Autore Topic: Sicurezza Joomla (Letto 9822 volte)

Alixys · « **il:** 09 Dic 2009, 19:19:12 »

Salve a tutti ho da tempo un sito in joomla 1.0.x, ho letto da qualche parte che non saranno rilasciate più aggiornamenti per la sicurezza e quindi immagino che nel tempo la vs. ultima release (1.0.15) diverrà vulnerabile e quindi hachers dilettanti potrebbero divertirsi e sfruttare bug e lacune dell'ultima versione rilasciata.

Ciò è vero o e falso?

Non ho convertito joomla 1.0.x a joomla 1.5.x in quanto all'epoca (quando potevo) 1.5.x era ancora in sperimentazione e non lo ritenevo ancora sicuro ed inoltre non avevo molta familiarità con quel sistema, oggi sarei quasi tentato, ma sarebbe più lunga la migrazione del sito che l'effettiva utilità di ciò, infatti lo feci per passione e all'epoca lo seguivo molto ora per lavoro nn lo posso seguire come una volta, non escludo che in futuro possa rimettermi a lavorarci, ma a quel punto prenderei (fore in cosniderazione) di installare la 1.6.x...

cosa mi cosnigliate?

inoltre gli hachers possono modificarti solo l'html oppure cancellare tutto ciò che c'è all'interno del tuo sito? possono modificare alterare o distruggere anche il database?

Grazie

ilvanni · « **Risposta #1 il:** 09 Dic 2009, 19:26:04 »

Ciao, innanzitutto parli di una 1.0.15, attenzione che l'ultima rel è la 1.0.15b, nel caso aggiorna.

Per quanto riguarda che ver. usare ti rimando alla lettura di quest'articolo:
http://www.joomla.it/quale-versione-installare.html

Per il saltare direttamente alla 1.6 ti dico che il passaggio dalla 1.5 alla 1.6 non sarà privo di imprevisti, anzi ci aspetta un bel lavoro, figuriamoci dalla 1.0.xx alla 1.6.
Ti conviene nel frattempo passare alla 1.5 se in futuro hai intenzione di migrare di ver.., altrimenti lascia così, la 1.0.15b è la rel più blindata della serie 1.0.xx..

p.s. ho corretto il titolo del tuo primo post, "sicurezza" al posto di "sicurazza", nel caso ti dovessi preoccupare vedendo il msg di modifica in basso.

Alixys · « **Risposta #2 il:** 10 Dic 2009, 11:11:34 »

Mi stai facendo venirte voglia di passare alla 1.5.x

la versione che ho è la Joomla! 1.0.15 Stable [ Daytime ] 22 February 2008 23:00 UTC quindi è l'ultima rilasciata.

Il problema della migrazione è che nel sito ho usato molti moduli e componenti che credo e penso che non funzionino correttamente nella 1.5.x; inoltre il template utilizzato era uno di quelli a "pagamento" soltanto che quello da me utilizzabile era dato gratuito per provare la "qualità" dei template a pagamento...cmq sia se nn ricordo male avevo provato a personalizzarlo ulterormente, ma aprendolo con dw ho notato che il codice era diverso nascosto o protetto in qualche modo..insomma nn mi rocordo molto bene...è passato molto tempo da quel giorno mi sicuramente era un template diverso da quelli che si free che sono personalizzabili al 100% inoltre non credo che abbiano rilasciato una versione compatibile per la 1.5.x.

Insomma mi troverei difronte a molti problemi...

cmq se dovessi mettermi in testa di effettuare la migrazione posso installare joomla 1.5.x in una root nuova oppure devo utilizzare la stessa dove ho installato joomla 1.0.x?
E per quanto riguarda il db come meglio devo comportarmi? meglio usare un nuovo db vuoto oppure utilizzare quello già utilizzato da joomla 1.0.x?

Grazie

ilvanni · « **Risposta #3 il:** 10 Dic 2009, 12:16:24 »

Puoi fare un'altra installazione mettendo il tutto in una sottocartella e creando chiaramente un nuovo db; al termine il percorso sarà http://www.nome sitoattuale.est/nomesitoprova

Per tornare alla tua ver.: sì, l'ultima della 1.0 è la 1.0.15 Stable ma successivamente è stata rilasciata l'ultima, blindata, 1.0.15b, controlla dal tuo pannello di amministrazione che ci sia quella fatidica b.

Alixys · « **Risposta #4 il:** 10 Dic 2009, 12:30:32 »

Citazione da: ilvanni - 10 Dic 2009, 12:16:24

Puoi fare un'altra installazione mettendo il tutto in una sottocartella e creando chiaramente un nuovo db; al termine il percorso sarà http://www.nome sitoattuale.est/nomesitoprova

Per tornare alla tua ver.: sì, l'ultima della 1.0 è la 1.0.15 Stable ma successivamente è stata rilasciata l'ultima, blindata, 1.0.15b, controlla dal tuo pannello di amministrazione che ci sia quella fatidica b.

no, la b nn appare da nessuna parte.

esiste un elenco dei componenti sicuri al 100% e quelli in pò fallati con bag di sicurezza?

in pratica come faccio a sapere se il sito può essere facilmente heckerato o no?

ilvanni · « **Risposta #5 il:** 10 Dic 2009, 12:36:43 »

Prima di tutto aggiorna (ed anche velocemente) alla 1.0.15b. poi puoi consultare comunque l'elenco delle estensioni con vulnerabilità qui:

http://forum.joomla.it/index.php/topic,49813.0.html

http://forum.joomla.it/index.php/topic,59418.0.html

e qui un'aggiunta di sicurezza per la tua ver.:

http://forum.joomla.it/index.php/topic,35962.0.html

ilvanni · « **Risposta #6 il:** 10 Dic 2009, 12:38:59 »

Ed aggiungo, a proposito del discorso di prima sull'eventuale migrazione, ti posto anche questa guida in quest'altro post per non fare confusione:

http://wiki.joomla.it/index.php?title=Migrazione_da_Joomla_1.0.x_a_1.5.x

Alixys · « **Risposta #7 il:** 10 Dic 2009, 13:46:11 »

io giravo per la rete ed avevo trovato questa guida che credo sia valida: http://cms.html.it/articoli/leggi/2964/come-migrare-da-joomla-10-a-15/ ...oltretutto è anche ben illustrata, che ne pensi?

Ho letto il post linkato per aggiornare alla versione 15b, se non ho capito male bisogna andare ad operare direttamente sul codice, senza il solito pacchetto di aggiornamento, giusto?

Se non ricordo male sul quel sito il register_globals è `ON` invece di `OFF` priprio per motivi di funzionalità stessa, anche il file htaccess (ora non ricordo se ero riuscito a farlo diventare .htaccess) non l'ho potuto modificare a piacimento proprio perchè avevo dei problemi con il corretto funzionamento del sito. (all'inizio era la versione 1.0.8 che piano piano nel tempo l'ho aggiornate ed alcuni problemi erano spariti...ora non so se andando a toccare quei parametri quei problemi (che ora non ricordo più tanto bene) continueranno ad esserci o no.

Sempre girando su internet ho trovato un'altro componente per effettuare la migrazione si chiama mtwmigrator, dicono che semplifichi ulteriormente la migrazione....per caso lo conosci? cosa mi sai dire a proposito?

Per il template non avrò problemi?
Grazie

PS esiste una lista del genere anche per le estensioni di joomla 1.5.x?

Grazie ancora e scusa per tutte queste domande

...non è un interrogatorio, è solo ignoranza mia

Alixys · « **Risposta #8 il:** 10 Dic 2009, 19:09:46 »

Citazione da: ilvanni - 10 Dic 2009, 12:36:43

è qui un'aggiunta di sicurezza per la tua ver.:

http://forum.joomla.it/index.php/topic,35962.0.html

allora seguito le istruzione ed il mio file .htaccess è diventato così (ma il sito risulta non piu' funzionante Internal server error)

Codice: [Seleziona]

# mod_rewrite in use
RewriteEngine On 
RewriteBase /home
php_flag register_globals off  [AGGIUNTO ADESSO]
php_flag magic_quotes_gpc on   [AGGIUNTO ADESSO]


RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR]
RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$  [NC]
RewriteRule ^(.*) index.php

OVVIAMENTE SENZA LE AGGIUNTE TUTTO FUNZIONA CORRETTAMENTE

nel pannello di amministrazione vedo scritto in rosso: Impostazione PHP register_globals è `ON` invece di `OFF`

inoltre non ho capito se il php.ini bisogna cmq modificarlo o se è una alternativa al file .htaccess

cmq sia ho modificato globals.php mi rimane scritto Joomla! 1.0.15 Stable [ Daytime ] 22 February 2008 23:00 UTC e la b nn mi appare da nessuna parte e non so quindi se il sito ora è più sicuro o no.

Aspetto tue delucidazioni.

Grazie

ilvanni · « **Risposta #9 il:** 11 Dic 2009, 12:44:47 »

Andiamo per ordine: per quanto riguarda il register globals (come puoi anche leggere dall'articolo) devi accertarti che il tuo hosting lo supporti, probabilmente se hai seguito la guida e hai quegli errori a risposta è no; rimetti tutto a posto nell'htaccess e nel pannello di configurazione del sito.

Lascia perdere quindi il php.ini perchè è conseguente al register globals.

Per la famosa b quella è la lettera finale della ver. di joomla installata; se hai la 1.0.15 la b non la vedrai mai, cerca in giro perchè avresti bisogno della 1.0.15b e la sua installazione è come tutti gli altri upgrade, basta sovrascrivere i files nella root.

Per quanto riguarda il template non dovresti avere nessun problema.

Mi raccomando, lo diciamo sempre e non ci stancheremo mai di ripeterlo a rischio di sembrare pedanti, tutte le operazioni di smanettamento devono essere precedute sempre da un backup del db e da una copia in locale dei files del sito, praticamente fatti prima un backup di tutto e poi smanetta.

Alixys · « **Risposta #10 il:** 11 Dic 2009, 13:16:48 »

Citazione da: ilvanni - 11 Dic 2009, 12:44:47

Andiamo per ordine: per quanto riguarda il register globals (come puoi anche leggere dall'articolo) devi accertarti che il tuo hosting lo supporti, probabilmente se hai seguito la guida e hai quegli errori a risposta è no; rimetti tutto a posto nell'htaccess e nel pannello di configurazione del sito.

Lascia perdere quindi il php.ini perchè è conseguente al register globals.

Per la famosa b quella è la lettera finale della ver. di joomla installata; se hai la 1.0.15 la b non la vedrai mai, cerca in giro perchè avresti bisogno della 1.0.15b e la sua installazione è come tutti gli altri upgrade, basta sovrascrivere i files nella root.

Per quanto riguarda il template non dovresti avere nessun problema.

Mi raccomando, lo diciamo sempre e non ci stancheremo mai di ripeterlo a rischio di sembrare pedanti, tutte le operazioni di smanettamento devono essere precedute sempre da un backup del db e da una copia in locale dei files del sito, praticamente fatti prima un backup di tutto e poi smanetta.

A buon intenditore poche parole...il mio spazio web è situato in un hosting italiano che inizia con la A e finisce scon la A....all'interno della mia root ho installato anche una versione di joomla 1.5.x la quale funziona benissimo, anzi riesco a modificare il file .htaccess ed ovviamente tutti gli altri files senza che ci siano problemi; perchè con 1.0.x riscontro questo problema?

Siamo sicuri che io nn posso effettuare queste modifiche sul sito?

inoltre dove posso trovare l'aggiornamento della 1.0.15 alla 1.0.15b?

Ho cercato nell'area download, ma senza successo!!

ilvanni · « **Risposta #11 il:** 11 Dic 2009, 13:49:29 »

Allora, prima di tutto non quotare tutto il post, basta solo la tua risposta, poi ti ho già detto che non è che le modifiche non le puoi fare ma ti devi sincerare che il tuo hosting supporti il register globals ad off e il safe mode a off, altrimenti è inutile proseguire nell'opera.

Per la 1.0.15b il link è questo, bastava girare meglio, trovi i pacchetti di agg.to dalle varie versioni precedenti:

http://download.joomla.it/index.php?option=com_docman&task=cat_view&gid=209&Itemid=2

Alixys · « **Risposta #12 il:** 11 Dic 2009, 14:04:39 »

Ti ringrazio, allora questa sera aggiuorno ulteriormente il mio joomla.

Come seconda istanza per sapere se viene supportato mi cosnigli di aprire un tiket?

ilvanni · « **Risposta #13 il:** 11 Dic 2009, 19:54:47 »

Bè sì certo, anche perchè se li paghi allora il minimo che loro possano fare è prestarti assistenza.
Controlla anche magari se lo riesci a vedere dal pannello di controllo del tuo fornitore di hosting, il pannello che ti serve per configurare i domini, mails, etc.

Alixys · « **Risposta #14 il:** 16 Dic 2009, 18:29:15 »

finalmete ho un pò di tempo da dedicare per l'aggiornamento, ho appena fatto il backup (attraverso ftp) che preferisco (anche se dura molto di più) ho scaricato dal link che mi hai fornito l'aggiornamento dalla 1.0.15 alla 1.0.15 b, ho aperto la cartella compressa e all'interno trovo solo la cartella mambots...l'ho uppata regolarmente, il sito cmq funziona., ma non vedo la b infondo alla pagina e soprattutto non credo che joomla si sia aggiornato completamente.

Ti dirò di più, successivamente, mi sn scaricato il paccetto di aggiornamento dalla 1.0.14 alla 1.0.15b, ho scompattato il file e all'interno c'erano tutte le cartelle come normalmente accade durante l'aggiornamento..le ho uppate regolarmente, il sito continiua a funzionare ma continuo a visualizzare la versione 1.0.15 stable.

Aspetto tue notizie come al solito...
grazie

Alixys · « **Risposta #15 il:** 19 Dic 2009, 10:42:55 »

Carneade pls....

dodos · « **Risposta #16 il:** 29 Dic 2009, 19:12:07 »

Citazione da: Alixys - 19 Dic 2009, 10:42:55

Carneade pls....

ho provato anche io a scaricare il file, ma visualizzo anchio lo stesso file che vedi tu, immagino che la 1.0.15 b abbia soltanto quel file da sovrascrivere, ma non saperei dirti con precisione perchè non conosco più bene joomla 1.0.x, in effetti è strano e mi stupisco che non vedi il joomla aggiornato.

maicolstaip · « **Risposta #17 il:** 29 Dic 2009, 19:17:54 »

Ciao,
con la 1.0.15b non viene aggiornato il numerino della versione a destra in alto in area amministrazione.
Se non ricordo male era solo un aggiornamento "estetico" riguardante alcuni files delle traduzioni.

Alixys · « **Risposta #18 il:** 29 Dic 2009, 21:19:49 »

Citazione da: maicolstaip - 29 Dic 2009, 19:17:54

Ciao,
con la 1.0.15b non viene aggiornato il numerino della versione a destra in alto in area amministrazione.
Se non ricordo male era solo un aggiornamento "estetico" riguardante alcuni files delle traduzioni.

a me non si aggiorna ne in alto ne in basso...anzi quello in alto è rimasto aggiornato alla 1.0.8 (praticamente la versione di installazione di joomla)
in baso invece leggo 1.0.15 stable e non 1.0.15 b

ilvanni · « **Risposta #19 il:** 30 Dic 2009, 18:21:50 »

Vabbè, l'importante è che hai aggiornato con il contenuto della 1.0.15b che fra l'altro è solo una cartella, "mambots".

Mi raccomando con i backups!

E tieni aggiornate anche le estensioni che hai installato, mi raccomando, perchè è inutile tenere aggiornata all'ultimo rilascio l'installazione di joomla e poi tenersi estensioni vecchie, non aggiornate e magari con qualche problema di vulnerabilità.
A proposito, ti posto il link alla sez sicurezza dove trovi l'elenco delle maggiori vulnerabilità:

http://forum.joomla.it/index.php/topic,59418.0.html

http://forum.joomla.it/index.php/topic,49813.0.html

e qui c'è un articolo su register globals:

http://forum.joomla.it/index.php/topic,35962.0.html