Joomla.it Forum
Non solo Joomla... => Sezione dedicata ai Server => : pelo_joomla 16 Dec 2007, 21:51:07
-
Un provider mi ha risposto così quando ho chiesto di utilizzare JOOMLA: Abbiamo purtoppo constatato che presentano vari problemi di sicurezza in diversi moduli. Tramite joomla è infatti facilmente possibile 'hackare' i server su cui gira. ???
Corrisponde al vero?
Se sì quali sono i problemi
(nella seconda parte della mail mi consigliava Drupal)
Ciao e Grazie
pelo@freesurf.ch
-
Ciao
e benvenuto nel forum di joomla.it :D
Premesso, come sempre, che la sicurezza assoluta in ambito informatico non esiste.
Un sito Joomla è sicuramente attaccabile se non si seguono determinati criteri. Il più importante è quello di tenere aggiornati i moduli e i componenti seguendone l'evoluzione nel tempo.
Da quello che ho potuto constatare la versione 1.0.13b in italiano di Joomla non ha grandi falle di sicurezza perchè è stata debitamente protetta.
Però basta che tu installi un componente o un modulo che non è stato scritto come si deve e il gioco è fatto!
Che dal bucare un sito web si arrivi poi a compromettere un server è cosa possibile. Ma ti assicuro che il problema non è il sito Joomla. Casomai è l'amministratore del server che non sa fare il suo lavoro ;D
Che poi ti si consigli un altro CMS... mi sembra sa ridere. ;D
Come se i problemi di sicurezza del php riguardassero solo Joomla e non altri CMS.
Prova a fare con google una ricerca usando i termini: drupal sicurezza e vedrai!
Consiglio? Cambia provider!!! ;D ;D
-
assolutamente d'accordo! ;)
-
assolutamente d'accordo! ;)
Ciò mi conforta! :D :D
-
come verificare la versione di joomla?
nel senso che mi hanno bucato un sito e vorrei verificare di joomla senza tirarlo su di nuovo, è scritto in qualche file la versione?
-
Entra da lato amministratore e guarda in fondo alla pagina, proprio al centro...vedrai la versione di Joomla. ;)
-
Entra da lato amministratore e guarda in fondo alla pagina, proprio al centro...vedrai la versione di Joomla. ;)
grazie!
ma siccome mi hanno bucato il sito, non riesco ad entrare nella parte di amministratore >:(
-
Ciao.
Allora apri il file version.php che trovi nella cartella
/includes
e guarda cosa è assegnato alle variabili $DEV_LEVEL e $BUILD e $CODENAME
Per l'ultima versione (la 1.0.13b) i valori sono:
13, $Revision: 8388 $, Sunglow
-
Posso sapere se secondo voi questa configurazione consigliata su joomla.org può andare normalmente?
display_errors = Off
html_errors = Off
display_startup_errors = Off
log_errors = On
allow_url_fopen = Off
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, tempnam
-
Prova a fare con google una ricerca usando i termini: drupal sicurezza e vedrai!
NO non fatelo si corre incontro ad un tremendo flood di pagine che precluderanno la navigazione per alcuni mesi ;D ;D ;D
-
Posso sapere se secondo voi questa configurazione consigliata su joomla.org può andare normalmente?
display_errors = Off
html_errors = Off
display_startup_errors = Off
log_errors = On
allow_url_fopen = Off
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, tempnam
Penso di si, non vedo nessuna controindicazione ;)
Prova a fare con google una ricerca usando i termini: drupal sicurezza e vedrai!
NO non fatelo si corre incontro ad un tremendo flood di pagine che precluderanno la navigazione per alcuni mesi ;D ;D ;D
Esagerato!!! ;D ;D ;D
-
approfitto per un consiglio personale, secondo voi e meglio passare a php5 o cambiare queste impostazioni?
-
Posso sapere se secondo voi questa configurazione consigliata su joomla.org può andare normalmente?
display_errors = Off
html_errors = Off
display_startup_errors = Off
log_errors = On
allow_url_fopen = Off
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, tempnam
Secondo me queste impostazioni così vanno bene. Non tutte hanno una ricaduta sui problemi di sicurezza ma vanno bene ugualmente.
Passare a php5 potrebbe essere buona cosa ;)
I problemi di sicurezza però non dipendono solo dalle impostazioni di php ma da come amministri il tuo sito.
Ciao
-
Ti riferisci ai permessi dei file e cartelle?
E' quando dici non tutte hanno una ricaduta sulla sicurezza, a quali funzioni ti riferisci?
Inoltre se non erro, questo post é il primo su tutto il forum che riguarda la corretta configurazione di un server che deve ospitare Joomla, se così fosse sarebbe utile a tutti trovare informazioni corrette, anche perchè le uniche esistenti si trovano sul sito di joomla.org in inglese.
Che ne dite?
-
Secondo me l'unica che potrebbe avere ricadute sulla sicurezza è la direttiva disable_function
Hai ragione sul fatto che questa cosa andrebbe discussa più approfonditamente, però necessitano informazioni di base su php e non tutti le hanno. A meno che non facciamo una miniguida di base su come configurare correttamente php sui server du prova (quelli linux in locale).
I problemi di sicurezza però non dipendono solo dalle impostazioni di php ma da come amministri il tuo sito.
Se ti riferisci a questa affermazione intendevo il fatto che installando componenti o moduli non sicuri (e questo riguarda come sono fatti) abbassi il livello di sicurezza del tuo sito.
Ho trovato alcuni link interessanti.
Uno per esempio è questo http://phpsec.org/projects/
dove troverai una guida sulla sicurezza di php (in inglese naturalmente).
Ma anche nella sezione Library ci sono link interessanti.
A me manca il tempo per adesso... :(
(notare l'orario del post :D)
-
A me manca il tempo per adesso... Sad
(notare l'orario del post Cheesy)
problemi di scopa e camini? ;D ;D
-
;D ;D ;D ;D ;D
Non avevo pensato a che giorno era...
;D ;D ;D ;D ;D
-
Secondo me manca comunque una guida del genere, magari con il tempo ce la faremo
-
Certo che ce la faremo! :D E' solo questione di tempo e di volontà.
A quel livello sarebbe una guida molto tecnica ma, secondo me, chi si avvicina a joomla prima o poi se ne innamora e alla fine risulta naturale voler approfondire determinate problematiche. Quindi anche imporare i fondamentali del php e dei problemi di sicurezza che possono nascere utilizzandolo sul web.
-
concordo pienamente