Accorgimenti di sicurezza per la versione Joomla! 1.5

[alexred]

Abbiamo oramai tutti capito che la vecchia e gloriosa versione 1.5 di Joomla non è più supportata ufficialmente e che non usciranno mai più aggiornamenti ed il primo vero consiglio utile è quello di passare alle versioni successive 2.5 o 3. Ma in questo articolo proveremo a vedere quali sono gli accorgimenti per tentare di mantenere sicuro un sito con Joomla 1.5 che attualmente risulta essere vulnerabile anche se aggiornato all'ultima versione 1.5.26.

Link all'articolo: http://www.joomla.it/notizie/7210-accorgimenti-di-sicurezza-per-la-versione-joomla-15.html

P.s.
...ovviamente queste parole stonano un poco se giungono da chi come me ha ancora il sito www.joomla.it che gira su Joomla 1.5        
Ma prima o poi faremo il grande passo anche noi!

[etnatracker]

Daccordo con la necessità di passare a Joomla 2.5, ma in alcuni casi credo non sia proprio possibile.

Ci sono componenti su Joomla 1.5 per cui non esiste il corrispondente per la versione 2.5; io uso Ninjaboard, i cui autori sembrano ormai dispersi... anche Joomfish sulla 2.5 sembra non essere all'altezza.

Riportare i contenuti generati su un forum come Ninjaboard per J1.5 su un altro forum per J2.5 richiede una migrazione manuale dei dati troppo complessa per essere conveniente... non so quale possa essere la soluzione

[mau_develop]

giunti ad un certo punto non sono più scelte e più si va avanti più diventerà difficoltoso passare ad altro.
Hai il problema dell'ambiente da mantenere patchato... ad un certo punto è stupido passare da joomla quando è più semplice passare dal php 4
Hai il problema di backuppare almeno ogni nuovo contenuto.
Hai il problema che in qualunque momento il tuo db può essere violato,.. dipende da cosa contiene.
Hai il problema che se viene introdotto malware e non te ne accorgi subito il tuo sito viene penalizzato.
Hai il problema di adattamento grafico alle tecnologie più avanzate.

[etnatracker]

giunti ad un certo punto non sono più scelte e più si va avanti più diventerà difficoltoso passare ad altro.

Ok, ma come faccio se non ho i componenti? Sarebbe utile qualche consiglio... non so, ad esempio: è pensabile tenere il solo forum su joomla 1.5 creando un sottodominio e migrare il resto alla 2.5? E' possibile passare da Joomfish per J1.5 a Falang per J2.5 che sembra più affidabile?

Se non si risolvono problemi del genere, non passerò mai... e credo sia lo stesso per tanti altri.

[tonicopi]

Se il sito da migrare è quello che hai in firma io credo che tu sia troppo pessimista.
Il forum lo rifai ex-novo e tieni un link al vecchio per il tempo che durerà...
Al posto di joomfhish userai il multilingua nativo di joomla2.5.
Io ci farei un pensierino anche se passare direttamente alla 3 appena esce la 3.5..
 

[etnatracker]

Io ci farei un pensierino anche se passare direttamente alla 3 appena esce la 3.5...

Può darsi che sia la soluzione migliore. In realtà se mi studiassi le tabelle dei contenuti dei vari forum, potrei anche fare una migrazione su uno nuovo, tenendo i vecchi post chiusi dato che non vorrei raccordarci anche gli utenti, troppo complicato. Magari nel frattempo quelli di ninjaboard si svegliano...

Riportare le traduzioni Joomfish sul multilingua nativo è sicuramente fattibile ma va fatto a mano... ho mille articoli! Assumerò uno stagista

[claudio65]

Grazie Alex   per l'interessante e utilissimo articolo.
Sto provvedendo a caricare la Patch e disattivare quanto indicato.
Quello che mi inquieta è la tua frase " Non incorriamo nell'errore di credere che questi accorgimenti ci permettono di mantenere ancora a lungo online i nostri siti con Joomla 1.5, ma anzi, prendiamoli come segnali che ci fanno capire l'importanza di abbandonare questa piattaforma e passare alle nuove versioni."
Dal punto di vista tecnico nulla da eccepire,  il problema sorge quando si hanno una ventina di siti in 1.5, la migrazione di tali siti richiede tempi non trascurabili e ovviamente ai proprietari del sito rimane quasi del tutto impossibile far capire che tali operazioni sono fondamentali per la salute del loro sito, quindi richiedergli anche un minimo contributo economico per il tempo necessario.
L'unica soluzione che intravedo e comunicare a tutti i titolari di tali siti che necessiterebbe un preventivo aggiornamento degli stessi  per evitare  possibili crash e chieder loro l'approvazione ed un piccolo contributo per il lavoro di manutenzione extra, ma di questi tempi , vista la totale inconsapevolezza del cliente medio e il trend a non scucire un euro per qualsivoglia motivo, temo che apparirebbe  ingiustamente come un tentativo maldestro per fargli esborsare dei soldi.
Certo, per noi che ci lavoriamo è chiaro il concetto che un sito web come tutte le cose (automobili - elettrodomestici,  ecc.)  è soggetto ad usura ed obsolescenza, ma nella mentalità ancestrale degli utenti il concetto è totalmente estraneo

[tonicopi]

@claudio65: attenzione che se i siti stanno su hosting condivisi possono esser  messi off-line da un giorno all'altro. Ai clienti devi metterla in questo modo: al tempo in cui li hai fatti erano perfetti. La migrazione è dovuta al cambio versione per evoluzione tecnologica. Come per le auto euro1 è vietato circolare in alcune zone, così per questi siti sarà presto vietato stare su hosting condivisi.
La scelta dei clienti non sarà tra restare alla 1.5 o migrare, ma tra l'avere un sito on-line o no 

[alexred]

Ciao claudio65,
capisco quello a cui ti riferisci. Per questo consigliamo sempre di includere nel contratto per la realizzazione di un sito anche una cifra annua destinata alla manutenzione ed agli aggiornamenti. Migrazione o non migrazione un sito Joomla deve essere costantemente seguito anche dopo che è stato terminato e consegnato al cliente.
Quindi teoricamente ogni 3 o 4 anni il lavoro di migrazione alle nuove versioni dovrebbe essere compreso con queste quote di "manutenzione annua".
Alla lunga con le nuove versioni di PHP e mysql che i provider aggiorneranno sul server o con le nuove versioni dei browser ecc...  ci sarà necessità di abbandonare una versione di Joomla per passare alla successiva. Dimentichiamoci di consegnare un sito Joomla, incassare la fattura del lavoro e salutare il cliente....
Questo deve essere informato sin da subito che utilizzando Joomla deve essere mantenuto aggiornato e monitorato ecc...
Se il cliente non vuole un impegno tale allora gli fai il sito statico in HTML e ci metti dentro un form di un servizio esterno come Google docs ecc...  così quel sito non dovrai veramente più aggiornarlo ed i pericoli di vulnerabilità si riducono di molto! 

[claudio65]

Ciao tonicopi, ciao alex,
accolgo con piacere le vostre repliche e consigli.
Fortunatamente i miei siti sono su una VM della quale ho il completo controllo ( root) tramite cPanel e WHM quindi non corro il rischio d'improvviso ofline. Comunque i concetti di obsolescenza sono facilmente comprensibili ma difficilmente esplicabili. Anche io per rendere commestibili i concetti,  tendo ad usare metafore come auto euro 1 ecc. Personalmente pur avendo conoscenze tecniche molo  ma molto modeste, mi sento come un marziano nei confronti dei clienti. La mia esperienza lavorativa pregressa trentennale ( ufficio vendite di una grossa multinazionale chimica) mi ha abituato ad un rapporto commerciale verso clienti tecnicamente preparati,   mentre ora mi ritrovo con clienti  che  ti guardano come se fossi il  Bil Gates  della situazione pronto a f...rli. 
Poi la stragrande maggioranza dà un'importanza minima, se non quasi nulla per il suo business al proprio sito web.
Si in effetti  la soluzione più funzionale è quella d'inserire nel contratto una cifra annua per la manutenzione, anche se di questi tempi anche 50 Euri in più possono farti perdere il lavoro, sempre che se ne riesca a trovare.
Penso che per i vecchi siti proverò ad inviare una sorta di circolare nella quale spiegherò tramite metafore la problematica, lasciando al cliente l'onere di decidere se rischiare il crash del sito o prevenire con un upgrade. Naturalmente la stragrande maggioranza opterà per il rischio, quindi quando il problema si presenterà potrò sempre pormi in una posizione di correttezza mostrando loro la circolare premonitrice inviata a suo tempo.

[piermess]

Grazie per l'articolo, qualche patch mi era sfuggita.


Qualche settimana fa mi era arrivato l'avviso dagli autori di SH404 di una creazione di una patch per Joomla 1.5, non quindi di una patch per i loro componenti.
Credo sia la stessa patch per bloccare l'upload non autorizzato dei files, ma da installare con l'installer di Joomla direttamente.


Il passaggio dei miei siti è già quasi pronto, solo che l'avvento dell'estate e il profumo del mare delle mie parti mi ha fatto rimandare il passaggio a fine estate  [size=78%], sperando che non mi buchino prima![/size]