Come rendere sicuro Joomla contro attacchi degli hacker

[marco_g]

Possono sapere di preciso la versione di joomla e delle estensioni che hai installate.

Joomla! 1.5.15
JCE Administration Component 1.5.7
JCE Editor Plugin 1.5.6
Simple Image Gallery 1.2.1
Xtypo 1.4

Non è posso, è possono.   

Chi ti vuole attaccare e conosce le tue installazioni, sa quali sono i punti deboli ed è più facile essere attaccati

[n_drew]

Non è posso, è possono.   

hahaha, scusami avevo il letto il post, alla velocità della luce 

[sauro]

Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.

cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:

libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php

In questi file si fa riferimento al jos_.

Che ne pensate?

Ciao sauro.
A questo proposito starei tranquillo. L'importante è che, dopo aver cambiato i prefissi alle tabelle, venga modificato il prefisso presente nel file configuration.php.

Quei valori che tu hai, giustamente indicato, sono per la maggior parte dichiarazioni di valori di default per delle variabili.
Nel caso ad esempio della variabile $prefix dichiarata nel file mysql.php o database.php il valore viene assegnato prelevandolo dai parametri di configurazione (presenti in configuration.php) e, solo nel caso che non fosse presente il parametro prefix, viene assegnato per default il valore 'jos_'

(ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ )

Questo invece può essere un vero problema.
Se hai creato tu delle queries e non hai usato il prefisso #__ potresti riscontrare degli errori.

Ma la regola vuole che quando si scrive una query e la si passa al framework con il metodo setQuery il prefisso #__ (che non è generico ) venga sostituito con il prefisso indicato nei parametri di configurazione.

Considera il rpefisso #__ come un carattere jolly che verrà sostituito con il vero prefisso delle tabelle.

Grazie per i chiarimenti.

[ariess]

ciao a tutti,

seguendo la guida, sto cercando di cambiare il nome della cartella administrator.

sto lavorando in locale e procedo così:

entro nella directory principale del sito e rinomino la cartella "administrator" in "xxx"

a questo punto col browser vado all'indirizzo

http://127.0.0.1/mio_sito/xxx/index.php

ma mi appare "errore caricamento pagina" e non riesco ad accedere al login del backend

perchè???

ho provato decine di nomi diversi ma con lo stesso risultato

mi sono perso qualche passaggio?? 

[rainbow]

Ciao ricdata,
non vorrei sbargliarmi ma in tutte le guide sulla sicurezza di joomla non si consiglia di rinominare la cartella administrator ma piuttosto di proteggerla per es. con un file .htpasswd come è spiegato in questo articolo
http://www.joomla.it/notizie/569-la-sicurezza-del-tuo-sito-web-realizzato-con-joomla-e-importantissima.html
Oppure impostando una password dal pannello di controllo del proprio DirectAdmin (se questa funzione è disponibile).

[n_drew]

A proposito delle slide di Brian Teeman (Joomla Hidden Secrets), non ho capito cosa intende dire nelle pagine 10 e 11. Parla di come nascondere le varie posizioni di un template?

[bigham]

Ciao Kody

Nella slide 10 viene mostrato come visualizzare le posizioni modulo di un template. Praticamente ti basta digitare questo per vedere le posizioni modulo di qualsiasi template:

Codice: [Seleziona]

http://www.miosito.it/?tp=1

Nella slide 11 invece viene mostrata la regola da inserire nel file htaccess per disattivare questa funzionalità

[Conanbarbaro]

A proposito delle slide di Brian Teeman (Joomla Hidden Secrets), non ho capito cosa intende dire nelle pagine 10 e 11. Parla di come nascondere le varie posizioni di un template?

Una domanda (che c'entra e non c'entra), perchè nella quarta slide c'è il sito della Samp...San...ehm insomma di quella "squadra" lì?   

[tonicopi]

Una domanda (che c'entra e non c'entra), perchè nella quarta slide c'è il sito della Samp...San...ehm insomma di quella "squadra" lì?   

Perchè tifa sampdoria? 

[Conanbarbaro]

Una domanda (che c'entra e non c'entra), perchè nella quarta slide c'è il sito della Samp...San...ehm insomma di quella "squadra" lì?   

Perchè tifa sampdoria? 

C'è la faccina che vomita? 

[bigham]

Ciao Conanbarbaro.
Veramente pensavo che tu tifassi Genoa

Mi era venuto un sospetto ma non avevo fatto caso alla faccina che vomita
Evidentemente ha trovato su quel sito una serie di magagne che gli hanno sconvolto lo stomaco 

Non vorrei che quanto riportato in quelle slide fosse frutto proprio dell'analisi di quel sito

[Conanbarbaro]

Ciao Conanbarbaro.
Veramente pensavo che tu tifassi Genoa

Mi era venuto un sospetto ma non avevo fatto caso alla faccina che vomita
Evidentemente ha trovato su quel sito una serie di magagne che gli hanno sconvolto lo stomaco 

Non vorrei che quanto riportato in quelle slide fosse frutto proprio dell'analisi di quel sito

Forse non sono riuscito a comprendere il senso del post, ma nella realtà dei fatti io TIFO Genoa (e me ne vanto!  )

Poi, la faccina che vomita, la cercavo io qui per esprimere il senso di malessere che ho provato aprendo quella slide...

Comunque, in questi giorni preferisco lasciare da parte il discorso "sport e tifo"...non è il momento 

[n_drew]

Ho scoperto il mistero, il sito della Sampdoria è fatto con Joomla! 

[Conanbarbaro]

Ho scoperto il mistero, il sito della Sampdoria è fatto con Joomla! 

Belin, ma con tutti quelli che ci sono, proprio quello doveva andare a prendere come esempio?? 

[bigham]

Belin, ma con tutti quelli che ci sono, proprio quello doveva andare a prendere come esempio?? 

Allora ci avevo preso!!! 
Non riuscivi neanche a scrivere il nome di "quella" squadra

Sto scherzando ovviamente (prima che dai del belin anche a me )

Mi spiego meglio. Se si prende ad esempio un sito nel descrivere una serie di misure di sicurezza facilmente applicabili ad un sito in joomla probabilmente si è analizzato quel particolare sito e scoperto delle falle di sicurezza.
La mia è solo un'ipotesi ovviamente. Forse potrebbe rispondere meglio chi ha partecipato all'intervento di Brian Teeman.

[tonicopi]

Strano che non chiediate anche il perchè della camionetta militare.... Allora, affinchè non restiate  con dubbi e possiate ritrovare il sonno vi dico  il motivo di quella diapositiva con il sito della samp...
Prima di entrare nel vivo del discorso, Brian Teeman, da consumato attore, ha fatto un piccolo show per catturare l'attenzione del pubblico. Una cosa che insegnano anche in certe scuole di management. Un mio amico ricco imprenditore frequenta corsi di dizione, gestualità, oratoria... Per dire.
Quindi ha spiegato che lo volevano spedire in afganisthan a fare un sito con Joomla! per la CIA, cha il governo Inglese lo paga profumatamente per fare siti di piccole community (oltre 200), e venendo alla sampdoria ha spiegato come suo padre facesse da giovane il procuratore e in una missione venne proprio a trattare con la sampdoria la cessione di alcuni calciatori portando con sè una valigetta ammanettata al polso piena di contanti.... Con questo ha voluto stupire i presenti e dimostrarsi in confidenza con gli italiani che lo stavano ospitando... Detto questo ha iniziato con quel sorprendente: ci sono due cose importanti se faccio un  sito web:
1. voglio che si veda quello che voglio io e solo quello.
2. voglio che si veda quello che voglio io e solo quello.

In questo modo, facendo due regole assolutamente uguali, fa si che io, che ormai non ho più la ferrea memoria di un tempo, me la ricordi ancora e sia in grado di illustrarla a memoria....
E la faccenda della sampdoria, che con joomla c'entrava assai poco,  fa si che ne stiamo di nuovo parlando qui. Visto che ottimo risultato, dal suo punto di vista?

Personaggio di grande fascino e carisma, senza dubbio....

Ecco siete contenti adesso? 
EDIT: sul suo blog ha fatto le previsioni su Joomla! per il 2010. Divertente!
http://brian.teeman.net/joomla-gps/my-predictions-for-joomla-in-2010.html

[bigham]

Svelato l'arcano!! 

Drupal and Joomla confirm the many, many rumours, that for the last 2 years their work has been funded by google, with the launch of Joopal a Google managed and hosted CMS platform.

Questa è davvero bella!! 

Joomla 1.6 will be released on 1st April.

Questa mi ricorda qualcosa... 

[tonicopi]

Citazione

    Joomla 1.6 will be released on 1st April.


Questa mi ricorda qualcosa... 

Però mio figlio festeggia il prossimo 1° aprile i dieci anni di matrimonio... Ci sono due bellissime nipotine... Insomma, allora non era un scherzo! 

[Saverio89]

Joomla! Developer - Vulnerability News

    * [20091103] - Core - Front-End Editor Issue
          o Project: Joomla!
          o SubProject: com_content
          o Severity: Moderate
          o Versions: 1.5.14 and all previous 1.5 releases
          o Exploit type: Front-End Editing
          o Reported Date: 2009-September-05
          o Fixed Date: 2009-November-03
      Description

      When logged into the front end with Author access, it was possible to replace an article written by another user.
      Affected Installs

      All 1.5.x installs prior to and including 1.5.14 are affected.
      Solution

      Upgrade to latest Joomla! version (1.5.15 or newer).

      Reported by Hannes Papenberg
      Contact

      The JSST at the Joomla! Security Center.

una volta che ho creato il nuovo admin ed eliminato il vecchio non mi fà + entrare nel lato administrator facendomi uscire questa scritta.. come mai ?..

[Saverio89]

HELP ! 
mi esce anche la scritta

        * Non sei autorizzato a visualizzare questa risorsa.