Simple Security Guide - Parte 2

[blackeclipse]

Questa è la seconda parte della serie di guide sulla sicurezza di un sito web Joomla! La prima parte era più per principianti con le prime semplici norme da seguire. Questa parte è per utenti più avanzati, con dettagli e spiegazioni più approfondite!

Livello di difficoltà: Medio/Avanzato

Link: http://www.joomla.it/articoli-community-16-e-17-tab/6170-simple-security-guide-parte-2.html

[simbus82]

Ottima la parte sul rendere inaccessibili i file dentro le cartelle di joomla!!!


Molti hosting però non consento di andare sopra la public-html: come si potrebbe fare per rendere irreperibile il configuration.php in questo caso?

[blackeclipse]

Non mi vorrei sbagliare ma a partire dalla versione 1.6 puoi metterlo dovunque basta inserire il nuovo percorso nei due file defines.php tra i due apici:

(es.)

Codice: [Seleziona]

define('JPATH_CONFIGURATION', '/home/exampleuser');
Comunque trovi chiarimenti nel wiki di joomla (EN): http://docs.joomla.org/Moving_sensitive_files_outside_the_web_root

[Npaquito]

Hola

Molto interessante l'articolo

[simbus82]

Si scusami, ho chiesto male, intendevo comunque come metterlo in una altra cartella ma in modo sicuro.


Se lo metto in un cartella interna, modifico i define e poi nell'htaccess blocco l'accesso da fuori a questa cartella ottengo lo stesso risultato?
O dovrei usare anche permessi particolari per la cartella?

[giusebos]

Chiaramente se viene cambiato il perrcorso, è questo lo scrivo per i posteri, le varie operazioni di ripristino e sovrascrittura pacchetto vanno riviste.......

Queste modifiche sono ottime, ma mi chiedevo cosa succedesse se qualche novizio si affretta a fare questi cambiamenti, è spesso come succede, ha qualche problema......Quindi forse meglio sottolineare che sono modifiche da fare quando il sito è delineato e perfettamente funzionante, magari avendo cura di trascrivere le modifiche apportate....Cosa che i neofiti difficilmente fanno.

[alexred]

ho chiesto a blackeclipse di togliere dalla guida pubblicata su Joomla.it i riferimenti alle modifiche dei file del core di Joomla, come avevamo inserito nella pagina con le istruzioni per i vari autori di articoli http://www.joomla.it/invia-articolo.html
non amiamo consigliare questa pratica di modifica dei file del core di Joomla che comporta poi mille problemi.

[giusebos]

Una variabile in meno nello scovare come mai un joomlasite non funziona.

[Npaquito]

Hola

Quante parti sono previste?

[garden85]

Ciao a tutti, sto leggendo questa interessantissima guida dopo aver letto anche la precedente...
Leggendo nel paragrafo sui permessi per i file mi è sorto un piccolo dubbio: se io voglio bloccare in scrittura buona parte delle directories di Joomla posso farlo a patto di mantenere scrivibili quelle fondamentali: tmp, images e cache.
Mettiamo il caso che io, come suggerito nella prima parte della guida, utilizzassi Akeeba per il backup completo del sito internet, allora dovrei abilitare in scrittura anche la cartella /administrator/components/com_akeeba/backup/.
Giusto?
In tal caso potrei impostare in 664 tutte le directories ma in 775 le tre fondamentali più quella del salvataggio dei backup di Akeeba.
Sbaglio qualcosa nel mio ragionamento?
Nel caso fosse corretto sarebbe interessante fare una piccola aggiunta all'articolo per inserire anche questo caso.


Saluti!

[rezor]

Ciao,
per prima cosa imposta il backup di akeeba fuori root, un rischio in meno e manutenzione più facile (considera che molti host fanno il backup incrementale del tuo sito, e quindi fanno il backup del backup se li tieni là, e ci vuol poco a raggiungere diversi Gb di spazio occupato).
Per quanto riguarda i permessi delle directories,
1 = exec (necessario per le directories)
2 = write (necessario per il solo utente "proprietario" e solo - volendo blindare il sito - sulle cartelle "scrivibili"
4 = read (questo ti serve)
quindi 555 / 444 per cartelle e files non scrivibili,
e 755/644 per quelle scrivibili.

Se poi gestisci il tuo server, puoi assegnare ad un utente diverso tutte le cartelle fuorché quelle scrivibili.

Ma attento: documenta tutto, e ricordati del documento quando hai problemi ad aggiornare qualche estensione!

[deodio83]

Salve qualcuno mi sa dire se questo pezzo di codice della guida può essere riscritto in questa maniera oppure se è presente qualche errore?

Grazie

RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]RewriteCond %{REQUEST_URI} \/components\/ [OR]RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]RewriteCond %{REQUEST_URI} \/language\/ [OR]RewriteCond %{REQUEST_URI} \/libraries\/ [OR]RewriteCond %{REQUEST_URI} \/modules\/ [OR]RewriteCond %{REQUEST_URI} \/plugins\/ [OR]RewriteCond %{REQUEST_URI} \/templates\/ [OR]RewriteCond %{REQUEST_URI} \/xmlrpc\/RewriteRule ^(.*)$ index.php [F,L] oppure devo scrivere [L,F] oppure [R=403,L]

[tomtomeight]

Hai gia aperto un topic per questa richiesta e ti hanno pure risposto altri utenti oltre che io. Non è cosa buona riproporre la stessa richiesta in topic vecchi anche se inerenti. Grazie se vorrai mantenere il forum fruibile evitando ripetizioni e dispersioni.

[deodio83]

Hai gia aperto un topic per questa richiesta e ti hanno pure risposto altri utenti oltre che io. Non è cosa buona riproporre la stessa richiesta in topic vecchi anche se inerenti. Grazie se vorrai mantenere il forum fruibile evitando ripetizioni e dispersioni.

Scusatemi pensavo che rispondendo qui su post da dove ho preso ispirazione magari qualcuno mi avrebbe dato delle certezze...

[giusebos]

la certezza di sporcare il forum

[deodio83]

Posso scrivere una cosa utilie qui però ....


scrivere [F,L] o [L,F] è identico ...ritorna forbidden
mentre [R=403,L] fa un redirect con ritorno 403 quindi sono equivalenti... a quanto ho letto in giro...


Questo potrebbe aiutare altri che hanno avuto il mio stesso dubbio