Simple Security Guide - Parte 1

[blackeclipse]

Questa guida è la prima di una serie di guide sulla sicurezza, per aiutare gli utenti avanzati ma soprattutto i principianti del mondo di Joomla! a proteggere i loro siti web dalla paura più grande del web: la violazione del sito!
La serie inizia con dei semplici passi e prosegue con regole più dure nei prossimi capitoli. Le regole rigide sono a volte difficili da attuare, ma ne vale la pena!

Livello di difficoltà: Semplice

Link all'articolo: http://www.joomla.it/articoli-community-16-e-17-tab/5677-simple-security-guide-parte-1.html

[ilmauro]

Grazie per la guida, sintetica ma incisiva.
Volevo chederti dove si trova "un elenco organizzato di estensioni vulnerabili con informazioni riguardo i loro punti deboli e se sono state rilasciate correzioni" perchè credo possa essere molto utile da consultare al momento della scelta di un'estensione.
Grazie

[alexred]

ciao ilmauro,
dovrebbe essere questa:

http://docs.joomla.org/Vulnerable_Extensions_List

magari blackeclipse può aggiungerla all'articolo se non è presente.

[ilmauro]

Grazie, la consulterò per le etensioni che già uso, e per il futuro. Se potesse essere aggiunta nell'articolo da blackeclipse sicuramente lo completerebbe.

[mau_develop]

mmhhh se non te la prendi critico un po' di cose....

per farlo è consigliabile avere l'estensione Akeeba Backup
--------------------------------------------------------------------------------
usando dei tool ala fine non capisci mai se hai un backup valido o no... leggendo un po' di post si trovano molti tentativi di ripristino falliti. Non capisco perchè non usare phpmyadmin o l'interfaccia che mette a disposizione l'hoster, hai un controllo molto più diretto.

e proprio questo può rappresentare un problema poiché alcune estensioni sono vulnerabili.
-----------------------------------------------------------------------------------------------------------------------------
proprio per questo motivo è inutile aggiungere sicurezza a joomla e alla parte amministrativa, non blocchi nulla... se joomla o una sua estensione hanno un problema io sono admin in 10 minuti... qualsiasi roba tu installi, non devo bypassare nulla...
l'unica cosa che parzialmente risolveva (e credo esista ancora) era il plugin di mleoni che + o - impediva di inserire schifezze nell'uri.

Joomla vulnerabile viene usato come vettore e basta, una privilege escalation in joomla usando il framework è impensabile, un hijack della sessione forse un po' di più... ma esiste la semplicissima shell dove il software installato non ti interessa più usi la shell per lavorare nessun plugin, modulo o estensione a questo punto serve a qualcosa.
E non ultimo la parte più debole ultimamente non risulta essere joomla ma la configurazione dei server condivisi.

M.

[bismark2005]

Questa è veramente una guida interessante, da stampare e rileggere spesso.
Volevo chiedere a mau_develop se c'è differenza di sicurezza tra un sito fatto con un cms ed uno fatto tutto da zero (magari con l'ausilio di un framework).

[Anna Z]

molto interessante
ma a proposito di sicurezza

Dalla versione 1.6 è presente un'icona nel pannello di controllo ... l'aggiornamento può essere fatto con un solo clic, perciò non esitate a farlo!

tutti gli hosting che ho su spazi differenti e non gratuiti
mi disabilitano l'impostazione PHP allow_url_fopen.

Questa impostazione dev'essere abilitata perché l'updater funzioni,
ma nessuno mi vuole impostare il valore in"On" per una questione di sicurezza dicendomi che entro 24 ore mi ritroverei il sito distrutto dagli hacker.

e quindi mi chiedo chi sta sbagliando??
a cosa mi serve l'updater se poi non lo posso usare??

[blackeclipse]

* Il link all'elenco delle estensioni vulnerabili è stato inserito nell'articolo

Ora premettendo che: questa guida non è una mia creazione bensì una traduzione, che è solo la prima parte di una serie di guide, che il livello di difficoltà è semplice quindi rivolto ai principianti, che sono solo i primi semplici passi per aumentare la sicurezza, premettendo inoltre che la sicurezza totale sul web non esiste, vorrei rispondere al post di mau_develop che mi è sembrato interessante!

Bene, per quanto riguarda Akeeba Backup è una delle estensioni più quotate e popolari nella JED, tra l'altro proprio alcuni hosting (che non possiamo citare) lo forniscono preinstallato!
Sulla seconda affermazione sinceramente ho difficoltà a capire, perché nella guida c'è scritto proprio questo, ovvero che se c'è una falla in un'estensione potrebbe compromettere la sicurezza dell'intero sito, perciò è consigliabile scorrere l'elenco prima di installare un componente! Poi ovviamente i modi per violare una spazio web sono in continua evoluzione tanto quanto i modi per proteggersi, ma considera che è una guida per Beginners, da qualche parte bisogna anche iniziare non trovi?!

[giusebos]

Quando ho letto che era tradotta dall'ebraico sono sobbalzato...anche Mosè usava Joomla?

la guida è ottimamente scritta e tradotta, riassume tutto quello che in genere diamo per risposta a chi racconta che gli hanno "maltrattato" il sito.

Peccato che queste guide le leggono solo chi frequenta in modo costante il forum.
Gli altri?
Glia ltri si arrabbieranno come al solito appena gli linKiamo la pagina

[mau_develop]

 Akeeba Backup è una delle estensioni più quotate e popolari nella JED
-------------------------------------------------------------------------------------------------
senza dubbio

 ho difficoltà a capire, perché nella guida c'è scritto proprio questo, ovvero che se c'è una falla in un'estensione potrebbe compromettere la sicurezza dell'intero sito
--------------------------------------------------------------------------
...quindi aggiungere un codice all'admin cosa serve?

M.

@ annaz

tutti gli hosting che ho su spazi differenti e non gratuiti mi disabilitano l'impostazione PHP allow_url_fopen....dicendomi che entro 24 ore mi ritroverei il sito distrutto dagli hacker.
-------------------------
duro mestiere... diciamo che sostanzialmente ha il suo senso... un po' riassuntiva... tipo quella che dai al ragazzino quando vuole la moto... no!, poi muori! ... forse si forse no... diciamo che quella funzione abilitata e un proprietario del sito distratto fa disastri.
Nulla su un server è più o meno sicuro.... configurare un server spesso è più paragonabile ad un intero ragionamento che prende in considerazione vari aspetti derivanti dai servizi che offri,  ... come dice capitan Findus non ci sono nodi  buoni e nodi cattivi ci sono nodi che tengono e altri no

@Bismark
se c'è differenza di sicurezza tra un sito fatto con un cms ed uno fatto tutto da zero (magari con l'ausilio di un framework).
--------------------------------------------------------
sostanzialmente che uno è già stato collaudato l'altro no.
..non è che usando un frameworknon puuoi scrivere caxate... le caxate le scrivi sia con la penna che col computer non esiste lo strumento che sostituisce il tuo ragionamento.
La vulnerabilità è l'abuso di qualcosa scritto per tutt'altro scopo e che il programmatore non ha previsto...

[Daniele Pinna]

@Bismark
se c'è differenza di sicurezza tra un sito fatto con un cms ed uno fatto tutto da zero (magari con l'ausilio di un framework).
--------------------------------------------------------
sostanzialmente che uno è già stato collaudato l'altro no.

Concordo in pieno...

Purtroppo ho incontrato diverse persone che pensano il contrario.

Dalla loro parte hanno certamente la capacità di creare un CMS... magari essendo molto semplice è meno soggetto a bug e/o vulnerabilità... (il che NON significa che è immune), oltre al fatto che sarà molti difficile fare le stesse cose che si fanno con un CMS su cui lavora un intero Team.

Basta fare un piccolo esempio "storico" del PHP-NUKE creato da Francisco Burzi che era sempre è costantemente buggato e diventava "sicuro" solo dopo l'aggiunta di Patch e componenti come sentinel per bloccare gli attacchi.

Una delle mia perplessità prima di passare da PHP-Nuke a Joomla (era il 2006) era proprio l'assenza di qualcosa come sentinel... che per Joomla non esiste, perché non serve :-)
Un po come un Antivirus su Linux... è praticamente inutile :-D

[giovi]

ma nessuno mi vuole impostare il valore in"On" per una questione di sicurezza dicendomi che entro 24 ore mi ritroverei il sito distrutto dagli hacker.

Ma che provider usi? I più noti in Italia consentono di usare l'updater e l'iconcina senza intoppi, specialmente se scegli un hosting dedicato a joomla!
Magari cercane uno che ti dia la possibilità di provare il servizio prima di comprarlo per controllare se sia possibile o meno usare questa funzionalità di joomla!. Ad ogni modo l'iconcina serve a poco se visiti spesso joomla.it!

@blackeclipse: si legge molto spesso che disabilitare un'estensione di joomla non elimina un'eventuale vulnerabilità del core. Come si può invece sostenere il contrario?
Complimenti comunque per la traduzione... non dev'essere stata facile!

[Anna Z]

l'hosting è dedicato a joomla...
ma non è un pacchetto è sui server privati
sono passata ha loro perchè i vari ***** e *****non reggevano + il traffico

edit: rimosso riferimenti commerciali

[giovi]

l'hosting è dedicato a joomla...

Beh tra il dire ed il fare... chiunque può dire che lo sia ma se poi non supporta neanche le funzionalità del core.....
Ovviamente non conosco l'hosting che usi per cui non posso dire nulla di più..

[Npaquito]

Hola

Complimenti per la traduzione

...
Bene, per quanto riguarda Akeeba Backup è una delle estensioni più quotate e popolari nella JED, tra l'altro proprio alcuni hosting (che non possiamo citare) lo forniscono preinstallato!...

Ah no, manco per sogno

l'8 agosto del 2010 scrissi un manuale su akeeba backup in un mio sito (mi sembra che fu la prima in italiano o almeno la prima nella serp di Google.it) e, dopo aver provato diverse versioni, aggiunsi:

Opinione personale Credo che Akeeba Backup è un progetto molto ambizioso che ancora (1 - IX - 2010) non è stato risolto in modo soddisfacente, personalmente torno a fare i miei backup con il solidissimo Joomlapack.

E sono d'accordo con mau (1) quando dice che i forum di Joomla sono pieni di lagne e problemi su Akeeba, prima di usare quel coso personalmente mi passo al "clan della manina"

(1): Mau scusami 

[giusebos]

prima di usare quel coso personalmente mi passo al "clan della manina"

Npaquito sta attento alle dichiarazioni che fai, che in italia potremmo capire altre cose......

[Npaquito]

Hola

...che in italia potremmo capire altre cose......

siete tutti dei giornalisti 

[giusebos]

Non importa essere giornalisti