Sicurezza del sito...

[ermannaro]

Ciao a tutti,
qualche giorno fa il mio sitarello fatto con joomla 1.0.12 ha subito un qualche tipo di attacco hacker che modificando una decina di file presenti nella root del sito reindirizzava il mio sito su un altro...
Ripristinato i files vorrei mettere in sicurezza il sito per il futuro...
Quindi chiedo consiglio su cosa fare...
Vorrei per prima cosa upgradare dalla 1.0.12 alla 1.0.13
ho cambiato la pwd dell'accesso FTP
e poi vorrei sistemare la questione del Register Globals che è on invece di off e non so come fare...
Ho letto da qualche parte che bisogna aprire il file globals.php e cambiare define( 'RG_EMULATION', 1 ); con define( 'RG_EMULATION', 0 ); ma a me era già impostato a 0...
e quindi perchè mi viene segnalato come ON invece di OFF ?

Poi che altro potrei fare per stare più tranquillo?

Grazie a chi mi risponderà...

[bigham]

Ciao ermannaro.

Anzitutto comincia da questo topic

Buona idea sarebbe fare l'upgrade alla versione 1.0.13b del sito e controllare quali componenti/moduli hai installato con la lista che trovi nel precedente link

Poi dare un'occhiata alla board sulla sicurezza

Se non si sta attenti a tenere aggiornati i componenti e i moduli con le versioni via via rilasciate si può incorrere in questi inconvenienti

Un'ultima cosa: backup,  backup,  backup!! sia del sito (ad ogni modifica) sia del database.
In questo caso puoi installare un componente che lo faccia in automatico inviandoteli per email (vedi su extensions.joomla.org facendo una ricerca con il termine backup).

Ciao

PS Se vuoi posso spostare il tuo post nella sezione Sicurezza così se hai altre richieste se nel posto giusto

[Costa Carla]

Ciao ragazzi, ho letto in home page l'articolo di Razvan T. Coloja e mi sorgono alcune domande che comunque farò anche domani al joomladay:
ho alcuni siti in un sgaragnao, il file .htaccess che andrei a creare sarà utile anche li?
ho alcuni siti in joomlahost dove sto già utilizzando .htaccess perchè uso artio: inserisco anche lì i tag proposti da Razvan T. Coloja o vado a compromettere il file .htaccess utilizzato da artio inserendovi anche AuthType Basic AuthName "Joomla Administrator" AuthUserFile /full/path/to/joomla/administrator/.htpasswd <Limit GET> require valid-user </Limit>?
grazie
Carla

[bigham]

Ciao Carolina

Ho letto anche io l'articolo e devo dire che l'ho trovato molto interessante (ringraziamo tutti Sara82 per la traduzione!).
Mi sembra che l'utilizzo proposto del file .htaccess, in questo caso, sia limitato alla protezione dell'accesso alla cartella administrator e del suo contenuto.

L'idea mi sembra più che ottima! Però mi sorge un dubbio: mi è capitato di vedere che alcuni componenti (ad esempio jooget del mitico Joomlapixel )  utilizzano, per il frontend, file che si trovano all'interno della cartella administrator. Cosa succede se si utlizza il file .htaccess di Razvan T. Coloja ??
Che da fortend non riesco più ad utilizzare quei componenti?

Ammetto la mia ignoranza in merito alla configurazione di Apache. Prima o poi dovrò colmare questa enorme lacuna

Per mettere in atto strategie di protezione su un sito fatto in joomla io sarei dell'idea di creare una bella macchina virtuale con linux, Apache, php e MySql e testare lì le modifiche, qualunque esse siano.
E' improponibile farlo sulle macchine windows perchè ignorano le direttive dell'htaccess.
Insomma, ricreare l'ambiente del server host remoto in locale in modo da poter verificare prima cosa succede. Se fai delle modifiche direttamente in remoto rischi di bloccare il sito