in joomla, e di riuscire ad arrivare al login della pagina di amministrazione..

e allora? il login di joomla è così carino! (ie: security through obscurity is not security)

ciao,
marco

[Pellicano]

Ciao Marco, e grazie per l'immediata risposta. Lo so che il pannello di controllo di joomla è carino, ma un malintenzionato che arriva lì le prova tutte per poter "entrare".

1. Quindi se io accedo via ftp e scarico il configuration.php non dovrebbe mostrarmi i dati sensibili, giusto ? Perchè in locale via Winscp vedo tutto...non centra niente, vero ?

2. Bhè, visto che cmq i siti li gestirei io, non voglio far vedere da fuori il pannello administrator. Come dovrei agire quindi sul file .htaccess ?

Scusami tutte ste domande ma...il firewall c'è, gli aggiornamenti di protezione di linux pure ma...la sicurezza non è mai troppa.

[mmleoni]

che il pannello fosse carino era ovviamente una battuta...

1. se accedi via ftp ovviamente vedi tutto, ftp serve a questo. io parlavo di http. ma che intendi "con programmi per scaricare domini interi" (btw: domini è un lapsus, vero?);
scp poi è un'altra cosa; come stai accedendo? scp, sftp, ftp? comunque se uno ha le credenziali accede ...


2. .htaccess
limita l'accesso ad /administrator al tuo ip, idem con firewall

scusa ora una mia domanda, ma, visto ciò che chiedi, sei sicuro di essere la persona adatta per occuparti di sicurezza? la sicurezza non è mai troppa: vero, soprattutto se non si sa ove mettere le mani.

ciao,
marco

[mau_develop]

certo che se lo scarichi con ftp vedi tutto... ma nessuno tranne il proprietario dovrebbe accedere in ftp al sito, oppure farlo in una directory e concredenziali limitate.

... ma come fai a gestire i siti non conoscendo un minimo di linguaggi web?

M.

[Pellicano]

Veramente faccio siti da qualche anno, ma non mi sono mai messo a mettere in piedi un serverweb in linux e cominciare ad utilizzare joomla. Diciamo che sono un autodidatta. Allora, l'ftp per ora è disabilitato, anzi non ho ancora installato un software per l'ftp, e non so se lo farò mai visto che gestisco tutto qui da locale.
1. ci sono programmi come teleport pro per scaricare siti interi, intendo quelli.
2. studierò l'htaccess. Veramente è 8 anni che ho in piedi un altro server web, è da poco che mi sono gettato nel mondo linux !

[mmleoni]

più che di linguaggi per gestire server bisogna essere pratici di protocolli: ad esempio confondere siti con domini e http con ftp non è un buon inizio. ti consiglierei di cominciare a studiare i protocolli prima di iniziare a gestire un server.

ftp sulle mie macchine non ne metto mai, meglio scp, win o non. btw: se usi winscp come ftp allora è decisamente più comodo filezilla.

teleport accede in http, quindi, come detto all'inizio, salvo errori di configurazione del server, non può accedere ai sorgenti php.

ciao,
marco

[Pellicano]

Ciao marco, mi sono espresso male io al primo post. Conosco i protocolli, ci mancherebbe. Io uso Winscp in locale per "distinguere" win da linux, è una cosa mia. Cmq il firewall è impostato per ricevere solo connessioni sulla porta 80 al server. Altro non c'è !! Imposterò gli iptables sul server in modo da "garantire" solo il traffico sulla porta 80.

[mau_develop]

mmmhhh, non è questo il problema.

Fai ragionamenti contorti... per ridurre le possibilità di furto dell'auto non ha senso saldare 3 portiere su 4...

Il server Apache è un'interprete del linguaggio php.
Il tuo cod circola nel suo motore che restituisce un html, è impossibile tu riesca a vedere un php, a meno di bug del php stesso (è capitato giusto due mesi fa).

Js invece passa dal server completamente trasparente... gliene frega nulla di ciò che tu scrivi, la sicurezza, le features e tutto insomma è demandato al tuo browser.

Web 2.0 ha complicato le cose, mischiando le tecnologie e introducendo le richieste che passano attraverso due livelli, praticamente anche Js che prima non poteva parlare ai server ora può farlo.

Esistono innumerevoli tool che scaricano le tue pagine, qualsiasi bot di ricerca lo fa... ma vogliono i tuoi rss, il tuo html, i cellulari e molta multimedialità richiedono l'xml... insomma tutti metalinguaggi, roba totalmente diversa dal php.

M.

[Pellicano]

Fai ragionamenti contorti... per ridurre le possibilità di furto dell'auto non ha senso saldare 3 portiere su 4...

Ragionamenti contorti ? Forse sono ragionamenti di una persona che si è appena tuffata su linux, come già detto. Allora cosa dovrei fare, oltre a settare il fw e iptables ?

[56francesco]

Allora cosa dovrei fare, oltre a settare il fw e iptables ?

scusami, in questo forum come puoi verificare l'argomento IT è joomla e le sue estensioni non commerciali, quindi neanche tutto l'universo joomla..

magari puoi cercare supporto in altre risorse dove le tue domande sono IT
 

[Pellicano]

...in effetti ero partito con due domande di joomla, e sono andato leggermente OT. Cmq le due risposte principali penso di averle avute, dovrò lavorare un po' sulla sicurezza del server.

Scusami francesco se sono andato OT    ...cmq devo dire che da questo forum sto imparando parecchie cose, grazie a tutti voi !! Vi segnalerò il sito appena lo metterò on-line

Sarò cmq in giro nei vari 3d per altre cose

[56francesco]

tranquillo, ti dico solo che se arrivi dal piccolo universo win ti consiglio di installare ubuntu su una partizione del tuo pc, verificherai tu stesso che un sistema unix (linux è anche unix) sta ad un sistema win come  una cassaforte sta ad un portafogli smarrito..
così dormirai sonni migliori..

[mau_develop]

nn mi fraintendere...

volevo solamente dirti di non andare contro il senso del web.
Blindarsi non è mai una scelta di successo, basta configurare correttamente.
Avrai bisogno della posta dell'ssh ... mica puoi chiudere tutto.

Poi una cosa sono gli attacchi al server e un'altro quelli al codice appz,... è vero che un settaggio errato del server espone anche l'appz a vulnerabilità.
Esempio, se non limiti l'esecuzione di alcune funzioni php rischi di trovarti nei guai (es cmd).

Caricare senza fare attenzione se stai buttando su un file invisibile di backup è un'altro comunissimo errore, soprattutto con Mac. In quel caso il file temporaneo, anche se php diventa di testo e quindi direttamente visibile.

Il file htacces.txt è visibile (molti lo lasciano e se tu digiti direttamente nell'url lo vedi) ma quando diventa .htacces diventa leggibile solo dal server

M.

[Pellicano]

Vi ringrazio anticipatamente di tutti i suggerimenti Cercherò di fare del mio meglio, come faccio tutti i giorni. Purtroppo lavoro da solo, e l'unico modo che ho per "crescere" è fissare gli occhi al monitor, motore di ricerca e via !!
Poi arrivano i forum, e le persone come voi sempre presenti e gentili !!
Rigrazie ancora, più avanti vi metterò il link del sito, almeno potrò crescere ancora, seconda le critiche positive e negative !!