Spostare joomla su nuovo server e renderlo sicuro

[beppesan]

Ciao a tutti,
sono nuovo del forum e di Joomla non ho molta esperienza.
Devo spostare un sito sviluppato in joomla da un hosting XXXXX a un server differente.


Vorrei sapere se vi è un modo per rendere "sicuro" il sito anche in assenza di aggiornamenti di sicurezza. Per esempio è possibile rimuovere tutti i permessi di scrittura sul file system, oppure così facendo joomla non funzionerebbe correttamente?
Inoltre se possibile vorrei disabilitare anche i permessi di scrittura sul DB, ma non vorrei che poi comparisse qualche errore (per scrittura di statistiche, ecc...).


Il sito non sarà aggiornato ne a livello di patch di sicurezza, nuove versioni, ecc... ne a livello di contenuti.
Nel caso dovesse rendersi necessario effettuare qualche operazione di questi tipo provvederò a riassegnare i relativi permessi.


Spero di esser stato chiaro.


Grazie & Ciao!

Edited: eliminato riferimento commerciale

[ventus85]

Ciao.

Se non vuoi fare gli aggiornamenti il sito non sarà mai sicuro.

I permessi devono essere impostati a 755 per le cartelle e almeno 644 ai files.
Anche i permessi sul database devono essere corretti, basta pensare che altrimenti non potrebbe aggiornare o installare niente.

http://www.joomla.it/index.php?option=com_content&task=view&id=569&Itemid=13

[beppesan]

Ciao Ventus85 e grazie per la risposta.
Concordo che il miglior modo per limitare i rischi è mantenere aggiornato il sistema il più frequentemente possibile; purtroppo in questa particolare situazione non sarà possibile per una serie di motivi che non sto qui a elencare (non sarò io a gestire in prima persona il sito).


Ho letto l'articolo linkato e ho trovato parecchi spunti da seguire.
Non è però indicata alcuna operazione lato DB. Se il sito non sarà aggiornato (quindi se nessuno effettuerà modifiche dal pannello amministrativo) e se non sono previste aree di interazione con l'utente finale (niente commenti, upload, ecc...) è strettamente necessario avere i permessi di scrittura sul DB? Questo potrebbe essere un tassello aggiuntivo per la sicurezza.


Grazie & Ciao

[tomtomeight]

Ma forse non ti occorre affatto un cms.

[beppesan]

probabilmente no...ma il sito esiste già e non è possibile rifarlo in questo momento. Comunque non è questo l'oggetto del post.

Quello che mi serve sapere è come ridurre al minimo i rischi, mantenendo visibile il front end. Il post di ventus85 mi ha fornito diverse indicazioni che sicuramente seguirò. Dato che le funzionalità del CMS non serviranno, vorrei sapere se è possibile effettuare altre operazioni agendo anche sui permessi del DB.

grazie & ciao

[tomtomeight]

Credo che la sola cosa da fare se proprio vuoi lasciare il sito a se stesso è quella di mantenere un backup al sicuro e rifarlo ogni volta che effettui cambiamenti. Tutte le altre operazioni di messa in sicurezza fatte una volta sola, sarebbero solo perdita di tempo poiché in breve tempo sarebbero obsolete.

[ventus85]

Concordo con quello che dice tomtomeight, se i contenuti sono pochi e soprattutto statici il cms non è la soluzione ottimale.
Ma il sito già esistente è in Joomla?

Forse preferivi usare un cms per permettere un facile uso da parte di chi dovrà gestirlo?

[beppesan]

il sito esiste già e per il momento non è possibile rifarlo.
chi l'ha sviluppato inizialmente probabilmente lo ha fatto in joomla perchè incapace di sviluppare da zero o perchè credeva erroneamente che il sito sarebbe stato aggiornato dal cliente.

devo spostarlo da un hosting condiviso a un server personale, e vorrei blindarlo il più possibile per ridurre al minimo i rischi di vulnerabilità e instabilità.

spero di aver chiarito meglio la situazione. sono alla ricerca di indicazioni su come bloccare joomla, non su consigli su come sarebbe stato meglio sviluppare questo sito

grazie & ciao

[tomtomeight]

Credo che la sola cosa da fare se proprio vuoi lasciare il sito a se stesso è quella di mantenere un backup al sicuro e rifarlo ogni volta che effettui cambiamenti. Tutte le altre operazioni di messa in sicurezza fatte una volta sola, sarebbero solo perdita di tempo poiché in breve tempo sarebbero obsolete.

Ancora potresti convertire il sito in html con uno sei tanti programmini che si usano per copiare un sito, avresti così sempre il sito in cms, magari in locale, e la versione html online, l'inconveniente è che ad ogni cambiamento sul cms devi riprodurre la versione html, ma tanto sappi che il sito sicuro bloccato  e blindato non esiste.

[beppesan]

Si, questa è una soluzione che avevo già preso in considerazione e a quanto pare sta diventando quella più probabile.


Grazie & Ciao