Joomla.it Forum
Non solo Joomla... => Sicurezza => : Locu 09 Sep 2008, 21:11:23
-
Salve,
in questi giorni ho installato una versione recente di joomla e subito mi sono chiesto come renderlo più sicuro, mi è balenata in testa l'idea di utilizzare un doppio login, quindi mi sono messo a fare delle ricerche con google e ho trovato questo script:
http://www.zubrag.com/downloads/password-protect.zip
qui trovate la guida allo script:
http://www.zubrag.com/forum/index.php?topic=45.0
Grazie a questo fantastico script potrete rendere il vostro joomla sicuro al 99.9%. Lo script non richiede autenticazione mediante database e ciò lo rende inespugnabile, permette l'accesso a più utenti (basta che voi inseriate accounts e passwords nel source dello script).
Vi basterà includere questo script alla prima riga del componente admin.login.php situato in administrator\components\com_login\, e il vostro sito sarà una fortezza. l'unica cosa un po scocciante sarà il fatto di dover effettuare 2 login ma serete sicuri di non risvegliarvi più temendo che qualche cretino vi abbia defacciato il sito.
in più ho scritto un secondo file che può essere incluso a sua volta nello script di protezione, il quale, logga l'ip e la path ogni volta che qualcuno vi accede dandovi la possibilità di effettuare anche un whois sull'ip. Ecco il codice:
<?php
#############################################################
#IP and PATH Logger v0.1
#Coded By Locu 21/08/08
#http://www.uptm.org
#############################################################
$logfile= '/web/htdocs/www.tuosito.it/home/log.html';// Specifica la path per il file log.html
$IP = $_SERVER['REMOTE_ADDR'];// Prende l'ip dal server
$logdetails=date("F j, Y, g:i a") . ': '.'<a href=http://api.hostip.info/get_html.php?ip='.$_SERVER['REMOTE_ADDR'].'&position=true >'.$_SERVER['REMOTE_ADDR']. '</a>' . ': ';// Setta data, ip e esegue il whois
$fp = fopen($logfile, "a");
$url = $_SERVER['SERVER_NAME'];
$page = $_SERVER['REQUEST_URI'];
fwrite($fp, $logdetails);
fwrite($fp, $url);
fwrite($fp, $page);
fwrite($fp, "<br>");
fclose($fp);
echo $IP, " <font color=red> <strong> IP logged! </strong> </font>";// Riga Opzionale che mostra l'ip loggato.
?>
Questa è la schermata di login che apparirà prima del login di joomla, ovviamente si può personalizzare.
(http://img369.imageshack.us/img369/9057/skermataloginrm7.th.png) (http://img369.imageshack.us/my.php?image=skermataloginrm7.png)
So di non aver scoperto l'acqua calda... Prendete questa guida come semplice consiglio per proteggere il vostro joomla.
Ringrazio Zubrag per il suo fantastico script che mi ha risparmiato qualche ora di coding! E tutti voi della community di joomla it. Grazie
Per qualsiasi info potete contattarmi via mail: locu@uptm.org
-
Si puo adattarea anche a siti con joomla 1.0.15.? ??? ??? ??? ???
-
Non ho mai usato joomla 1.0.15 ma credo proprio che si possa fare. :D
-
Si l'ho inserito in un sito Jooma 1.0.15
http://www.vinpe.net/administrator/index.php (http://www.vinpe.net/administrator/index.php)
Secondo te che sicurezza ce in questo modo?
-
Sicuramente è meglio che senza, questo script difende solo l'area login di conseguenza l'administrator, se sono presenti bugs in altri mod/com potresti trovarti pagine modificate o le password resettate (pass di joomla) lo script di Zubrag è invalicabile. Cmq è buona cosa fare backup del database regolarmente, utilizzare una password alfanumerica e controllare sempre i moduli e/o componenti che installi. ;)
-
funziona su joomla 1.5.x?
-
Ciao,
lo script funziona in tutte le versioni di joomla. bye ;D
-
Ciao,
lo script funziona in tutte le versioni di joomla. bye ;D
sì, ma non trovo il file log.html...
-
io in pratica l'ho incorporato nel file index.ph che si trova nella cartella administrator....è l'ho personalizzato mettendo un loghetto. Credo che funzioni sia in joomla 1.0.. che in joomla 1.5.. ;D ;D ;D ;D
-
mmh... potreste spiegarmi passo per passo come avete fatto? e dov'è che decidi la password?
-
mmh... potreste spiegarmi passo per passo come avete fatto? e dov'è che decidi la password?
Modifiche per il file index.php Joomlaq 1.0.15
allora...ti allego il file.zip che contiene il file index.php che devi inserire nella cartella administrator.
In questo file le uniche correzioni che devi fare sono:
• inserire la password di protezione dove ce la dicitura "tuapassword"(alla riga 51)
• inserire il tuo sito al posto di "tuo sito" (alla riga 59).
• alla riga 109 trovi questo codice:
<h3><img src="images/joomlena.png" width="138" height="164"></h3>
in queso modo ho inserito una immagine che come si capisce si trova nella cartella "images".
Spero sia chiaro...ciao
[allegato eliminato da un amministratore - Il file era vecchio]
-
beh... per essere chiaro è chiaro :D
solo che ho joomla 1.5.3 ...
-
e va be è la stessa cosa....cerca il file index.php nella cartella administrator, lo apri con un editor html e gli copi lo script prima del codice joomla... ;D ;D ;D ;D
-
ho provato ma mi da quaesto errore:
Parse error: syntax error, unexpected $end in /web/htdocs/www.mgnet.it/home/administrator/index.php on line 169
-
Ok ecco la versione del file index per joomla 1.5.7
Scarica il file e scompattalo. Nel file index.php devi cambiare alla riga 51 la password e mettera qulla di tua preferenza e alla riga 59 il tuo sito. Se vuoi settare pure il tempo di attesa cambia il valore della riga 62.
Vedi esempio...http://joomlena.altervista.org/administrator (http://joomlena.altervista.org/administrator)
...a me funziona!!!!! ;D ;D ;D ;D ;D
[allegato eliminato da un amministratore - Il file era vecchio]
-
Salve,
Vorrei chiarire che è meglio includere lo script di Zubrag nel file admin.login.php che trovate nella cartella:
\administrator\components\com_login\
altrimenti potreste avere problemi con i cookies, è inoltre consigliabile settare un tempo ai cookies.
riga 57:
// time out after NN minutes of inactivity. Set to 0 to not timeout
define('TIMEOUT_MINUTES', 10);
In questo esempio il cookie vale 10 minuti se al posto di 10 mettete 0 il cookie sarà sempre valido ma ciò potrebbe comportare una vulnerabilità sfruttabile via xss.
-
uhm... cambiando il file index.php fa 500 - internal server error, mentre mettendo lo stesso codice nel admin.login.php scrive:
Parse error: syntax error, unexpected $end in administrator/components/com_login/admin.login.php on line 165
e sulla riga 165 ci sono i comandi dell'admin.login.php...
-
Scusa ma lo script l'hai incluso trammite il comando INCLUDE o hai semplicemente copiato lo script nel source dell'admin.login?
-
...no vi capisco... ma avete scaricato il files che vi ho allegato? a me funge perfettamente e no mi da problemi con i cooky 8)
-
Scusa ma lo script l'hai incluso trammite il comando INCLUDE o hai semplicemente copiato lo script nel source dell'admin.login?
comando INCLUDE.... :o ???
-
hai settato la path giusta?
prova a lanciare dal browser il file password_protect con il flag help.
www.tuosito.it/path/password_protect.php?help
dovrebbe apparirti la path corretta. bye
-
ciao locu, ci siamo sentiti qualche giorno fa su messanger, quel numero che mi dicevi, aprendo http://www.zubrag.com/downloads/password-protect.zip, ancora non sono riuscito... come devo fare? quando apro il fafil che scarico, mmi esce il codice sorgente, inizia con <?php
-
ciao, anche io sarei interessto a rendere più sicuro il mio sito. mi serve il tuo aiuto, questo script, lo devo caricare nella pagina html dove viene realizzato il templalte?
-
ciao,
per qualsiasi problema potete contattarmi su msn locutus@uptm.org, così facciamo prima. Cmq in questi giorni preparerò un videotutorial che mostra come applicare lo script. Abbiate pazienza.
PS
pregherei i moderatori di fare uno sticky con questo post.
-
ragazzi ma questo script è compatibile con il plugin jsecure?