Joomla.it Forum
Forum traduzioni italiano => Le traduzioni e le informazioni della community => Articoli della community => : marco_g 01 Dec 2009, 22:22:21
-
Joomla è uno strumento popolare ed apprezzato da migliaia di professionisti e dilettanti grazie alla sua semplicità, questo fa si che i malintenzionati tentino di bucare i siti realizzati con questo cms, aumentarne la sicurezza è possibile con poche operazioni ma di fondamentale importanza.
Link: http://www.joomla.it/articoli-della-community/3925-la-sicurezza-in-joomla.html
-
Scusa ma rinominare il prefix non crea problemi con i successivi aggiornamenti di joomla?
-
Scusa ma rinominare il prefix non crea problemi con i successivi aggiornamenti di joomla?
no, tu aggiorni i files mica il db
e il configuration php non viene toccato durante i vari upgrade
-
Ho effettuato la procedura descritta nell'articolo, per quanto riguarda il rinominare "admin" era quasi scontato, qualsiasi utente non alle prime armi sa che è un operazione che va fatta, su zencart ad esempio in uno degli ultimi aggiornamenti per la sicurezza viene completamente rinominata la cartella "administrator".........ma comunque procediamo
Il problema che ho riscontrato è stato nella versione 1.5.15 nel rinominare il suffisso jos_ del database, nell'articolo viene consigliato di operare prima su configuration.php sostituire con il nuovo suffisso jos, operare la sostituzione nel database del file .sql
Ora avendo più server e database ho provato su un portale il risultato è stato immendiato e perfetto.
Su un altro portale la sostituzione non è avvenuta ho dovuto cambiare prima l'estensione jos_ dal pannello administrato in joomla e poi successivamente dargli le nuove tabelle in Mysql.
Volevo farlo presente in quanto ci ho perso un po di tempo, ed è un operazione sconsigliata soprattutto dal pannello admin......
se andate in
- pannello di controllo
- cofigurazione globale
- server
leggerete a prefisso database un avviso con triangolo giallo "Non modificare prima di aver creato le nuove tabellecon il prefisso indicato nelle configurazioni"
be se vi dovesse capitare io ho risolto facendo l'esatto contrario.
Fatemi sapere se qualcuno riceve lo stesso problema.
-
Scusa ma rinominare il prefix non crea problemi con i successivi aggiornamenti di joomla?
no, tu aggiorni i files mica il db
e il configuration php non viene toccato durante i vari upgrade
Quoto quanto gia detto da justvins
Ho effettuato la procedura descritta nell'articolo, per quanto riguarda il rinominare "admin" era quasi scontato, qualsiasi utente non alle prime armi sa che è un operazione che va fatta
Non va rinominato, "ma creare un nuovo superadministrator e non chiamarlo admin" di modo che prenda un'altro id, così "Di seguito cambiare le credenziali al vecchio superadministrator con ID 62 (trasformandolo in registred) per poterlo cancellare definitivamente."
Il problema che ho riscontrato è stato nella versione 1.5.15 nel rinominare il suffisso jos_ del database, nell'articolo viene consigliato di operare prima su configuration.php sostituire con il nuovo suffisso jos, operare la sostituzione nel database del file .sql
Ora avendo più server e database ho provato su un portale il risultato è stato immendiato e perfetto.
Su un altro portale la sostituzione non è avvenuta ho dovuto cambiare prima l'estensione jos_ dal pannello administrato in joomla e poi successivamente dargli le nuove tabelle in Mysql.
La procedura da me riportata è la seguente:
1)"Entrare in ftp e fare il download del file configuration.php, modificare la stringa"
2)"Ora aprite il vostro php myadmin e fate un export struttura e dati in formato sql del vostro database."
3)"Salvate l'export in un file di testo e con un semplice trova e sostituisci cercate jos_ e sostituitelo con new_"
3)"svuotate completamente il database e ripopolatelo con i files del documento che avete appena modificato."
4)In fine "rientrate in ftp e sovrascrivete il file configuration.php che avevate modificato in precedenza."
Ho ripetuto la procedura in diversi siti senza avere difficoltà, l'unico inconveniente è che "Per siti particolarmente grandi si consiglia di fare due export separati uno solo struttura e uno solo dati sempre in formato sql e procedere con le operazioni che seguono su entrambe i files. Questo fa si che nel ripristino possiamo prima importare le tabelle e poi i dati anche un po alla volta, per evitare un blocco del trasferimento"
Il prefisso del pannello amministrativo se non erro è lo stessto del file configuration.php ma per questioni di praticità è consigliabile lavorare direttamente sul file che sovrascriveremo soltanto dopo aver cambiato i suffissi dal myadmin.
L'unica cosa che mi può venire in mente che il tuo file configuration.php per qualche motivo non si sia sovrascritto.
-
Non ho ancora testato... ma l'articolo è ottimo!!!!!
sono quei tips che valgono oro!!!! ;)
-
Bé c'è da ringraziare sopratutto Brian Teeman (http://api.ning.com/files/7V9pb1gJ8aLc7VzzQrxDkYZJl4JMxA9RKmw7D6JU6ts8--bdqvG0ZPumdQyvs26RR9eOY1viV4smmusqq1XNXIMrr73SuN8G/DSC01551_lzn.jpg), se non erro, uno dei "papà" di Joomla ed al suo intervento al Joomla Day, io non ho fatto altro che seguire attentamente, documentarmi, testare e poi riportare nell'articolo l'esperienza.
Se qualcuno ha voglia e tempo di visionarla è disponibile la slide (http://www.slideshare.net/brianteeman/hidden-joomla-secrets) con altre chicche che non riguardano la sicurezza ma comunque interessanti
-
Sul fatto che l'articolo sia ottimo non ci piove. Ve lo dice uno che da 3 settimane combatte con una "roba" allucinante.
Io ho usato termini impropri, ed ho errato quando si parla di programmazione, codice, php, mysql eccc.
Per l'admin siamo perfettamente daccordo l'utente va creato ex novo e non rinomina. MI SONO ESPRESSO MALE.
Il mio problema è venuto fuori seguendo la stessa procedura da te citata, io opero modificando direttamente i file via ftp, ovviamente è la stessa che scaricando e uppando su server e fin qui ci siamo. Solo che in un mio server ho avuto il problema che ho elencato sopra.
Seguendo la procedura elencata:
1)"Entrare in ftp e fare il download del file configuration.php, modificare la stringa"
2)"Ora aprite il vostro php myadmin e fate un export struttura e dati in formato sql del vostro database."
3)"Salvate l'export in un file di testo e con un semplice trova e sostituisci cercate jos_ e sostituitelo con new_"
3)"svuotate completamente il database e ripopolatelo con i files del documento che avete appena modificato."
4)In fine "rientrate in ftp e sovrascrivete il file configuration.php che avevate modificato in precedenza."
nell'accesso al front-end o back-end ricevevo un errore sul db ovvero il server mi dice che non puo' aprire le tabelle jos_
io ho rimendiato rinominando prima l'estensione jos_ con es. new_ da pannello joomla e poi effettuando la modifica alle tabelle de mysql.
Ti diro' di più se utilizzi questo metodo lasciando configuration.php inalterato funziona idem, almeno per questo mio server.
Intendi il problema dove sta?
Sto su sgaragnao non penso che posssa essere riconducibile a questo, ma se vuoi reimposto il tutto per farti vedere il tipo di errore che mi produce la procedura sopra elencata.
-
intimefantasie non ho testato la tua procedura, quindi non posso essere preciso, comunque non mi sento di consigliarla perchè nel pannello di amministrazione dove vai a cambiare il parametro, c'è un allert come in figura.
Comunque seguendo la sequenza
1)"Entrare in ftp e fare il download del file configuration.php, modificare la stringa"
4)In fine "rientrate in ftp e sovrascrivete il file configuration.php che avevate modificato in precedenza."
Non è la stessa cosa, perché nel mio caso il file configuration.php lo aggiorno dopo aver modificato le tabelle, come consiglia l'alert nel pannello di amministrazione.
"io opero modificando direttamente i file via ftp, ovviamente è la stessa che scaricando e uppando su server"
Comunque è pur vero che avendola testata tu potrebbe essere una valida alternativa, ma ti ripeto che non avendola testata non ne entro in merito.
[allegato vecchio più di un anno eliminato automaticamente]
-
Scusate la procedura vale anche per la versione 1.0.15?
-
Ciao
Grazie per i consigli. Ma se creo un nuovo administrator e rimuovo quello vecchio poi perdo anche tutte le associazioni agli articoli e, soprattutto, hai messaggi del forum (Kunena) creati dal "vecchio" administrator, come si risolve questo problema? :-\
-
Ovviamente la versione 1.0.15 andrebbe migrata alla 1.5.15 ultima versione stabile (prima regola dell'articolo).
Anche perché alla 1.5.15 sono state apportate delle modifiche al file htaccess che mettono al sicuro i files xml i quali svelano la versione di Joomla e dei suoi componenti.
Questa modifica non l'ho riportata nell'articolo in quanto rispettando la prima regola (fondamentale) questa ulteriore modifica non va apportata.
Non ho testato questa procedura sulla 1.0, quindi non mi sento di confermarti con sicurezza, ma a rigor di logica dovrebbe andare bene.
Comunque dopo aver effettuato il backup (che io consiglio nell'articolo) se non funziona qualcosa si può sempre tornare indietro.
Rimane sempre il fatto che non ottemperando alla prima regola, facciamo metà del lavoro che andrebbe fatto.
-
Ciao
Grazie per i consigli. Ma se creo un nuovo administrator e rimuovo quello vecchio poi perdo anche tutte le associazioni agli articoli e, soprattutto, hai messaggi del forum (Kunena) creati dal "vecchio" administrator, come si risolve questo problema? :-\
E' vero, come si suol dire non tutte le ciambelle riescono con il buco, noi però il buco glie lo facciamo.
Io ho risolto facendo il solito export solo dati da myadmin, questa volta della tabella content.
Ho fatto il solito trova , 62, e sostituisci con , NEW-ID, dove new-id è il nuovo numero id preso dal superadministrator es. , 280, è consigliabile inserire le virgole per non andare a sostituire altri numeri che potrebbero non avere a che fare con il nostro id.
(Se qualcuno è al corrente di una sintassi sql più precisa da digitare direttamente nel myadmin è ben accetta.)
Quindi svuoti e ripopoli la tabella content con i nuovi dati.
Per quanto riguarda il forum, la procedura è la medesima, devi soltanto individuare la tabella sulla quale dovrai andare ad agire.
Se decidi di procedere, facci sapere qual'è la tabella di Kunena che si deve modificare, potrà essere utile a qualche altra persona.
-
Ovviamente la versione 1.0.15 andrebbe migrata alla 1.5.15 ultima versione stabile (prima regola dell'articolo).
Anche perché alla 1.5.15 sono state apportate delle modifiche al file htaccess che mettono al sicuro i files xml i quali svelano la versione di Joomla e dei suoi componenti.
Questa modifica non l'ho riportata nell'articolo in quanto rispettando la prima regola (fondamentale) questa ulteriore modifica non va apportata.
Non ho testato questa procedura sulla 1.0, quindi non mi sento di confermarti con sicurezza, ma a rigor di logica dovrebbe andare bene.
Comunque dopo aver effettuato il backup (che io consiglio nell'articolo) se non funziona qualcosa si può sempre tornare indietro.
Rimane sempre il fatto che non ottemperando alla prima regola, facciamo metà del lavoro che andrebbe fatto.
Il sito in questione (sono affezionato) non l'ho migrato perchè ho effettuato diverse modifiche che perderei con la versione nuova....e tentare di renderlo simile è un lavoraccio.
Vorrei provare a fare la modifica sicurezza seppur di efficacia limitata come spieghi.
Gli altri 2 siti che ho sono invece fatti con la nuova versione e proverò la modifica.
Quando dici di esportare la struttura e i dati intendi il DB creato e quello information_schema?
Grazie
-
Allego un'immagine del myadmin
Prima fleggare solo struttura
Poi fleggare solo dati
Per la 1.0 ti consiglio di apportare manualmente anche le modifiche al file htaccess descritte nello slide che ho linkato prima
[allegato vecchio più di un anno eliminato automaticamente]
-
Ciao marco_g
Bell'articolo!! ;D
Ma chiaramente l'argomento si può (e si deve) approfondire. Ci sono altri piccoli accorgimenti che possono essere presi per cercare di aumentare il livello di sicurezza di un sito realizzato in Joomla.
Per quanto riguarda la rinominazione delle tabelle un'altra soluzione possibile sarebbe quella di sfruttare la query DDL ALTER TABLE. Questa query permette di rinominare una tabella e ha la seguente sintassi:
ALTER TABLE nome_tabella RENAME nuovo_nome_tabella
Il problema adesso è ottenere la lista dei nomi delle tabelle e creare uno script sql da eseguire sul database
Per ottenere la lista delle tabelle:
- connettersi al database con phpmyadmin
- cliccare sul pulsante SQL (in alto). Verrà visualizzata la casella di testo per l'esecuzione diretta delle query sul database
- scrivere ed eseguire la seguente query:
SHOW TABLES IN nome_database LIKE 'jos_%'
verrà visualizzato l'elenco delle tabelle che iniziano con jos_ presenti nel database di nome 'nome_database' (ovviamente sarà il nome del db su cui stiamo lavorando)
- a questo punto creare un documento di testo con il notepad (o altro editor di testo) e con un pò di pazienza copiare e incollare la lista delle tabelle. Nel file di testo avremo una cosa del genere:
jos_banner
jos_bannerclient
jos_bannertrack
jos_categories
.... ecc.
Ottenuta la lista dei nomi delle tabelle dobbiamo, ancora con un pò di copia e incolla, trasformarla in una lista di query che rinominino ogni singola tabella.
Il risultato finale sarà il seguente:
ALETR TABLE jos_banner RENAME new_banner;
ALETR TABLE jos_bannerclient RENAME new_bannerclient;
ALETR TABLE jos_bannertrack RENAME new_bannertrack;
ALETR TABLE jos_categories RENAME new_categories;
.... ecc.
A questo punto non serve altro che copiare tutte le query incollarle della casella di testo destinata all'esecuzione diretta delle query sul database ed eseguirle.
Magari si possono copiare e incollare un pò per volta ;)
Resta intesa la modifica al file configuration.php per dichiarare il nuovo prefisso delle tabelle.
-
Ottimo bigham visto che sei così preparato, uno script per cambiare l'id autore nella Tabella content?
es. cambia id 62 in id 128 nella new_content
-
Temo di aver fatto una boiata! ho provato a fare la modifica senza successo sulla versione 1.0.15, ho svuotato il DB e importato il file sql ma in realtà non ha caricato i file e allora ho avuto la brillante idea di eliminare le tabelle del DB!
Posso rimediare?
-
Temo di aver fatto una boiata! ho provato a fare la modifica senza successo sulla versione 1.0.15, ho svuotato il DB e importato il file sql ma in realtà non ha caricato i file e allora ho avuto la brillante idea di eliminare le tabelle del DB!
Posso rimediare?
1 se hai fatto il backup prima di iniziare come ho consigliato nell'articolo, puoi ripristinare.
2 se hai estratto due file struttura e dati, quello è già un backup ripristini prima la struttura, (ossia le tabelle) e poi i dati
3 se hai estratto un solo file struttura e dati quello è già un backup.
se non riesci a ricaricarlo perché si blocca, dividi la parte struttura dalla parte dati manualmente, ripristini prima la struttura e poi i dati in tre, quattro riprese.
Riporto un'esempio allegato
[allegato vecchio più di un anno eliminato automaticamente]
-
Il file da ripristinare è di solo 573 kb, struttura e dati ma mi da questo errore:
Errore
query SQL:
-- phpMyAdmin SQL Dump
-- version 2.8.0.2
-- http://www.phpmyadmin.net
--
-- Host: sql.miosito.it
-- Generato il: 02 Dic, 2009 at 03:33 PM
-- Versione MySQL: 5.0.20
-- Versione PHP: 4.3.10-22
--
-- Database: `ffff55555`
--
CREATE DATABASE `ffff55555` DEFAULT CHARACTER SET latin1 COLLATE latin1_swedish_ci;
Messaggio di MySQL: Documentazione
#1007 - Can't create database 'ffff55555'; database exists
-
Caricando solo la struttura di 73 kb mi da lo stesso errore, correggo, invece i dati sono di circa 6 MB
-
Il database lo hai solo svuotato e non cancellato quindi se tenti di ricrearlo ti restituisce quell'errore.
Devi fare l'importazione cancellando le righe iniziali del file sql dove crea il database. se hai dubbi posta qui le prime ventina di righe del file ;)
-
Messaggio di MySQL: Documentazione
#1007 - Can't create database 'ffff55555'; database exists
Ok ti dice il database già esiste io non l'ho creato
CREATE DATABASE `ffff55555` DEFAULT CHARACTER SET latin1 COLLATE latin1_swedish_ci;
ora cancella questa stringa dal tuo codice prima del ripristino e se tutto va bene non ti dovrebbe più dare quell'errore
-
Ok! è andato tutto a posto, appena riesco riprovo con la modifica sicurezza tenendo conto di quest'ultimi insegnamenti e vi faccio sapere.
Grazie mille!
-
Sono contento che sei riuscito a ripristinare.
-
Ho effettuato queste modifiche su Joomla!1.0.15 e pare che funzioni tutto! dunque sui siti 1.5.15 posso andare tranquillo.
Prima ho eliminato le tabelle del DB, poi ho importato il file struttura, quindi il file dati per intero e alla fine il file configuration.php.
Grazie ancora
-
Figurati :)
-
Ciao marco_g
Bell'articolo!! ;D
Ma chiaramente l'argomento si può (e si deve) approfondire. Ci sono altri piccoli accorgimenti che possono essere presi per cercare di aumentare il livello di sicurezza di un sito realizzato in Joomla.
Per quanto riguarda la rinominazione delle tabelle un'altra soluzione possibile sarebbe quella di sfruttare la query DDL ALTER TABLE. Questa query permette di rinominare una tabella e ha la seguente sintassi:
ALTER TABLE nome_tabella RENAME nuovo_nome_tabella
Il problema adesso è ottenere la lista dei nomi delle tabelle e creare uno script sql da eseguire sul database
Per ottenere la lista delle tabelle:
- connettersi al database con phpmyadmin
- cliccare sul pulsante SQL (in alto). Verrà visualizzata la casella di testo per l'esecuzione diretta delle query sul database
- scrivere ed eseguire la seguente query:
SHOW TABLES IN nome_database LIKE 'jos_%'
verrà visualizzato l'elenco delle tabelle che iniziano con jos_ presenti nel database di nome 'nome_database' (ovviamente sarà il nome del db su cui stiamo lavorando)
- a questo punto creare un documento di testo con il notepad (o altro editor di testo) e con un pò di pazienza copiare e incollare la lista delle tabelle. Nel file di testo avremo una cosa del genere:
jos_banner
jos_bannerclient
jos_bannertrack
jos_categories
.... ecc.
Ottenuta la lista dei nomi delle tabelle dobbiamo, ancora con un pò di copia e incolla, trasformarla in una lista di query che rinominino ogni singola tabella.
Il risultato finale sarà il seguente:
ALETR TABLE jos_banner RENAME new_banner;
ALETR TABLE jos_bannerclient RENAME new_bannerclient;
ALETR TABLE jos_bannertrack RENAME new_bannertrack;
ALETR TABLE jos_categories RENAME new_categories;
.... ecc.
A questo punto non serve altro che copiare tutte le query incollarle della casella di testo destinata all'esecuzione diretta delle query sul database ed eseguirle.
Magari si possono copiare e incollare un pò per volta ;)
Resta intesa la modifica al file configuration.php per dichiarare il nuovo prefisso delle tabelle.
Sono d'accordo con l'idea dello script e ad usare le query sql, ma costruirlo in questo modo è più dispendioso dell'operazione proposta nell'articolo, inoltre si corre pesantemente il rischio di sbaglaire, col copia/incolla si sà.
appena posso provo con una bella espressione regolare,se la cosa riesce la posto. Dovrebbe bastare creare un file con la lista dei nomi delle tabelle da dare in pasto all'espressione regolare.
-
Ciao marco_g
Bell'articolo!! ;D
Ma chiaramente l'argomento si può (e si deve) approfondire. Ci sono altri piccoli accorgimenti che possono essere presi per cercare di aumentare il livello di sicurezza di un sito realizzato in Joomla.
Per quanto riguarda la rinominazione delle tabelle un'altra soluzione possibile sarebbe quella di sfruttare la query DDL ALTER TABLE. Questa query permette di rinominare una tabella e ha la seguente sintassi:
ALTER TABLE nome_tabella RENAME nuovo_nome_tabella
Il problema adesso è ottenere la lista dei nomi delle tabelle e creare uno script sql da eseguire sul database
Per ottenere la lista delle tabelle:
- connettersi al database con phpmyadmin
- cliccare sul pulsante SQL (in alto). Verrà visualizzata la casella di testo per l'esecuzione diretta delle query sul database
- scrivere ed eseguire la seguente query:
SHOW TABLES IN nome_database LIKE 'jos_%'
verrà visualizzato l'elenco delle tabelle che iniziano con jos_ presenti nel database di nome 'nome_database' (ovviamente sarà il nome del db su cui stiamo lavorando)
- a questo punto creare un documento di testo con il notepad (o altro editor di testo) e con un pò di pazienza copiare e incollare la lista delle tabelle. Nel file di testo avremo una cosa del genere:
jos_banner
jos_bannerclient
jos_bannertrack
jos_categories
.... ecc.
Ottenuta la lista dei nomi delle tabelle dobbiamo, ancora con un pò di copia e incolla, trasformarla in una lista di query che rinominino ogni singola tabella.
Il risultato finale sarà il seguente:
ALETR TABLE jos_banner RENAME new_banner;
ALETR TABLE jos_bannerclient RENAME new_bannerclient;
ALETR TABLE jos_bannertrack RENAME new_bannertrack;
ALETR TABLE jos_categories RENAME new_categories;
.... ecc.
A questo punto non serve altro che copiare tutte le query incollarle della casella di testo destinata all'esecuzione diretta delle query sul database ed eseguirle.
Magari si possono copiare e incollare un pò per volta ;)
Resta intesa la modifica al file configuration.php per dichiarare il nuovo prefisso delle tabelle.
Sono d'accordo con l'idea dello script e ad usare le query sql, ma costruirlo in questo modo è più dispendioso dell'operazione proposta nell'articolo, inoltre si corre pesantemente il rischio di sbaglaire, col copia/incolla si sà.
appena posso provo con una bella espressione regolare,se la cosa riesce la posto. Dovrebbe bastare creare un file con la lista dei nomi delle tabelle da dare in pasto all'espressione regolare.
Sicuramente valida alternativa come ho già detto, che tra l'altro ho già segnalato nell'articolo, un solo problema:
non si può realizzare uno script valido per tutti, perché può variare in base alle estensioni installate.
Quindi chi ha le capacità e la competenza, sicuramente potrà percorrere questa strada molto più interessante.
Mentre gli altri che masticano poco l'sql e possono aver paura di sbagliare si troveranno sicuramente più a loro agio con la procedura che ho descritto.
Comunque ogni valida alternativa è bene segnalarla, grazie ancora per il suggerimento
-
Prima di tutto grazie a Marco e a tutti coloro che stanno contrbuendo a questa discussione.
Io personalmente adotto queste misure di sicurezza:
- Joomla e estensioni (indispensabili) sempre aggiornate.
- Password "robuste"
- Cartella administrator proteta da password.
- Utente admin "rimpiazzato" coma da guida di Marco (prima mi limitavo a rinominarlo).
- Rinominare i suffissi delle tabelle (grazie sempre a Marco).
Certmante è un'aorgomento trattato tante volte, ma mi chiedevo: quale altre accortezze potrebbero essere usate per alzare il livello di sicurezza?
-
Prima di tutto grazie a Marco e a tutti coloro che stanno contrbuendo a questa discussione.
Io personalmente adotto queste misure di sicurezza:
- Joomla e estensioni (indispensabili) sempre aggiornate.
- Password "robuste"
- Cartella administrator proteta da password.
- Utente admin "rimpiazzato" coma da guida di Marco (prima mi limitavo a rinominarlo).
- Rinominare i suffissi delle tabelle (grazie sempre a Marco).
Certmante è un'aorgomento trattato tante volte, ma mi chiedevo: quale altre accortezze potrebbero essere usate per alzare il livello di sicurezza?
Ottima idea quella di proteggere la cartella Administrator da password, una sola domanda, poi il backend ti funziona correttamente?
-
Ottima idea quella di proteggere la cartella Administrator da password, una sola domanda, poi il backend ti funziona correttamente?
Sì. Una volta che ho avuto accesso alla cartella Administrator, per mezzo del browser, il backend funziona normalmente.
-
Naturalmente la protezione la imposti dal pannello di controllo del DirectAdmin
-
ragazzi devo dirverlo, quotate molto ma molto ma molto male..
oltre la netiquette, il database del forum per quanto immenso avrà pur sempre un limite? o no?
la sicurezza si ottiene anche con un appropriato uso delle risorse o no?
-
Ciao Francesco, cosa intendi?
-
Utilizzare solo l'sql pone certi limiti è vero e creare uno script php sarebbe ancora più indicato visto che è possibile avere un maggiore controllo su quello che si sta facendo.
In realtà avevo dato solo un input all'idea di marco_g che può portare a qualcosa di più performante.
L'alternativa sarebbe quella di creare una Stored Procedure (utilizzando PL/SQL ad esempio) per fare la medesima cosa. Ma ci addentriamo in meandri troppo specialistici ;D
-
In realtà avevo dato solo un input all'idea di marco_g che può portare a qualcosa di più performante.
L'alternativa sarebbe quella di creare una Stored Procedure (utilizzando PL/SQL ad esempio) per fare la medesima cosa. Ma ci addentriamo in meandri troppo specialistici ;D
Magari se qualcuno più ferrato volesse contribuire, io non arrivo fino li
-
Internet è una grande fonte di informazioni. ;D ;D
Ho trovato questo script in php che non sembra male:
$db_server = "localhost"; // hostname server MySQL
$db_username = "username"; // username server MySQL
$db_password = "password"; // password server MySQL
$db_name = "database"; // nome del database
$pattern = "jos_"; // stringa da cercare
$new_pattern = "new_"; // string da sostituire,
// può essere vuota
// si connette al server MySQL
$link = mysql_connect( $db_server, $db_username, $db_password);
// restituisce un errore se la connessione non riesce
if (!$link) {
die('Non posso connettermi: ' . mysql_error());
}
// elenca tutte le tabelle nel database che contengono la stringa cercata
$sql = "SHOW TABLES FROM `" . $db_name . "`";
$sql .= " LIKE '%" . $pattern . "%'";
// esegue la query
$result = mysql_query ( $sql, $link );
// e se ci sono errori li visualizza
if (!$result) {
die("query non valida: " . mysql_error( $link ));
}
$renamed = 0;
$failed = 0;
while ( $row = mysql_fetch_array ($result) )
{
// rinomina ogni tabella sostituendola stringa cercata (jos_)
// con la nuova stringa (new_)
$table_name = $row[0];
$new_table_name = str_replace ( $pattern, $new_pattern, $table_name);
$sql = "RENAME TABLE `" . $db_name . "`.`" . $table_name . "`";
$sql .= " TO `" . $db_name . "`.`" . $new_table_name . "`";
$result_rename = mysql_query ( $sql, $link );
if ($result_rename)
{
echo "Tabella `" . $table_name . "` rinominata in :`";
echo $new_table_name . "`.\n";
$renamed++;
}
else
{
// notifica quando la rinominazione fallisce e perchè
echo "La rinominazione della tabella `" . $table_name . "` non è riuscita: ";
echo mysql_error( $link ) . "\n";
$failed++;
}
}
// visualizza una piccola statistica sul numero di tabelle rinominate e non rinominate
echo $renamed . " tabelle sono state rinominate, " . $failed . " hanno fallito.\n";
// chiude la connessione al server MySQL
mysql_close( $link );
Come sempre questi script sono da testare con attenzione (non mi assumo responsabilità se spaccate il vostro DB ;D) e possono essere sempre migliorati.
Ma in linea di principio dovrebbe funzionare.
(Mi sa che siamo andati un pò Off Topic ;D ;D)
PS
NON quotate questo post! ;) ;D ;D
-
OT ? Ma stai scherzando bigham?
Sei assolutamente in topic. L'argomento in questo forum è assolutamente inerente all'articolo e nulla ci vieta di approfondire php e mysql che sono i motori di Joomla!
Lo script che hai postato funziona alla grande. Provatelo in un database di prova. Con questo script possiamo sostituire tutti i prefissi delle tabelle dei nostri siti in pochi secondi con una procedura che non può arrecare alcun danno :D
Va solo precisato, per rendere usabile lo script, che lo dovete eseguire nella root del vostro sito incollando il codice che ha postato Bigham nel post immediatamente sopra a questo in un file di testo che salverete per esempio con il nome di rename.php Solo avendo l'avvertenza di mettere il tutto dentro i tag di apertura e chiusura del php:
<?php
//script di bigham che comincia così
$db_server = "localhost"; // hostname server MySQL
$db_username = "username"; // username server MySQL
$db_password = "password"; // password server MySQL
$db_name = "database"; // nome del database
$pattern = "jos_"; // stringa da cercare
$new_pattern = "new_"; // string da sostituire,
// può essere vuota
//segue script....
?>
e sostituendo i valori nelle inizializzazioni delle variabili qui sopra con i vostri ;)
Poi digitate vostrosito.it/rename.php e in un batter di ciglia tutte le vostre tabelle verranno rinominate.
Ricordarsi di cambiare il prefisso anche nel file configuration.php (con questa procedura non vedo differenza tra farlo prima o dopo).
Ricordo di nuovo che questa procedura va adottata per sostituire i prefissi alle tabelle dei database dei siti già funzionanti. Nelle nuove installazioni è ovviamente TANTO più semplice cambiare il prefisso durante l'installazione di Joomla!
Grazie marco_g
Grazie bigham
Grazie 56francesco... che ci ricordi sempre di limitare gli sprechi... :D
-
Grazie a voi del contributo, per caso conoscete anche uno script per poter riassegnare l'autore "admin" ai vari articoli?
-
Io ho fatto l'opposto. Non mi piaceva admin ed ho risolto semplicemente cambiando admin in tonicopi nella gestione utenti. Se quindi tutti gli articoli caio li vuoi far apparire di admin, cambi caio in admin (basta cambiare solo il campo nome).
Oppure l'autore può essere cambiato dai parametri di ogni articolo.
E sicuramente non dovrebbe essere complicato cambiare l'autore con una query al database ;D
-
Aspetta, se io ho 100 articoli scritti da admin ID 62, creando un'altro superadministrator e cancellando l'ID 62, quei 100 articoli rimarranno orfani.
Occorrerebbe uno script che dica:
nella tabella content tutti i 62 che si trovano nel campo ID autore vanno trasformati nel nuovo ID
-
Aspetta, se io ho 100 articoli scritti da admin ID 62, creando un'altro superadministrator e cancellando l'ID 62, quei 100 articoli rimarranno orfani.
Occorrerebbe uno script che dica:
nella tabella content tutti i 62 che si trovano nel campo ID autore vanno trasformati nel nuovo ID
Voglio dare anch'io il mio contributo:
per la tabella "new_content" (nuovo prefisso = "new_" al posto di "jos_") per i campi "created_by" e "modified_by" se per es. il nuovo ID è 100 in sql il codice sarebbe questo:
UPDATE `new_content` SET `created_by` = 100 WHERE `created_by` = 62
UPDATE `new_content` SET `modified_by` = 100 WHERE `modified_by` = 62
queste query si potrebbero eseguire direttamente in phpmyadmin nel tab SQL del relativo database.
Comunque se da phpmyadmin si fa una ricerca del valore 62 su tutti i campi di tutte le tabelle del nostro database si nota che ci sono diversi riferimenti al vecchio admin (anche da parte di componenti per es. virtuemart - se installato).
Secondo me è da preferire l'intervento diretto da phpmyadmin (query sql) dopo aver verificato ovviamente con una select (tab Cerca) tutti i riferimenti al vecchio admin, piuttosto che lanciare uno script php dall'esterno poichè è difficile prevedere tutti i componenti installati da scansionare via php.
-
Ciao rainbow grazie del contributo, di sicuro molto utile
-
Ciao marco_g
Niente di più semplice, per chi conosce l'SQL. ;D ;D
Basta una query SQL del tipo:
UPDATE jos_content SET created_by = 63 WHERE created_by = 66
Dal momento che l'autore dell'articolo è memorizzato nel campo created_by di ogni record con il suo id, bisogna anzitutto ricavare l'id dell'utente che deve diventare autore degli articoli (nel mio caso è il valore 63). Basta visualizzare il contenuto della tabella jos_users e decidere chi sarà l'utente fortunato ;D
La prima parte della query
UPDATE jos_content SET created_by = 63
aggiorna la tabella jos_content impostando il campo created_by al valore 63 (id dell'utente che diventerà autore degli articoli)
Ho aggiunto però la possibilità (opzionale se si vuole) di condizionare l'aggiornamento del campo created_by della tabella dei contenuti. La condizione WHERE created_by = 66 prevede che verrannno aggiornati solo quei record in cui l'autore ha l'id=66.
Ciaooooo! ;D
-
Ne aggiungo un'altra:
Se si vuole azzerare il contatore di lettura di ogni articolo basta eseguire questa query:
update jos_content set hits = 0
Scusate m'è scappato ;D ;D
Ma io con l'SQL mi ci diverto ;D ;D
-
La procedura più veloce per cambiare l'ID di default del superadministrator, per chi deve effettuare una installazione "nuova" di Joomla (quindi PRIMA di installare), è la seguente:
Aprire il file installation/installer/helper.php e cercare la stringa:
$query = "INSERT INTO #__users VALUES (62, 'Administrator', 'admin', ".$db->Quote($adminEmail).", ".$db->Quote($cryptpass).", 'Super Administrator', 0, 1, 25, '$installdate', '$nullDate', '', '')";
sostituire il numero 62 con un altro a piacere.
Sempre nello stesso file cercare anche:
$query = "INSERT INTO #__core_acl_aro VALUES (10,'users','62',0,'Administrator',0)";
e sostituire anche qui il numero 62 col numero precedentemente scelto.
Salvare ed avviare la procedura di installazione di Joomla.
:) Spero possa esservi stato di aiuto!
Ciao
-
Oppure senza intervenire nel codice sql, per una nuova installazione si possono installare gli esempi e quando poi si crea un altro utente il suo id avrà un valore intorno a 70.
-
Salve. Ho letto tutti i post ed ho seguito i consigli. Mi chiedo solo una cosa: per quanto riguarda la modifica al file htaccess che dovrebbe impedire la lettura dei file xml, è possibile che impedisca di far funzionare la mappa del sito xml per i motori di ricerca?
Grazie, ciao.
-
per quanto riguarda la modifica al file htaccess che dovrebbe impedire la lettura dei file xml, è possibile che impedisca di far funzionare la mappa del sito xml per i motori di ricerca?
Io ho installato SEF Service Map e non ho riscontrato alcun problema.
Comunque la modifica al file htaccess nella 1.5.15 dovrebbe non essere necessaria, perché esce già con il codice modoficato.
-
opps
scusate tante, non mi ero accorto che era un topic della sezione articoli e quindi avevo spostato in "sicurezza" e di seguito rimesso a posto..
:-[
-
Grazie per la risposta celere.
Se non ricordo male la modifica al file htaccess deve essere attivata. Cioè, bisogna togliere i vari # davanti alle seguenti righe.
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
Almeno mi pare così nell'aggiornamento, non so nel pacchetto completo di joomla.
-
Non ho fatto caso a questo, avevo dato per scontato che nella 1.5.15 non fosse necessaria la modifica e quindi non ho messo mano al file, appena posso verifico.
Nel frattempo se fai dei test, facci sapere.
Di nulla Fra, può capitare ;)
-
Allora.. ho attivato la modifica del file htaccess e pare che non dia problemi alla mappa del sito generata da xmap.
Ho provato a chiamare un qualsiasi file xml da browser ma, giustamente, mi viene negato l'accesso. Mentre il file generato da xmap è accessibile (chiamato con la url dinamica generata da xmap).
Buon Natale a tutti!
-
Ciao, buon natale anche a te, e grazie per i test che hai condiviso
-
Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.
cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:
libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php
In questi file si fa riferimento al jos_.
Che ne pensate?
-
Riguardo all'accesso e lettura dei file xml di un sito, non ho capito bene che problemi di sicurezza potrebbero comportare.
-
In questi file si fa riferimento al jos_.
Che ne pensate?
Effettivamente hai ragione, pur non cambiandoli a me funziona, non ti saprei dire di preciso cosa comporta.
Riguardo all'accesso e lettura dei file xml di un sito, non ho capito bene che problemi di sicurezza potrebbero comportare.
Possono sapere di preciso la versione di joomla e delle estensioni che hai installate.
-
Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.
cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:
libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php
In questi file si fa riferimento al jos_.
Che ne pensate?
Ciao sauro.
A questo proposito starei tranquillo. L'importante è che, dopo aver cambiato i prefissi alle tabelle, venga modificato il prefisso presente nel file configuration.php.
Quei valori che tu hai, giustamente indicato, sono per la maggior parte dichiarazioni di valori di default per delle variabili.
Nel caso ad esempio della variabile $prefix dichiarata nel file mysql.php o database.php il valore viene assegnato prelevandolo dai parametri di configurazione (presenti in configuration.php) e, solo nel caso che non fosse presente il parametro prefix, viene assegnato per default il valore 'jos_'
(ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ )
Questo invece può essere un vero problema.
Se hai creato tu delle queries e non hai usato il prefisso #__ potresti riscontrare degli errori.
Ma la regola vuole che quando si scrive una query e la si passa al framework con il metodo setQuery il prefisso #__ (che non è generico ;)) venga sostituito con il prefisso indicato nei parametri di configurazione.
Considera il rpefisso #__ come un carattere jolly che verrà sostituito con il vero prefisso delle tabelle.
-
Possono sapere di preciso la versione di joomla e delle estensioni che hai installate.
Joomla! 1.5.15
-
Possono sapere di preciso la versione di joomla e delle estensioni che hai installate.
Joomla! 1.5.15
JCE Administration Component 1.5.7
JCE Editor Plugin 1.5.6
Simple Image Gallery 1.2.1
Xtypo 1.4
Non è posso, è possono. ;)
Chi ti vuole attaccare e conosce le tue installazioni, sa quali sono i punti deboli ed è più facile essere attaccati
-
Non è posso, è possono. ;)
hahaha, scusami avevo il letto il post, alla velocità della luce ;D
-
Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.
cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:
libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php
In questi file si fa riferimento al jos_.
Che ne pensate?
Ciao sauro.
A questo proposito starei tranquillo. L'importante è che, dopo aver cambiato i prefissi alle tabelle, venga modificato il prefisso presente nel file configuration.php.
Quei valori che tu hai, giustamente indicato, sono per la maggior parte dichiarazioni di valori di default per delle variabili.
Nel caso ad esempio della variabile $prefix dichiarata nel file mysql.php o database.php il valore viene assegnato prelevandolo dai parametri di configurazione (presenti in configuration.php) e, solo nel caso che non fosse presente il parametro prefix, viene assegnato per default il valore 'jos_'
(ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ )
Questo invece può essere un vero problema.
Se hai creato tu delle queries e non hai usato il prefisso #__ potresti riscontrare degli errori.
Ma la regola vuole che quando si scrive una query e la si passa al framework con il metodo setQuery il prefisso #__ (che non è generico ;)) venga sostituito con il prefisso indicato nei parametri di configurazione.
Considera il rpefisso #__ come un carattere jolly che verrà sostituito con il vero prefisso delle tabelle.
Grazie per i chiarimenti.
-
ciao a tutti,
seguendo la guida, sto cercando di cambiare il nome della cartella administrator.
sto lavorando in locale e procedo così:
entro nella directory principale del sito e rinomino la cartella "administrator" in "xxx"
a questo punto col browser vado all'indirizzo
http://127.0.0.1/mio_sito/xxx/index.php
ma mi appare "errore caricamento pagina" e non riesco ad accedere al login del backend
perchè???
ho provato decine di nomi diversi ma con lo stesso risultato
mi sono perso qualche passaggio?? :-[ :-[
-
Ciao ricdata,
non vorrei sbargliarmi ma in tutte le guide sulla sicurezza di joomla non si consiglia di rinominare la cartella administrator ma piuttosto di proteggerla per es. con un file .htpasswd come è spiegato in questo articolo
http://www.joomla.it/notizie/569-la-sicurezza-del-tuo-sito-web-realizzato-con-joomla-e-importantissima.html
Oppure impostando una password dal pannello di controllo del proprio DirectAdmin (se questa funzione è disponibile).
-
A proposito delle slide di Brian Teeman (Joomla Hidden Secrets (http://www.joomladay.it/images/stories/2009/slide/joomladay_secrets3.pdf)), non ho capito cosa intende dire nelle pagine 10 e 11. Parla di come nascondere le varie posizioni di un template?
-
Ciao Kody
Nella slide 10 viene mostrato come visualizzare le posizioni modulo di un template. Praticamente ti basta digitare questo per vedere le posizioni modulo di qualsiasi template:
http://www.miosito.it/?tp=1
Nella slide 11 invece viene mostrata la regola da inserire nel file htaccess per disattivare questa funzionalità
-
A proposito delle slide di Brian Teeman (Joomla Hidden Secrets (http://www.joomladay.it/images/stories/2009/slide/joomladay_secrets3.pdf)), non ho capito cosa intende dire nelle pagine 10 e 11. Parla di come nascondere le varie posizioni di un template?
Una domanda (che c'entra e non c'entra), perchè nella quarta slide c'è il sito della Samp...San...ehm insomma di quella "squadra" lì? :P
-
Una domanda (che c'entra e non c'entra), perchè nella quarta slide c'è il sito della Samp...San...ehm insomma di quella "squadra" lì? :P
Perchè tifa sampdoria? ;D ;D ;D
-
Una domanda (che c'entra e non c'entra), perchè nella quarta slide c'è il sito della Samp...San...ehm insomma di quella "squadra" lì? :P
Perchè tifa sampdoria? ;D ;D ;D
C'è la faccina che vomita? :P :P ;D ;D ;D
-
Ciao Conanbarbaro.
Veramente pensavo che tu tifassi Genoa ;D
Mi era venuto un sospetto ma non avevo fatto caso alla faccina che vomita ;D
Evidentemente ha trovato su quel sito una serie di magagne che gli hanno sconvolto lo stomaco ;D ;D
Non vorrei che quanto riportato in quelle slide fosse frutto proprio dell'analisi di quel sito ;)
-
Ciao Conanbarbaro.
Veramente pensavo che tu tifassi Genoa ;D
Mi era venuto un sospetto ma non avevo fatto caso alla faccina che vomita ;D
Evidentemente ha trovato su quel sito una serie di magagne che gli hanno sconvolto lo stomaco ;D ;D
Non vorrei che quanto riportato in quelle slide fosse frutto proprio dell'analisi di quel sito ;)
Forse non sono riuscito a comprendere il senso del post, ma nella realtà dei fatti io TIFO Genoa (e me ne vanto! ;D ;D )
Poi, la faccina che vomita, la cercavo io qui per esprimere il senso di malessere che ho provato aprendo quella slide...
Comunque, in questi giorni preferisco lasciare da parte il discorso "sport e tifo"...non è il momento :P :P
-
Ho scoperto il mistero, il sito della Sampdoria è fatto con Joomla! ;D
-
Ho scoperto il mistero, il sito della Sampdoria è fatto con Joomla! ;D
Belin, ma con tutti quelli che ci sono, proprio quello doveva andare a prendere come esempio?? >:( >:(
-
Belin, ma con tutti quelli che ci sono, proprio quello doveva andare a prendere come esempio?? >:( >:(
Allora ci avevo preso!!! ;D ;D
Non riuscivi neanche a scrivere il nome di "quella" squadra ;D ;D
Sto scherzando ovviamente (prima che dai del belin anche a me ;D ;D ;D)
Mi spiego meglio. Se si prende ad esempio un sito nel descrivere una serie di misure di sicurezza facilmente applicabili ad un sito in joomla probabilmente si è analizzato quel particolare sito e scoperto delle falle di sicurezza.
La mia è solo un'ipotesi ovviamente. Forse potrebbe rispondere meglio chi ha partecipato all'intervento di Brian Teeman.
-
Strano che non chiediate anche il perchè della camionetta militare.... Allora, affinchè non restiate con dubbi e possiate ritrovare il sonno vi dico il motivo di quella diapositiva con il sito della samp...
Prima di entrare nel vivo del discorso, Brian Teeman, da consumato attore, ha fatto un piccolo show per catturare l'attenzione del pubblico. Una cosa che insegnano anche in certe scuole di management. Un mio amico ricco imprenditore frequenta corsi di dizione, gestualità, oratoria... Per dire.
Quindi ha spiegato che lo volevano spedire in afganisthan a fare un sito con Joomla! per la CIA, cha il governo Inglese lo paga profumatamente per fare siti di piccole community (oltre 200), e venendo alla sampdoria ha spiegato come suo padre facesse da giovane il procuratore e in una missione venne proprio a trattare con la sampdoria la cessione di alcuni calciatori portando con sè una valigetta ammanettata al polso piena di contanti.... Con questo ha voluto stupire i presenti e dimostrarsi in confidenza con gli italiani che lo stavano ospitando... Detto questo ha iniziato con quel sorprendente: ci sono due cose importanti se faccio un sito web:
1. voglio che si veda quello che voglio io e solo quello.
2. voglio che si veda quello che voglio io e solo quello.
In questo modo, facendo due regole assolutamente uguali, fa si che io, che ormai non ho più la ferrea memoria di un tempo, me la ricordi ancora e sia in grado di illustrarla a memoria....
E la faccenda della sampdoria, che con joomla c'entrava assai poco, fa si che ne stiamo di nuovo parlando qui. Visto che ottimo risultato, dal suo punto di vista?
Personaggio di grande fascino e carisma, senza dubbio....
Ecco siete contenti adesso? :D :D :D
EDIT: sul suo blog ha fatto le previsioni su Joomla! per il 2010. Divertente!
http://brian.teeman.net/joomla-gps/my-predictions-for-joomla-in-2010.html
-
Svelato l'arcano!! ;D ;D
Drupal and Joomla confirm the many, many rumours, that for the last 2 years their work has been funded by google, with the launch of Joopal a Google managed and hosted CMS platform.
Questa è davvero bella!! ;D ;D
Joomla 1.6 will be released on 1st April.
Questa mi ricorda qualcosa... ;D ;D ;D
-
Citazione
Joomla 1.6 will be released on 1st April.
Questa mi ricorda qualcosa... ;D ;D ;D
Però mio figlio festeggia il prossimo 1° aprile i dieci anni di matrimonio... Ci sono due bellissime nipotine... Insomma, allora non era un scherzo! ;D ;D ;D
-
Joomla! Developer - Vulnerability News
* [20091103] - Core - Front-End Editor Issue
o Project: Joomla!
o SubProject: com_content
o Severity: Moderate
o Versions: 1.5.14 and all previous 1.5 releases
o Exploit type: Front-End Editing
o Reported Date: 2009-September-05
o Fixed Date: 2009-November-03
Description
When logged into the front end with Author access, it was possible to replace an article written by another user.
Affected Installs
All 1.5.x installs prior to and including 1.5.14 are affected.
Solution
Upgrade to latest Joomla! version (1.5.15 or newer).
Reported by Hannes Papenberg
Contact
The JSST at the Joomla! Security Center.
una volta che ho creato il nuovo admin ed eliminato il vecchio non mi fà + entrare nel lato administrator facendomi uscire questa scritta.. come mai ?..
-
HELP ! :'( :'( :'( :'( :'(
mi esce anche la scritta
* Non sei autorizzato a visualizzare questa risorsa.
-
Come Saverio89, tu posti alle 17,53 e dopo 11 minuti ti disperi per la mancata risposta? Ripristina un backup. E se mi dici che hai cancellato un superadmin senza prima fare un backup ti rispondo che ti sta proprio bene! ;D
-
scusami no :D ho cancellato il super admin id62 ma ho creato un account nuovo settandolo come superadmin .. sulla login del sito mi fà entrare ma non nel lato admin.. :| cm mai ? nn si può fare proprio niente ?
-
Ma se hai un backup del database in pochi minuti ripristini...
Altrimenti:
http://wiki.joomla.it/index.php?title=Recupero_utente_admin_cancellato ;)
-
Joomla 1.6 will be released on 1st April.
Questa mi ricorda qualcosa... ;D ;D ;D
...che forse per tre anni consecutivi è il 91esimo giorno dell'anno ...mentre il quarto anno è il 92esimo? ;) :D ;D
-
Copiare la seguente query e incollarla nel box di testo per le query SQL, togliendo lo spazio dalla parola I NSERT
non capisco ... Insert lo devo mettere? devo mettere INSERT ? non devo mettere niente ? xkè mi dà errore quando faccio esegui :(
cmq grazie dell'aiuto tonicopi.. spero di riuscire a risolvere il problema con il tuo supporto
-
Ciao,
metti INSERT
-
Errore
query SQL:
INSERT
INTO `jos_users`
VALUES ( 62, 'Amministratore', 'admin2', 'tuoindirizzo.email@email.com', 'af68ca4cc7fdb63463f924fcbc2e1ccb:HQizAYOkOcznVvrlNZeKl2zoOPd3CKaA', 'Super Administrator', 0, 1, 25, '2008-09-01 00:00:00', '2008-09-01 00:00:00', '', '' ) ;
Messaggio di MySQL: Documentazione
#1062 - Duplicate entry '62' for key 1
k vuol direee ?
k c'è già un utente registrato con 62 ? e quindi ke devo fare?
-
jos_users ha già id=62 (campo duplicato) - la insert non va fatta
-
Se non hai confidenza con sql non faresti prima a fare un ripristino del database da phpmyadmin - credo sia molto più semplice che armeggiare con del codice oscuro
-
jos_user ha già id=62 (campo duplicato) - la insert non va fatta
Raimbow Scusaun attimo.. mi stò impanicando haha :D allora
ho cancellato il superadmin con id 62 creandone uno nuovo. ma una volta ke vado nel pannello /administrator mi esce un problema.. quello k ho incollato prima.. non mi fà mettere ne password nè nome utente..
Quindi se esiste già l'user 62.. ke devo fare?
e poi posso ripristinare il database non avendo fatto un backup ?
-
Provo a guidarti un pò:
con phpmyadmin prova a scegliere la tabella jos_users (dal menu a sinistra) - quanti record vedi nel dettaglio a destra
-
Provo a guidarti un pò:
con phpmyadmin prova a scegliere la tabella jos_users (dal menu a sinistra) - quanti record vedi nel dettaglio a destra
parli dove c'è scritto campo-tipo-collocation-attributi-predefinito-extra-azioni ? la ci sono 13 righre
poi sotto c'è scritto
Nome chiave Tipo Cardinalità Azione Campo
PRIMARY PRIMARY 33 Modifica Elimina id
usertype INDEX Nessuno Modifica Elimina usertype
idx_name INDEX Nessuno Modifica Elimina name
gid_block INDEX Nessuno Modifica Elimina gid
block
username INDEX Nessuno Modifica Elimina username
email INDEX Nessuno Modifica Elimina email
e poi statistiche righe
Statistiche righe Istruzioni Valore
Formato dinamico
Collation utf8_general_ci
Righe 33
Lunghezza riga ø 200
Dimensione riga ø 573 Bytes
Prossimo Autoindex 98
Creazione 13 Gen, 2010 at 08:18 PM
Ultimo cambiamento 26 Gen, 2010 at 06:02 P
-
no, naviga alla radice (sali in cima alla struttura) fino ad individuare il tuo database - dovresti poterlo fare dal menu a sinistra
[allegato vecchio più di un anno eliminato automaticamente]
-
Quello che sto cercando di farti fare è correggere i record delle tabelle coinvolte (jos_users - jos_core_acl_aro - jos_core_acl_groups_aro_map) in modo grafico - senza scomodare sql - per evitare di complicare ulteriormente il tutto.
[allegato vecchio più di un anno eliminato automaticamente]
-
sn andato a visualizzare i registrati nel phpmyadmin..
allora
l'id 97 risulta Super Administrator
mentre l'id 62 risulta un semplice registrato quindi ho fatto come diceva nella guida....
ma xkè allora quando vado sul www.miosito.it/administrator mi esce la seguente scritta?
Joomla! Developer - Vulnerability News
* [20091103] - Core - Front-End Editor Issue
o Project: Joomla!
o SubProject: com_content
o Severity: Moderate
o Versions: 1.5.14 and all previous 1.5 releases
o Exploit type: Front-End Editing
o Reported Date: 2009-September-05
o Fixed Date: 2009-November-03
Description
When logged into the front end with Author access, it was possible to replace an article written by another user.
Affected Installs
O.O ?
-
Fammi capire: adesso riesci ad entrare dal lato admin?
Se hai recuperato un amministratore, allora potresti aggiornare joomla all'ultima versione (1.5.15)
http://developer.joomla.org/security/news/305-20091103-core-front-end-editor-issue-.html
-
prima mi usciva proprio quella scritta..adesso mi esce Database Error: Unable to connect to the database:Could not connect to MySQL..
ho aperto un ticket e quanto prima mi risolvono il problema.. nn è la prima volta.. ma se una volta aperto dovrebbe crearmi lo stesso problema ?
-
ma il super amministratore l'avevo già creato come nella guida.. comunque dici che se aggiorno alla versione nuova risolvo il problema ? e come lo aggiorno se non mi fà entrare nel lato admin ?
-
ma xkè allora quando vado sul www.miosito.it/administrator mi esce la seguente scritta?
------------------------------------------
perchè Joomla tenta in tutti i modi di informarti sugli aggiornamenti nonostante la gente se ne accorga solo quando gli bucano il sito.
Quello è un feed
M.
-
Ma alla fine.. c'è la possibilità di recuperare questo maledetto pannello admin ? ::)
-
@Saverio89
Purtroppo mi rendo conto che mancano le basi per gestire joomla in modo corretto - l'upgrade di versione si fa tramite ftp (sovrascrittura delle relative cartelle presenti nel file compresso).
Come consiglio generale io ti direi di fare tutte le prove che vuoi prima in locale e solo dopo applicarle sul server che ospita il tuo sito - imparando anche a gestirlo (backup e ripristino di database compreso)
-
@Saverio89
Puoi chiedere al supporto tecnico se "per caso" hanno fatto un backup del database (magari ieri) e fartelo ripristinare.
Con un pò più di accortezza potevi evitare il problema o tentare di risolverlo in modo appropriato (adesso evita di fare danni su danni senza una guida vicino).
Non giocare sulla sicurezza se non valuti bene i rischi (puoi fare tutti i test che vuoi in locale e renderti conto di eventuali problemi prima che si verifichi il peggio).
Nessuno nasce imparato - documentati - testa - applica.
Scusa se mi sono lasciato un pò andare ::)
-
hai ragione quindi mi tocca ricominciare di nuovo :D ma fa niente.. volevo kiedervi un'ultima cosa e dopo di che vi giuro che non vi stresso +. vorrei solo importare sul pc gli articoli dal database.. come faccio ?
se non potete postarlo qua visto che non è la sezione adatta, potete mandarmi un mex in privato ? :) grazie davvero
-
http://wiki.joomla.it/index.php?search=phpmyadmin&fulltext=Ricerca
nel tuo caso
http://wiki.joomla.it/index.php?title=Trasferimento_siti_web_Joomla_da_locale_a_remoto_e_viceversa
Profiqua lettura ;)
-
Ottimo articolo, anche se mi sembra un pò drastico
Quindi la prima cosa da fare è riformattare il PC e non avere IP fisso, per lo meno da dove vi collegate, installare firewall, antivirus e tutti i sistemi di sicurezza che si possono adottare.
La seconda più drastica cambiate proprio PC perché il mac address (ossia il numero distintivo del computer) può essere sempre tracciabile, e magari anche il provider.
nel cambio del PC; basta aggiungere un'altra scheda di rete rimuovendo o disabilitando la precedente.
Moolto meno costoso :)
-
Joomla è uno strumento popolare ed apprezzato da migliaia di professionisti e dilettanti grazie alla sua semplicità, questo fa si che i malintenzionati tentino di bucare i siti realizzati con questo cms, aumentarne la sicurezza è possibile con poche operazioni ma di fondamentale importanza.
Link: http://www.joomla.it/articoli-della-community/3925-la-sicurezza-in-joomla.html
Ciao scusate ma ho un prob. ho effettuato il cambio del pefisso con la procedura dello script, le tabele sono state tutte modifiate, poi modifico il file configuration.php e sostituisco quello non mod. il sito tutto ok ma nn riesco a logarmi, mi viene fuori un pagina bianca con scritto Invalid Token. Per favore aiutatemi grazie.