Problema sicurezza

[ginogino]

Qualche buontempone è riuscito ad entrare in un sito che gestisco e a inserire una frase in qualche articolo e a pubblicare un modulo nascosto, quello che ha inserito è questa frase:

Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Lorem ipsum dolor sit amet, consectetur adipisicing elit. Used Module

preciso che sono l'unico utente e amministratore del sito e usavo come password, una stringa di 16 caratteri generati a caso, ho provveduto a cambiare la password amministratore di joomla e quella di accesso al sito, ma mi chiedevo se oltre a questo, c'è un altro modo per tutelarmi.

Saluti

[Murphz]

una buona idea sarebbe proteggere con la password la cartella amministratore.

Utilizzando una password diversa è chiaro in molti casi puoi impostarlo direttamente dall'hosting, tempo fa avevo anche utilizzato un componente che faceva pure questo ma non mi ricordo il nome basta che cerchi sul jed su admin e lo trovi...

[eshiol]

Ma cosi' facendo non c'e' il rischio che qualche componente non funzioni? Cosa succede se un componente dal frontend cerca di caricare del codice dalla cartella administrator?

[Murphz]

Ma cosi' facendo non c'e' il rischio che qualche componente non funzioni? Cosa succede se un componente dal frontend cerca di caricare del codice dalla cartella administrator?

niente, i componenti non hanno problemi (parlo per esperienza personale), viene protetto solo l'accesso diretto alla cartella administrator.

Comunque ho letto che alcuni avevano avuto problemi con alcuni componenti (personalmente ho testato senza problemi Virtuemart).

Ti segnalo due link sull'argomento se ti interessa:
http://www.cedc.org/blog/joomla-security-tip-add-password-administrator-directory-htaccess
http://forum.joomla.org/viewtopic.php?p=1943108

Dall'htaccess viene protetta la cartella e permesso il passaggio a certi componenti (nel caso hai problemi)

[eshiol]

Se carichi codice php tramite inlude il controllo è a livello di filesystem per cui non dovrebbe esserci problema, ma se carichi codice javascript o fogli di stile? Quelli li carica il browser in una sessione http, lì credo che potrebbero esserci problemi.

[Murphz]

Sinceramente non mi è mai capitato di caricare js o css dalla cartella administrator se ho capito cosa intendi...non saprei risponderti...

[mau_develop]

una stringa di 16 caratteri generati a caso
-----------------------------------------------
non la violerebbe manco Lamo
se qualche amico burlone ti ha fatto uno scherzo è perchè ha sfruttato qualche tua "leggerezza" o nella gestione del sito o comunque delle credenziali.... se vuoi posso anche supporre  come... una password come quella che hai scelto sicuramente va scritta da qualche parte....

Proteggere la directory administrator serve a nulla o quasi, attacchi al lato admin non se ne vedono da anni e brute della password provocherebbe solo un Flood al sito e difficoltà di accesso degli altri.

dormi tranquillo e aggiorna sempre joomla

M.

[ginogino]

una stringa di 16 caratteri generati a caso
-----------------------------------------------
non la violerebbe manco Lamo
se qualche amico burlone ti ha fatto uno scherzo è perchè ha sfruttato qualche tua "leggerezza" o nella gestione del sito o comunque delle credenziali.... se vuoi posso anche supporre  come... una password come quella che hai scelto sicuramente va scritta da qualche parte....

Proteggere la directory administrator serve a nulla o quasi, attacchi al lato admin non se ne vedono da anni e brute della password provocherebbe solo un Flood al sito e difficoltà di accesso degli altri.

dormi tranquillo e aggiorna sempre joomla

M.

Non credo che dipenda da una leggerezza, l'unico posto dove è memorizzata la mia password è sul mio computer e su quello dell'ufficio e le uniche persone che possono accedere a quei computer, non hanno le competenze per fare quello che è stato fatto, per quanto riguarda joomla, mi sono scordato di precisare, che lo tengo sempre aggiornato all'ultima versione disponibile (1.5.23), anche nei componenti e plugin installati.

[mau_develop]

allora gioca subito la schedina perchè hai delle possibilità...
sei il primo al mondo con joomla aggiornato ad aver subito una cosa del genere.

M.

[ginogino]

allora gioca subito la schedina perchè hai delle possibilità...
sei il primo al mondo con joomla aggiornato ad aver subito una cosa del genere.

M.

Me la sono già giocata la possibilità, un paio di settimane fa, ho vinto 100€ al gratta e vinci, a saperlo prima giocano al superenalotto.

[mau_develop]

..vedi che ogni tanto ci piglio... io non vinco mai nulla .. a nessun gioco dove ci son di mezzo soldi... e con il web non diventerò mai ricco ...che brutta vita

M.

[bertoandrea86]

preciso che sono l'unico utente e amministratore del sito e usavo come password, una stringa di 16 caratteri generati a caso

e a che servono le password?
puoi avere anche una pwd di 200'000 caratteri che con una sql injection o altri "piccoli bug" di vecchie versioni non aggiornate, non fa una piega!

[giusebos]

Magari per difendersi dai burloni potrebbe bastare l'installazione di uno di quei plug-in che fa in modo che la pagina di accesso del back-end diventi:

www.miosito/administrator/?nomescelto

[bertoandrea86]

o anche che faccia accedere un solo ip
o che non esista un utente admin
ecc ecc ecc


ma il problema spesso non è l'amministrazione!!!!
Ma bug dove con un injection può cambiare la pwd dell'admin..inquesto caso non se ne farebbe niente perchè non ha l amministrazione, ok!
Ma poi c'è anche il problema del file insert..altro noto bug di joomla versione 1.5, che con una stringa da url per via di un componente, fa inserire una pagina qualsiasi al posto della index.php o all interno del codice..e cosi che faresti?


La cosa migliore?controllare gli accessi, bannare ip stranieri che non servono al sito, tipo turchi, russi, dall africa ecc se si  ha un sito solo italiano (per fare in modo che chi usa i proxy nn va)..ecc..ecc...ecc...