Autore Topic: Rendere il vostro joomla sicuro al 99.9% (Letto 15116 volte)

Locu · « **il:** 09 Set 2008, 21:11:23 »

Salve,
in questi giorni ho installato una versione recente di joomla e subito mi sono chiesto come renderlo più sicuro, mi è balenata in testa l'idea di utilizzare un doppio login, quindi mi sono messo a fare delle ricerche con google e ho trovato questo script:

http://www.zubrag.com/downloads/password-protect.zip

qui trovate la guida allo script:

http://www.zubrag.com/forum/index.php?topic=45.0

Grazie a questo fantastico script potrete rendere il vostro joomla sicuro al 99.9%. Lo script non richiede autenticazione mediante database e ciò lo rende inespugnabile, permette l'accesso a più utenti (basta che voi inseriate accounts e passwords nel source dello script).
Vi basterà includere questo script alla prima riga del componente admin.login.php situato in administrator\components\com_login\, e il vostro sito sarà una fortezza. l'unica cosa un po scocciante sarà il fatto di dover effettuare 2 login ma serete sicuri di non risvegliarvi più temendo che qualche cretino vi abbia defacciato il sito.

in più ho scritto un secondo file che può essere incluso a sua volta nello script di protezione, il quale, logga l'ip e la path ogni volta che qualcuno vi accede dandovi la possibilità di effettuare anche un whois sull'ip. Ecco il codice:

Codice: [Seleziona]

<?php
#############################################################
#IP and PATH Logger v0.1
#Coded By Locu 21/08/08
#http://www.uptm.org
#############################################################

$logfile= '/web/htdocs/www.tuosito.it/home/log.html';// Specifica la path per il file log.html
$IP = $_SERVER['REMOTE_ADDR'];// Prende l'ip dal server
$logdetails=date("F j, Y, g:i a") . ': '.'<a href=http://api.hostip.info/get_html.php?ip='.$_SERVER['REMOTE_ADDR'].'&position=true >'.$_SERVER['REMOTE_ADDR']. '</a>' . ': ';// Setta data, ip e esegue il whois
$fp = fopen($logfile, "a");
$url = $_SERVER['SERVER_NAME'];
$page = $_SERVER['REQUEST_URI'];
fwrite($fp, $logdetails);
fwrite($fp, $url);
fwrite($fp, $page);
fwrite($fp, "<br>");
fclose($fp);
echo $IP, " <font color=red> <strong> IP logged! </strong> </font>";// Riga Opzionale che mostra l'ip loggato.
?>

Questa è la schermata di login che apparirà prima del login di joomla, ovviamente si può personalizzare.

So di non aver scoperto l'acqua calda... Prendete questa guida come semplice consiglio per proteggere il vostro joomla.

Ringrazio Zubrag per il suo fantastico script che mi ha risparmiato qualche ora di coding! E tutti voi della community di joomla it. Grazie

Per qualsiasi info potete contattarmi via mail: locu@uptm.org

JoomLena · « **Risposta #1 il:** 10 Set 2008, 21:02:17 »

Si puo adattarea anche a siti con joomla 1.0.15.?

Locu · « **Risposta #2 il:** 12 Set 2008, 16:35:14 »

Non ho mai usato joomla 1.0.15 ma credo proprio che si possa fare.

JoomLena · « **Risposta #3 il:** 12 Set 2008, 19:21:03 »

Si l'ho inserito in un sito Jooma 1.0.15

http://www.vinpe.net/administrator/index.php

Secondo te che sicurezza ce in questo modo?

Locu · « **Risposta #4 il:** 12 Set 2008, 23:13:18 »

Sicuramente è meglio che senza, questo script difende solo l'area login di conseguenza l'administrator, se sono presenti bugs in altri mod/com potresti trovarti pagine modificate o le password resettate (pass di joomla) lo script di Zubrag è invalicabile. Cmq è buona cosa fare backup del database regolarmente, utilizzare una password alfanumerica e controllare sempre i moduli e/o componenti che installi.

edo.forum · « **Risposta #5 il:** 18 Set 2008, 19:12:50 »

funziona su joomla 1.5.x?

Locu · « **Risposta #6 il:** 19 Set 2008, 02:38:34 »

Ciao,
lo script funziona in tutte le versioni di joomla. bye

edo.forum · « **Risposta #7 il:** 19 Set 2008, 17:42:56 »

Citazione da: Locu - 19 Set 2008, 02:38:34

Ciao,
lo script funziona in tutte le versioni di joomla. bye

sì, ma non trovo il file log.html...

JoomLena · « **Risposta #8 il:** 19 Set 2008, 21:12:59 »

io in pratica l'ho incorporato nel file index.ph che si trova nella cartella administrator....è l'ho personalizzato mettendo un loghetto. Credo che funzioni sia in joomla 1.0.. che in joomla 1.5..

edo.forum · « **Risposta #9 il:** 20 Set 2008, 14:11:03 »

mmh... potreste spiegarmi passo per passo come avete fatto? e dov'è che decidi la password?

JoomLena · « **Risposta #10 il:** 20 Set 2008, 15:48:31 »

Citazione da: edo.forum - 20 Set 2008, 14:11:03

mmh... potreste spiegarmi passo per passo come avete fatto? e dov'è che decidi la password?

Modifiche per il file index.php Joomlaq 1.0.15

allora...ti allego il file.zip che contiene il file index.php che devi inserire nella cartella administrator.

In questo file le uniche correzioni che devi fare sono:

• inserire la password di protezione dove ce la dicitura "tuapassword"(alla riga 51)
• inserire il tuo sito al posto di "tuo sito" (alla riga 59).

• alla riga 109 trovi questo codice:
<h3><img src="images/joomlena.png" width="138" height="164"></h3>
in queso modo ho inserito una immagine che come si capisce si trova nella cartella "images".

Spero sia chiaro...ciao

[allegato eliminato da un amministratore - Il file era vecchio]

edo.forum · « **Risposta #11 il:** 21 Set 2008, 15:56:26 »

beh... per essere chiaro è chiaro

solo che ho joomla 1.5.3 ...

JoomLena · « **Risposta #12 il:** 21 Set 2008, 17:23:15 »

e va be è la stessa cosa....cerca il file index.php nella cartella administrator, lo apri con un editor html e gli copi lo script prima del codice joomla...

edo.forum · « **Risposta #13 il:** 21 Set 2008, 18:27:31 »

ho provato ma mi da quaesto errore:

Codice: [Seleziona]

Parse error: syntax error, unexpected $end in /web/htdocs/www.mgnet.it/home/administrator/index.php on line 169

JoomLena · « **Risposta #14 il:** 22 Set 2008, 00:31:01 »

Ok ecco la versione del file index per joomla 1.5.7

Scarica il file e scompattalo. Nel file index.php devi cambiare alla riga 51 la password e mettera qulla di tua preferenza e alla riga 59 il tuo sito. Se vuoi settare pure il tempo di attesa cambia il valore della riga 62.

Vedi esempio...http://joomlena.altervista.org/administrator

...a me funziona!!!!!

[allegato eliminato da un amministratore - Il file era vecchio]

Locu · « **Risposta #15 il:** 22 Set 2008, 13:25:18 »

Salve,
Vorrei chiarire che è meglio includere lo script di Zubrag nel file admin.login.php che trovate nella cartella:

\administrator\components\com_login\

altrimenti potreste avere problemi con i cookies, è inoltre consigliabile settare un tempo ai cookies.

riga 57:

Codice: [Seleziona]

// time out after NN minutes of inactivity. Set to 0 to not timeout
define('TIMEOUT_MINUTES', 10);

In questo esempio il cookie vale 10 minuti se al posto di 10 mettete 0 il cookie sarà sempre valido ma ciò potrebbe comportare una vulnerabilità sfruttabile via xss.

edo.forum · « **Risposta #16 il:** 22 Set 2008, 18:30:42 »

uhm... cambiando il file index.php fa 500 - internal server error, mentre mettendo lo stesso codice nel admin.login.php scrive:

Parse error: syntax error, unexpected $end in administrator/components/com_login/admin.login.php on line 165

e sulla riga 165 ci sono i comandi dell'admin.login.php...

Locu · « **Risposta #17 il:** 22 Set 2008, 21:35:23 »

Scusa ma lo script l'hai incluso trammite il comando INCLUDE o hai semplicemente copiato lo script nel source dell'admin.login?

JoomLena · « **Risposta #18 il:** 22 Set 2008, 22:09:25 »

...no vi capisco... ma avete scaricato il files che vi ho allegato? a me funge perfettamente e no mi da problemi con i cooky

edo.forum · « **Risposta #19 il:** 23 Set 2008, 14:56:26 »

Citazione da: Locu - 22 Set 2008, 21:35:23

Scusa ma lo script l'hai incluso trammite il comando INCLUDE o hai semplicemente copiato lo script nel source dell'admin.login?

comando INCLUDE....