Autore Topic: Joomla poco sicuro? facile penetrare nei server attraverso i moduli? (Letto 9641 volte)

pelo_joomla · « **il:** 16 Dic 2007, 21:51:07 »

Un provider mi ha risposto così quando ho chiesto di utilizzare JOOMLA: Abbiamo purtoppo constatato che presentano vari problemi di sicurezza in diversi moduli. Tramite joomla è infatti facilmente possibile 'hackare' i server su cui gira.

Corrisponde al vero?
Se sì quali sono i problemi
(nella seconda parte della mail mi consigliava Drupal)
Ciao e Grazie
pelo@freesurf.ch

bigham · « **Risposta #1 il:** 17 Dic 2007, 01:07:19 »

Ciao
e benvenuto nel forum di joomla.it

Premesso, come sempre, che la sicurezza assoluta in ambito informatico non esiste.
Un sito Joomla è sicuramente attaccabile se non si seguono determinati criteri. Il più importante è quello di tenere aggiornati i moduli e i componenti seguendone l'evoluzione nel tempo.

Da quello che ho potuto constatare la versione 1.0.13b in italiano di Joomla non ha grandi falle di sicurezza perchè è stata debitamente protetta.
Però basta che tu installi un componente o un modulo che non è stato scritto come si deve e il gioco è fatto!

Che dal bucare un sito web si arrivi poi a compromettere un server è cosa possibile. Ma ti assicuro che il problema non è il sito Joomla. Casomai è l'amministratore del server che non sa fare il suo lavoro

Che poi ti si consigli un altro CMS... mi sembra sa ridere.

Come se i problemi di sicurezza del php riguardassero solo Joomla e non altri CMS.
Prova a fare con google una ricerca usando i termini: drupal sicurezza e vedrai!

Consiglio? Cambia provider!!!

.Andrea S. · « **Risposta #2 il:** 17 Dic 2007, 08:29:38 »

assolutamente d'accordo!

bigham · « **Risposta #3 il:** 17 Dic 2007, 22:01:34 »

Citazione da: .Andrea S. - 17 Dic 2007, 08:29:38

assolutamente d'accordo!

Ciò mi conforta!

fumocamel · « **Risposta #4 il:** 20 Dic 2007, 08:26:27 »

come verificare la versione di joomla?

nel senso che mi hanno bucato un sito e vorrei verificare di joomla senza tirarlo su di nuovo, è scritto in qualche file la versione?

goldlink · « **Risposta #5 il:** 20 Dic 2007, 09:42:55 »

Entra da lato amministratore e guarda in fondo alla pagina, proprio al centro...vedrai la versione di Joomla.

fumocamel · « **Risposta #6 il:** 20 Dic 2007, 09:50:51 »

Citazione da: goldlink - 20 Dic 2007, 09:42:55

Entra da lato amministratore e guarda in fondo alla pagina, proprio al centro...vedrai la versione di Joomla.

grazie!

ma siccome mi hanno bucato il sito, non riesco ad entrare nella parte di amministratore

bigham · « **Risposta #7 il:** 20 Dic 2007, 21:46:37 »

Ciao.

Allora apri il file version.php che trovi nella cartella
/includes
e guarda cosa è assegnato alle variabili $DEV_LEVEL e $BUILD e $CODENAME

Per l'ultima versione (la 1.0.13b) i valori sono:
13, $Revision: 8388 $, Sunglow

angelcs · « **Risposta #8 il:** 02 Gen 2008, 20:30:46 »

Posso sapere se secondo voi questa configurazione consigliata su joomla.org può andare normalmente?

display_errors = Off
html_errors = Off
display_startup_errors = Off
log_errors = On
allow_url_fopen = Off
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, tempnam

sudoku · « **Risposta #9 il:** 02 Gen 2008, 21:52:52 »

Citazione

Prova a fare con google una ricerca usando i termini: drupal sicurezza e vedrai!

NO non fatelo si corre incontro ad un tremendo flood di pagine che precluderanno la navigazione per alcuni mesi

bigham · « **Risposta #10 il:** 02 Gen 2008, 22:51:33 »

Citazione da: angelcs - 02 Gen 2008, 20:30:46

Posso sapere se secondo voi questa configurazione consigliata su joomla.org può andare normalmente?

display_errors = Off
html_errors = Off
display_startup_errors = Off
log_errors = On
allow_url_fopen = Off
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, tempnam

Penso di si, non vedo nessuna controindicazione

Citazione da: sudoku - 02 Gen 2008, 21:52:52

Citazione
Prova a fare con google una ricerca usando i termini: drupal sicurezza e vedrai!

NO non fatelo si corre incontro ad un tremendo flood di pagine che precluderanno la navigazione per alcuni mesi

Esagerato!!!

angelcs · « **Risposta #11 il:** 03 Gen 2008, 00:43:08 »

approfitto per un consiglio personale, secondo voi e meglio passare a php5 o cambiare queste impostazioni?

bigham · « **Risposta #12 il:** 03 Gen 2008, 00:58:26 »

Citazione da: angelcs - 02 Gen 2008, 20:30:46

Posso sapere se secondo voi questa configurazione consigliata su joomla.org può andare normalmente?

display_errors = Off
html_errors = Off
display_startup_errors = Off
log_errors = On
allow_url_fopen = Off
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, tempnam

Secondo me queste impostazioni così vanno bene. Non tutte hanno una ricaduta sui problemi di sicurezza ma vanno bene ugualmente.
Passare a php5 potrebbe essere buona cosa

I problemi di sicurezza però non dipendono solo dalle impostazioni di php ma da come amministri il tuo sito.

Ciao

angelcs · « **Risposta #13 il:** 05 Gen 2008, 23:14:54 »

Ti riferisci ai permessi dei file e cartelle?
E' quando dici non tutte hanno una ricaduta sulla sicurezza, a quali funzioni ti riferisci?

Inoltre se non erro, questo post é il primo su tutto il forum che riguarda la corretta configurazione di un server che deve ospitare Joomla, se così fosse sarebbe utile a tutti trovare informazioni corrette, anche perchè le uniche esistenti si trovano sul sito di joomla.org in inglese.

Che ne dite?

bigham · « **Risposta #14 il:** 06 Gen 2008, 02:02:59 »

Secondo me l'unica che potrebbe avere ricadute sulla sicurezza è la direttiva disable_function

Hai ragione sul fatto che questa cosa andrebbe discussa più approfonditamente, però necessitano informazioni di base su php e non tutti le hanno. A meno che non facciamo una miniguida di base su come configurare correttamente php sui server du prova (quelli linux in locale).

Citazione

I problemi di sicurezza però non dipendono solo dalle impostazioni di php ma da come amministri il tuo sito.

Se ti riferisci a questa affermazione intendevo il fatto che installando componenti o moduli non sicuri (e questo riguarda come sono fatti) abbassi il livello di sicurezza del tuo sito.

Ho trovato alcuni link interessanti.
Uno per esempio è questo http://phpsec.org/projects/
dove troverai una guida sulla sicurezza di php (in inglese naturalmente).
Ma anche nella sezione Library ci sono link interessanti.

A me manca il tempo per adesso...

(notare l'orario del post

)

sudoku · « **Risposta #15 il:** 06 Gen 2008, 10:12:22 »

Citazione

A me manca il tempo per adesso... Sad
(notare l'orario del post Cheesy)

problemi di scopa e camini?

bigham · « **Risposta #16 il:** 06 Gen 2008, 17:34:17 »

Non avevo pensato a che giorno era...

angelcs · « **Risposta #17 il:** 08 Gen 2008, 02:20:28 »

Secondo me manca comunque una guida del genere, magari con il tempo ce la faremo

bigham · « **Risposta #18 il:** 08 Gen 2008, 23:12:21 »

Certo che ce la faremo!

E' solo questione di tempo e di volontà.
A quel livello sarebbe una guida molto tecnica ma, secondo me, chi si avvicina a joomla prima o poi se ne innamora e alla fine risulta naturale voler approfondire determinate problematiche. Quindi anche imporare i fondamentali del php e dei problemi di sicurezza che possono nascere utilizzandolo sul web.

angelcs · « **Risposta #19 il:** 14 Gen 2008, 19:17:46 »

concordo pienamente